Vad då för ett NIS2-direktiv? En ny tidsperiod med ökad cybersäkerhet börjar snart
EU:s obligatoriska cybersäkerhetsdirektiv NIS2 kommer att ändra hanteringen av cyberrisker i organisationer på samma sätt som ikraftträdandet av GDPR ändrade, även om NIS2 inte gäller alla lika omfattande. Läs våra specialisters artikel om inverkan av det nya direktivet.
NIS2-direktivet blir en del av den nationella lagstiftningen i Finland i mitten av oktober. NIS2-direktivet medför betydande ändringar i cybersäkerheten för organisationer som är verksamma i alla EU:s medlemsländer.
Direktivet inverkar djupt på organisationernas ledning av affärsverksamheten, teknik- och partnerval samt operativ övervakning.
– Enligt direktivet ska organisationerna regelbundet identifiera och bedöma cyberrisker, förverkliga riskbaserade skyddsåtgärder, upprätthålla en plan för hantering av avvikelser och rapportera cyberincidenter inom bestämda tider och enligt formbundenhet, säger LokalTapiolas utvecklingschef inom cyberförsäkringar Eero Järvenpää.
I och med NIS2-direktivet bär den operativa företagsledningen ett mer omfattande ansvar än tidigare för verkställandet och övervakningen av cybersäkerheten.
– Detta innebär att ledningens ansvar i fortsättningen även omfattar uppgiftsområdet cybersäkerhet, vilket förutsätter godkännande av verksamhetsmodeller för riskhantering och övervakning av dess förverkligande. Den operativa ledningen måste därför möjliggöra verkställandet av riskhanteringen och övervaka dess effektiva verkställande, konstaterar Trusecs* specialist Joni Lehtiniemi.
– Det är inte alltid direkt fråga om den egna organisationen, men kraven i den kommande lagen kan hamna på ditt bord till exempel via leveranskedjan. Dessutom är detta ett utmärkt tillfälle även för andra aktörer att granska sin egen praxis när det gäller att förbereda sig på cyberrisker, Järvenpää säger.
Ledningen har en central roll för att säkerställa cybersäkerheten
Direktivets krav förverkligas via nationella lagar, vilka bland annat omfattar en ny lag om hantering av cybersäkerhetsrisker och ändringar i lagen om informationshantering inom den offentliga förvaltningen och lagen om tjänster inom elektronisk kommunikation. De tidigare NIS1-exekutiva stadganden upphävs från de sektorsspecifika lagarna.
Organisationer måste tydligt definiera roller och ansvar för cybersäkerhet både internt och externt vad gäller hela leveranskedjan. Detta kräver att den operativa ledningen aktivt deltar i riskhanteringen och dess övervakning, vilket betonar ledningens centrala roll för att säkerställa cybersäkerheten.
Kraven i direktivet förverkligas via följande nationella lagar:
1. Lag om hantering av cybersäkerhetsrisker (ny lag)
2. Lag om informationshantering inom den offentliga förvaltningen (lagen ändras)
3. Lag om tjänster inom elektronisk kommunikation (lagen ändras).
Vem alla gäller direktivet?
NIS2 gäller alla stora företag och organisationer som verkar inom sektorer som definieras som kritiska. Dessa är till exempel energi, transport, offentlig förvaltning, bank och finans samt vatten- och avfallshantering. Se närmare listan i
Tolkningen av tillämpningsområdet kan vara utmanande och varje aktör måste själv ta reda på om stadganden i denna lag ska tillämpas på deras verksamhet. Företag vars leveranskedjor innefattar en NIS2-aktör kommer att utvidga kraven att även gälla sin leveranskedja.
Det är inte alltid fråga om den egna organisationen
I praktiken kommer NIS2-kraven att gälla många aktörer som inte direkt uppfyller villkoren för en central eller viktig NIS2-aktör men där NIS2-aktören, via underleverantörs- och partneravtal, kommer att utvidga NIS2-kraven till sin leveranskedja. Därför är det bra att förhålla sig öppet till ärendet och att diskutera med partner och aktörer i de egna leveranskedjorna, för att undvika obehagliga överraskningar både i vardagen och i avtalsförhandlingar.
Påverkar detta på något sätt min organisation, om jag inte är en direkt NIS2-aktör eller en del av NIS2-leveranskedja?
– Inte direkt, men min varma rekommendation är att du bekantar dig med den kommande lagstiftningen och särskilt
Varför behövs en separat lag även för detta?
Om cybersäkerheten har getts många rekommendationer och anvisningar och tidigare har stiftats NIS1-lagen. Dessa har dock inte förbättrat cybersäkerheten tillräckligt så en ny, strängare lag än tidigare har ansetts vara nödvändig för att uppnå en viss miniminivå på cybersäkerheten i EU-området.
– Jag har jämfört NIS2 med tvånget att använda säkerhetsbälte, vilket en gång i tiden blev en del av lagstiftningen. Här är det till stor del fråga om samma sak: bara för att det finns säkerhetsbälten i bilen har de inte använts tillräckligt mycket, även om användningen av säkerhetsbälten avsevärt minskar antalet dödsfall i trafiken. Användningen ökade inte bara genom att upplysa och rekommendera, så för den allmänna säkerhetens skull återstod bara att göra användningen av säkerhetsbälten obligatorisk, säger Trusecs specialist Joonas Simolin och fortsätter:
– NIS2 tvingar alltså under böteshot, att ta i bruk skyddsmurar i anslutning till cybersäkerhet för att cybersäkerheten i EU ska vara på en bättre nivå. I detta skede har man uttryckligen velat skydda kritiska företag och deras leveranskedjor, vars äventyrande av cybersäkerheten skulle få betydande samhällelig inverkan.
NIS2 är redan den andra iterationen av dataskyddslagstiftningen och den blir knappast den sista, utan i följande skede granskas, skärps och utvidgas kraven vid behov, precis som det nuförtiden ges en signal i bilen om säkerhetsbältet inte är på.
– Företag som inte i tid förbättrar sin cybersäkerhet börjar ackumulera en sk. datasäkerhetsskuld. Datasäkerhetsskulden kan i ett senare skede bli dyr, antingen i form av en lyckad attack eller ett reparationsarbete som kräver stora investeringar, säger Simolin.
Börja här:
1. Bekanta dig med NIS2 och utred,
om din organisation är en direkt NIS2-aktör .2. Ta reda på och påbörja en diskussion i dina partner- och underleverantörsnätverk om hur den kommande lagen inverkar på övriga aktörer och återspeglas dessa faktorer också på den egna organisationen.
3. Bekanta dig i varje fall med
de åtgärdsrekommendationer för riskhantering som Cybersäkerhetscentret har under beredning och överväg om dessa åtgärder skulle vara nyttiga för din organisation.
*Artikeln har skrivits i samarbete med Truesec Truesec är LokalTapiolas samarbetspartner inom cyberförsäkring.