Vad är NIS2-direktivet och vem berörs?

Fokus NIS2 - Fyra artiklar om NIS2-direktivet - Del 1 av 4

Det europeiska NIS2-direktivet har trätt i kraft och utgör en reviderad version av det första NIS-direktivet. I och med NIS2 uppställs nya krav som måste efterlevas av de entiteter som omfattas. I denna serie går vi igenom innehållet av det nya direktivet och hur Omegapoint kan komma att hjälpa er.

I denna första del täcker vi områden kring vad ett direktiv är, syftet med NIS2:s tillkomst, samt vilka som omfattas av direktivet.

Vad är ett direktiv?

NIS2 är ett EU direktiv. Ett direktiv anger de mål som medlemsländerna inom EU måste uppnå. Däremot får medlemsländerna själva bestämma hur målen ska uppnås, genom att dessa införlivas i medlemsländerna nationella lagstiftning. Medlemsländerna måste sedan informera den Europeiska kommissionen om vilka nationella lagar som har antagits i syfte att uppnå de mål som direktivet uppställer. Om ett direktiv inte införlivas korrekt kan detta föranleda konsekvenser, så som inledandet av ett överträdelseförfarande av den Europeiska kommissionen.

Medlemsländerna ska senast den 17 oktober 2024 underrätta kommissionen om de bestämmelser som är nödvändiga för att följa direktivet. Status nu för Sverige är att införliva NIS2-direktivet i svensk lagstiftning.

Varför finns NIS2?

Den Europeiska unionens inre marknadsfunktion är att EU-invånare exempelvis alltid ska ha tillgång till el, transport, sjukvård, och dricksvatten. Som ett resultat av digitaliseringen använder många sådana samhällsviktiga tjänster sig av nätverks- och informationssystem för att tillhandahålla tjänsten, vilket medför ökad risk för att samhällsviktiga tjänster kan utsättas för cyberhot mot just dessa system. Direktivet har sålunda till syfte att bygga upp cybersäkerhetskapaciteten i hela EU för att förbättra den inre marknadens funktion.

En översyn gjordes på det tidigare NIS-direktivet för att undersöka hur väl direktivet överensstämde med dess syfte. Detta påvisade att det råder skillnader i hur medlemsländerna har införlivat direktivet i deras nationella lagstiftning. Fragmenteringen av den inre marknaden kan leda till skadlig inverkan, speciellt när en tjänst är gränsöverskridande, eftersom sårbarheter för cyberhot kan ge upphov till en spridningseffekt i hela unionen. Därutöver bildas ett beroendeförhållande mellan tjänsterna, vilket innebär att en tjänst exempelvis inte kan utföras utan tillhandahållandet av en annan tjänst för att därmed kunna fortskrida med sin verksamhet.

Syftet med NIS2-direktivets tillkomst är att undanröja dessa betydande skillnader som det första NIS-direktivet har kommit att innebära mellan medlemsländerna. Detta genom att tydliggöra och föreskriva minimiregler för ett fungerande och samordnat regelverk. NIS2 har därmed kommit att inbegripa ytterligare sektorer och uppställandet av striktare krav på säkerhetsåtgärder. Vidare har påföljderna vid brist på efterlevnad av direktivet kommit att bli mer omfattande.

Tillämpningsområde för NIS2

En av skillnaderna mellan NIS och NIS2 är uppdateringen kring vilka entiteter som omfattas av direktivet. I det tidigare direktivet var det upp till medlemsländerna att identifiera vilka samhällsviktiga tjänster som direktivet omfattar. Detta medförde en åtskillnad mellan medlemsländerna i vad som hade identifierats. Som ett led i att undanröja den stora skillnaden mellan medlemsländernas införlivande av direktivet har bland annat två kriterier kommit att uppdateras i NIS2:

1) Det första är att de sektorer som utgör så kallade väsentliga eller viktiga sektorer i enlighet med bilaga I och II i NIS2-direktivet, omfattas. De sektorer som ingick i det tidigare NIS-direktivet omfattas fortfarande men det har även lagts till några ytterligare. Därmed omfattas följande sektorer av NIS2:

Väsentliga

• Energi

• Transport

• Bankverksamhet

• Finansmarknadsinfrastruktur

• Hälso- och sjukvårdssektorn

• Dricksvatten

• Avloppsvatten

• Digital infrastruktur

• Förvaltning av IKT-tjänster (mellan företag) 

• Offentlig förvaltning

• Rymden

 Viktiga

• Post- och budtjänster

• Avfallshantering

• Tillverkning, produktion och distribution av kemikalier

• Produktion, bearbetning och distribution av livsmedel

• Forskning

• Digitala leverantörer

• Tillverkning

Det finns även uppdateringar kring vilka delsektorer som anses falla under kategorin väsentliga respektive viktiga sektorer.

2) Det andra är att identifiera berörda entiteter på ett storleksbaserat kriterium. Detta innebär att direktivet är tillämpligt på entiteter som klassas som medelstora och uppåt. Dock, om entiteten synes har exempelvis en nyckelroll i samhället, ekonomin eller särskild sektor blir NIS2-direktivet tillämpbart oavsett storlek.

Dessa två kriterier avser att vägleda medlemsländerna i att identifiera de sektorer som omfattas av NIS2. Medlemsländerna har fram till och med den 17 april 2025 att ta fram ett register och meddela kommissionen de namn som utgör väsentliga respektive viktiga entiteterna i medlemslandet.

Vi på Omegapoint kan hjälpa er

Vi på Omegapoint hjälper er gärna kring era frågor och arbeten inför NIS2-direktivet. Genom vår expertis, samt vårt verktyg O.ciso kan vi tillsammans bidra till effektiviserad arbete för er kring de krav som det nya direktivet uppställer. Tveka därför inte att höra av er om ni vill veta mer!

Referens

Direktivet EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet)

I nästa del av denna NIS2-serien går vi igenom de krav som direktivet ställer på de entiteter som omfattas av. Den kan du läsa här.