Den 18 oktober 2024 träder det nya NIS 2-direktivet i kraft. Syftet med det nya direktivet är att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom EU. NIS 2 kommer omfatta fler verksamheten än det föregående NIS-direktivet, exempelvis offentlig förvaltning, digital infrastruktur, kemiska sektorer, vatten och avlopp.
Direktivet ställer även högre krav på verksamheter och utöver de fyra övergripande kravområdena riskhantering, företagsansvar, rapporteringsskyldighet och kontinuitet i verksamheten, kravställer NIS2 viktiga och grundläggande säkerhetsåtgärder för att hantera specifika former av troliga cyberhot.
Följande 10 minimiåtgärder kommer att krävas:
1. Riskbedömningar och säkerhetspolicyer för informationssystem
2. Policyer och rutiner för användning av kryptografi och kryptering.
3. Säkerhet kring upphandling av system samt utveckling och drift av system.
4. Säkerhetsrutiner för anställda med tillgång till känsliga eller viktiga data. Berörda organisationer måste också ha en överblick över alla relevanta tillgångar och se till att de hanteras på rätt sätt.
5. Regler för användningen av multifaktorautentisering, kontinuerliga autentiseringslösningar, röst-, video- och textkryptering och krypterad intern nödkommunikation.
6. Policyer och rutiner för att utvärdera effektiviteten av säkerhetsåtgärder.
7. En plan för hantering av säkerhetsincidenter.
8. Cybersäkerhetsutbildning och regler för grundläggande datorkunskap.
9. En plan för att hantera verksamheten under och efter en säkerhetsincident. Det gäller bland annat tillgången till IT-system och deras driftsfunktioner under och efter en säkerhetsincident.
10. Säkerhet gällande relationen mellan företag och direktleverantör. Företag måste bedöma den övergripande säkerhetsnivån för alla sina leverantörer.
Nu är det hög tid att börja fundera på om er verksamhet omfattas av NIS 2 samt göra en genomlysning av det arbete som skall göras inför implementeringen av direktivet i oktober nästa år.
