Vad är NIS2?
EU:s nya cybersäkerhetsregler som säger "skärp er, annars". Tvingar tusentals företag att ta säkerhet på allvar – med böter som väckarklocka.
NIS2 är ett EU-direktiv (en gemensam EU-lag som varje land bygger in i sin egen lagstiftning) om cybersäkerhet. Namnet står för "Network and Information Security", version 2 – alltså uppföljaren till en tidigare, tandlösare variant. Tänk dig att brandskyddsreglerna för byggnader plötsligt även började gälla ditt datanätverk: samma tanke om att förebygga katastrofer innan de händer.
Den stora skillnaden mot förr är att NIS2 omfattar många fler branscher. Inte bara elbolag och sjukhus, utan även livsmedel, tillverkning, avfallshantering, digitala tjänster och en massa underleverantörer. Om du levererar till någon som omfattas kan kraven trilla ner även på dig.
I praktiken kräver NIS2 att företag har ordning på tre saker: skydd (tekniska åtgärder mot intrång), incidenthantering (en plan för när det ändå smäller) och rapportering (att du snabbt berättar för myndigheten om något allvarligt hänt). Ledningen blir dessutom personligt ansvarig – det går inte längre att skylla på "IT-killen".
Varför är NIS2 viktigt för ditt företag?
Om ditt företag omfattas och struntar i kraven kan det bli dyrt – direktivet öppnar för kännbara sanktionsavgifter och personligt ansvar för ledningen. Men även om du inte omfattas direkt kan dina kunder börja kräva att du lever upp till samma nivå, eftersom en svag underleverantör är en risk för dem.
Det positiva: att jobba enligt NIS2 gör ditt företag mer motståndskraftigt. Ett företag som klarar ett dataintrång utan att stanna av är helt enkelt mer värt – både för kunder och för dig som sover om nätterna.
NIS2 i praktiken
Säg att du driver ett tillverkande företag i Jönköping som levererar komponenter till fordonsindustrin. Din stora kund omfattas av NIS2 och skickar plötsligt ett frågeformulär: Hur skyddar ni era system? Har ni en incidentplan? Vem ansvarar? Kan du inte svara bra riskerar du att tappa uppdraget.
Rätt väg är att kartlägga vilka system och data som är kritiska, införa grundskydd som tvåfaktorsautentisering och säkerhetskopior, och skriva ner en enkel plan för vad ni gör om ni blir hackade. Det behöver inte vara krångligt – men det behöver finnas på pränt.
Vanliga frågor om NIS2
Vad betyder NIS2?
NIS2 är ett EU-direktiv om cybersäkerhet som ställer krav på att företag i samhällsviktiga branscher skyddar sina system, hanterar incidenter och rapporterar allvarliga händelser. Det är en skärpt uppföljare till det tidigare NIS-direktivet.
Vilka företag omfattas av NIS2?
NIS2 omfattar företag inom en rad samhällsviktiga sektorer, som energi, transport, hälsa, livsmedel, tillverkning och digitala tjänster. Även underleverantörer kan påverkas indirekt om deras kunder omfattas.
Vad händer om man inte följer NIS2?
Företag som inte lever upp till kraven riskerar kännbara sanktionsavgifter, och ledningen kan hållas personligt ansvarig. Dessutom kan man tappa kunder som kräver att leverantörer uppfyller samma säkerhetsnivå.
Relaterade termer
OWASP Top 10
Listan över de 10 farligaste säkerhetshoten mot webbappar. Vi kollar mot listan i varje projekt.
Pen-test
Penetrationstest. Etiska hackare försöker bryta sig in i din app — innan de elaka gör det. Hittar svagheter du inte visste fanns.
2FA / MFA
Tvåfaktor- eller flerfaktorsautentisering. Lösenord + sms-kod / app. Stoppar 99% av kontostölder. Slå på det. Nu.
Zero Trust
Säkerhetsmodell där inget — inte ens interna nätverk — litas på automatiskt. Alla verifieras hela tiden.
End-to-End-kryptering
Data krypteras hos avsändaren och dekrypteras först hos mottagaren. Mellanhänder ser bara obegriplig text.
DORA
EU:s digitala härdighetstest för finansbranschen. Inte utforskaren – utan reglerna som ser till att banker och fintech inte kraschar när it:n krånglar.