Vad innebär den nya cybersäkerhetslagen (NIS2) för företag?

Cyberhoten mot företag och organisationer fortsätter att öka. Ransomware-attacker, phishing och dataintrång är idag ett reellt hot mot verksamheter i alla storlekar och branscher. Samtidigt inför EU nu hårdare krav på cybersäkerhet genom det nya NIS2-direktivet.

Men vad innebär egentligen den nya cybersäkerhetslagen? Och hur påverkas svenska företag?Här går vi igenom vad NIS2 är, vilka verksamheter som omfattas och hur företag kan förbereda sig.

Vad är NIS2?

NIS2 är EUs nya direktiv för cybersäkerhet och en uppdatering av den tidigare NIS-lagen. Syftet är att stärka säkerheten inom samhällsviktiga och digitala verksamheter i hela EU.

Bakgrunden är tydlig: cyberattackerna blir fler, mer avancerade och mer kostsamma. Samtidigt är många verksamheter idag helt beroende av digitala system för att fungera.

EU vill därför säkerställa att företag och organisationer arbetar mer strukturerat med IT-säkerhet och riskhantering.

Vilka företag påverkas?

NIS2 omfattar fler verksamheter än tidigare. Förutom samhällskritiska verksamheter påverkas även många medelstora företag.

Exempel på områden som kan omfattas:

Energi och elförsörjning
Transport och logistik
Hälso- och sjukvård
Bank och finans
Offentlig sektor
IT- och molntjänster
Digital infrastruktur
Datacenter och kommunikation

Även företag som är leverantörer till större organisationer kan påverkas indirekt genom ökade säkerhetskrav från kunder och samarbetspartners.

Vad ställer lagen för krav?

NIS2 innebär att företag behöver arbeta mer systematiskt med cybersäkerhet.
Några centrala krav är:

Riskhantering - Företag behöver identifiera och hantera risker kopplade till sina IT-system och digitala tjänster.

Incidentrapportering - Allvarliga cyberincidenter måste rapporteras inom kort tid.

Säkerhetsrutiner - Verksamheter behöver ha tydliga rutiner för åtkomsthantering, backup, incidenthantering etc.

Säkerhetsmedvetenhet - Utbildning och kunskap hos medarbetare blir en viktig del av säkerhetsarbetet.

Cybersäkerhet är inte längre bara IT-avdelningens ansvar

En av de största förändringarna med NIS2 är att ledningen får ett tydligare ansvar.

Cybersäkerhet behöver idag vara en strategisk fråga för hela verksamheten, inte bara något som hanteras av IT-avdelningen.

Det innebär att:

ledningen behöver förstå riskerna
säkerhetsarbetet behöver prioriteras
utbildning och interna rutiner blir viktigare
hela organisationen behöver vara delaktig

Många cyberattacker börjar fortfarande med mänskliga misstag, exempelvis phishingmejl eller svaga lösenord. Därför är säkerhetsmedvetenhet ofta minst lika viktigt som tekniska lösningar.

Sammanfattning

NIS2 innebär högre krav på cybersäkerhet för många företag och organisationer i Sverige.

Men lagen handlar inte bara om regler och krav. Den handlar också om att skapa tryggare verksamheter, minska risken för driftstopp och skydda både information och kunder.

För företag som vill ligga steget före blir kunskap, rutiner och säkerhetsmedvetenhet avgörande.

Vill ni stärka säkerhetsmedvetenheten i er organisation?

På Roda Utbildning erbjuder vi kurser inom IT-säkerhet där vi lär dig och dina medarbetare att identifiera cyberhot, arbeta säkrare i vardagen och skapa ett starkare skydd mot phishing, dataintrång och andra digitala risker. Vi erbjuder både grundläggande och mer fördjupade kurser inom cybersäkerhet för såväl medarbetare som ledning.

Se våra utbildningar inom IT-säkerhet här:
Kurser inom IT-säkerhet

Se alla våra andra blogginlägg här

Följ oss
Facebook LinkedIn

IT-säkerhet