Under hösten ersätter EU det tidigare NIS-direktivet från 2016 med en uppdaterad lagstiftning, NIS2, som ska öka cybersäkerheten och motståndskraften hos samhällsviktiga tjänster och digitala system i Europa. I Sverige börjar den nya lagstiftningen gälla från början av 2025.
Digitaliseringen av samhället går snabbt, och det är positivt. Men med utvecklingen kommer också utmaningar inom säkerhetsområdet. Det nya NIS2-direktivet (Network and Information Systems) ökar väsentligt kraven på riskanalys och säkerhetsåtgärder. På Tyréns jobbar vi med frågorna och våra experter är redo att stötta när du som fastighetsutvecklare behöver råd om hur ni ska jobba framåt, eller stöttning i analyser och åtgärdsplaner
Med NIS2 tar EU ett viktigt steg mot att säkra digitala tjänster och samhällsviktiga system mot framtidens cyberhot. Genom att utvidga skyddet till fler sektorer och införa strängare säkerhetsstandarder hoppas EU kunna bygga ett mer motståndskraftigt och samordnat cyberskydd inom unionen.
Den nya lagstiftningen kommer ge ett bredare skydd som också omfattar små och medelstora företag inom områden som hälso- och sjukvård, energi, transport och digital infrastruktur. Detta är en markant förändring från det ursprungliga direktivet, som främst rörde större aktörer.
– Hela verksamheten inom kommuner, region eller fastighetsbolag i Sverige berörs av lagstiftningen, vilket innebär att fler aktörer måste anpassa sig till de nya kraven. Viss vägledning kring vilka verksamheter som omfattas och vilka som är undantagna hittas hos MSB, Myndigheten för samhällsskydd och bevakning. Men oavsett om din verksamhet uppfyller kriterierna eller inte, är det uppdaterade NIS2-direktivet ett bra sätt att höja informationssäkerheten och cybersäkerheten inom verksamheten, säger Andreas Dimitriou, infrastrukturstrateg på Tyréns.
För att säkerställa att NIS2 följs får nationella myndigheter utökade befogenheter för tillsyn och genomdrivande i form av hårdare sanktioner mot organisationer som inte uppfyller säkerhetskraven eller dröjer med att rapportera incidenter.
– För den som inte följer regelverket införs böter på upp till två procent av omsättningen eller tio miljoner euro. Detta skapar incitament för företag och organisationer att investera i cybersäkerhet och därmed bidra till en mer hållbar framtid, menar Andreas Dimitriou
En av de mest betydande förändringarna i NIS2 är de skärpta säkerhetskraven. Organisationer som omfattas av direktivet måste nu implementera detaljerade åtgärder för riskhantering, incidenthantering och kontinuitetsplanering. Dessutom betonar direktivet vikten av säkerhetstänk vid inköp och användning av informations- och kommunikationsteknik, vilket anses vara kritiskt i en tid av ökande cyberhot.
Företag som berörs av NIS2 kommer också att möta striktare krav på incidentrapportering. Incidenter som påverkar nätverk och informationssystem måste snabbt rapporteras till nationella myndigheter, och direktivet ställer också högre krav på rapporteringens innehåll.
– Det har vi på Tyréns tagit höjd för och kan ge stöd och nödvändig expertis för en smidig anpassning till de både NIS2 och svenska regler.. Bland annat har vi utvecklat en systematik när det gäller att ta fram risk- och sårbarhetsanalyser för den aktuella fastighetsägaren. Denna analys kan sedan efterföljas av en åtgärdsplan och projektledning. För oss är det viktigt att poängtera att organisationen ska vara NIS2-Ready, förklarar Andreas Dimitriou.
