NIS2 är EU:s nya direktiv för cybersäkerhet – och det påverkar betydligt fler verksamheter än tidigare. Målet? Att stärka skyddet för samhällets kritiska tjänster genom ökad motståndskraft mot cyberhot, incidenter och bristande riskhantering. Men för många företag innebär det också en ny verklighet: ansvar, krav och skyldigheter som måste förstås, dokumenteras – och följas upp.
Bakgrunden: från NIS till NIS2
Den första versionen av NIS-direktivet (Network and Information Security) trädde i kraft 2018. Det fokuserade framför allt på säkerhetskrav för ett antal utpekade sektorer som energi, transport och digital infrastruktur.
Men verkligheten har förändrats snabbt. Cyberattacker är mer sofistikerade, fler branscher är beroende av digitala flöden – och gränsen för vad som räknas som ”samhällskritisk” har breddats.
Därför ersätts nu det gamla direktivet av NIS2, som ställer högre och mer enhetliga krav på både teknik, ledning och dokumentation.
Vem omfattas av NIS2?
En av de största förändringarna i och med NIS2 är hur mycket bredare direktivet är jämfört med sin föregångare. Det gäller inte längre bara några få samhällskritiska aktörer – nu inkluderas en lång rad verksamheter, både inom offentlig och privat sektor.
Om din organisation erbjuder digitala tjänster eller infrastruktur inom exempelvis IT, kommunal service, fastighetsförvaltning, kundtjänst, HR-relaterade funktioner eller tillverknings- och logistiksektorn, är chansen stor att ni omfattas av NIS2. Det gäller också aktörer som agerar som underleverantörer inom någon av dessa sektorer – även där risker i leverantörskedjan ska hanteras enligt direktivet.
För många innebär det att man måste börja tänka mer proaktivt kring strukturer för ärendehantering, säkerhetsincidenter och ansvarsroller. Ett enhetligt ärendehanteringssystem – som stödjer både tekniska och icke-tekniska avdelningar – blir en central del i att möta kraven på spårbarhet och dokumentation.
Företag som redan jobbar enligt ramverk som ITIL ärendehantering eller Enterprise Service Management (ESM) har ofta ett försprång. De har redan etablerade processer för att hantera incidenter, följa upp ärenden och dokumentera åtgärder. Men även där kan NIS2 kräva att systematiseringen breddas och ledningsnivån involveras mer direkt.
Det är framför allt två kriterier som avgör:
- Bransch/sektor – finns du på listan över kritiska eller viktiga verksamheter?
- Storlek – har du fler än 50 anställda eller en årsomsättning över 10 miljoner euro?
Uppfyller du båda – då är chansen stor att du omfattas. I så fall blir det snart ett lagkrav att följa direktivets regler.
Det här kräver NIS2 av dig
Det handlar inte om att ”bara” installera brandväggar. NIS2 har ett bredare grepp:
Ledningsförankrat ansvar: Styrelse och ledning bär det yttersta ansvaret för att säkerhetsarbetet sker enligt krav.
Riskhantering och åtgärdsplaner: Du ska identifiera risker, förebygga incidenter och ha rutiner för att hantera dem om de uppstår.
Incidentrapportering: Säkerhetsincidenter måste anmälas inom 24 timmar.
Leverantörskedjan: Du har ansvar även för de externa aktörer som påverkar din digitala säkerhet.
Kontinuerlig dokumentation: Du ska kunna visa hur ni jobbar med efterlevnad och förbättring.
Det handlar alltså om både teknik, processer och kultur.
Från krav till konkret handling
Många organisationer står nu inför samma frågor: Var ska vi börja? Vad måste vi göra? Har vi redan delar på plats?
Det första steget är att förstå ert nuläge. Har ni kontroll över vilka system och flöden som är kritiska? Finns det rutiner för incidenthantering? Är säkerhetsarbetet dokumenterat och förankrat i ledningen?
Därefter gäller det att identifiera gapen och bygga en konkret handlingsplan. Här kan ett strukturerat ärendehanteringssystem spela en viktig roll – särskilt för att hantera incidentrapportering, spårbarhet, ansvarsfördelning och uppföljning.
NIS2 är inte bara ett regelverk – det är en möjlighet
Visst, NIS2 kan kännas som ett administrativt krav. Men det är också en möjlighet att stärka verksamhetens motståndskraft – och bygga en tryggare grund för affärerna. Genom att arbeta aktivt med cybersäkerhet, får du inte bara nöjdare kunder och partners – du minskar också risken för driftstopp, dataintrång eller kostsamma störningar.
Och kanske viktigast av allt: du visar att du tar ansvar för den digitala tillit som moderna verksamheter vilar på.
