NIS2 uppdatering – nu har den första genomförandeakten publicerats!
NIS2-direktivet innebär nya lagkrav på cybersäkerhet och ska enligt EU införlivas i medlemsländerna senast den 17 oktober 2024. Enligt direktivet ska EU-kommissionen anta genomförandeakter för digital infrastruktur, IKT-tjänster och digitala leverantörer gällande tekniska, driftrelaterade och organisatoriska åtgärder samt incidentrapportering. Ett utkast till en sådan akt har nyligen publicerats och planeras att antas den 16 september 2024.
Kommissionen får även anta genomförandeakter för andra sektorer som omfattas av NIS2, men eftersom digital infrastruktur har en så stark gränsöverskridande karaktär föreskriver NIS2 att dessa sektorer bör vara föremål för en hög grad av harmonisering på EU-nivå. Därför anser EU-lagstiftaren att det är prio att dessa sektorer får ytterligare vägledning från EU. Det återstår att se om även övriga sektorer kommer få vägledning av en genomförandeakt eller om det kommer ankomma på de nationella myndigheterna att utarbeta tydligare riktlinjer för efterlevnad av NIS2-direktivet.
Vad säger då utkastet av genomförandeakten för sektorerna inom digital infrastruktur?
Vi har sammanfattat några bestämmelser nedan. När det gäller tekniska, driftrelaterade och organisatoriska åtgärder anges bland annat följande:
I linje med proportionalitetsprincipen bör man ta vederbörlig hänsyn till att verksamhetsutövare har olika riskexponering, såsom de risker den utsätts för, verksamhetens storlek och struktur samt sannolikheten för att incidenter inträffar och deras svårighetsgrad, inklusive deras samhälleliga och ekonomiska konsekvenser.
Små verksamheter, återigen i linje med proportionalitetsprincipen, ska kunna vidta andra kompenserande åtgärder som är lämpliga för att uppnå de tekniska och metodologiska kraven för riskhanteringsåtgärderna för cybersäkerhet, med hänsyn till sin storlek. Till exempel kan mikrostora verksamhetsutövare ha svårt att separera motstridiga uppgifter och ansvar. Sådana verksamheter bör kunna överväga kompensationsåtgärder såsom riktad tillsyn av verksamhetens ledning eller ökad övervakning och loggning.
När verksamhetsutövare utför en affärskonsekvensanalys, rekommenderas de att utföra en omfattande analys som fastställer, när så är lämpligt, maximal tolerabel driftstopp, mål för återhämtningstid, mål för återställningspunkter och mål för tjänsteleverans.
Vidare uppges det att en rapporteringspliktig incident är när något av följande kriterier är uppfyllda:
Incidenten har orsakat eller kan orsaka ekonomisk förlust för verksamhetsutövaren som överstiger 100 000 EUR eller 5 % av verksamhetsutövarens årliga omsättning, beroende på vilket som är lägst.
Incidenten har orsakat eller kan orsaka avsevärd skada på verksamhetsutövarens anseende.
Incidenten har orsakat eller kan orsaka att företagshemligheter avslöjas.
Incidenten har orsakat eller kan orsaka en fysisk persons död.
Incidenten har orsakat eller kan orsaka betydande skada på en fysisk persons hälsa.
En framgångsrik, misstänkt skadlig och obehörig åtkomst till nätverk och informationssystem har inträffat.
När det gäller skada på anseendet anger genomförandeakten följande:
Incidenten har rapporterats i media.
Incidenten har resulterat i klagomål från olika användare eller kritiska affärsrelationer.
Enheten kommer inte att kunna eller sannolikt inte kommer att kunna uppfylla lagstadgade krav som ett resultat av incidenten.
Företaget kommer sannolikt att förlora kunder med en väsentlig inverkan på dess verksamhet till följd av incidenten.
Sammantaget klargör denna genomförandeakt många av de åtaganden som NIS2 föreskriver, vilket underlättar för organisationer att förstå och implementera de nödvändiga åtgärderna för cybersäkerhet. Även andra sektorer än de som berörs i denna genomförandeakt kan med fördel använda denna vägledning för att bli compliant. Läs genomförandeakten i sin helhet här.
För mer information eller om ni behöver hjälp med att uppfylla NIS2-kraven, är ni välkomna att kontakta oss.