NIS 2-direktivet: säkra nätverks- och informationssystem

Cybersäkerhet innebär att skydda nätverks- och informationssystem (NIS), deras användare och andra berörda personer från cyberincidenter och cyberhot. För att bemöta Europas ökade exponering för cyberhot ersatte direktiv 2022/2555, även kallat NIS2, sin föregångare, direktiv 2016/1148 eller NIS1. NIS2 höjer EU:s gemensamma ambitionsnivå när det gäller it-säkerhet genom ett bredare tillämpningsområde, tydligare regler och starkare tillsynsverktyg. Det kräver att medlemsstaterna förbättrar sin cybersäkerhetskapacitet, samtidigt som de inför riskhanteringsåtgärder och rapporteringskrav för entiteter från fler sektorer och fastställer regler för samarbete, informationsutbyte, tillsyn och efterlevnad av cybersäkerhetsåtgärder.

Enligt direktivet ska varje medlemsstat anta en nationell strategi för cybersäkerhet, som omfattar strategier för säkerhet i leveranskedjan, sårbarhetshantering samt utbildning och medvetenhet om cybersäkerhet. Medlemsstaterna måste också upprätta och regelbundet uppdatera en förteckning över leverantörer av samhällsviktiga tjänster för att säkerställa att dessa entiteter uppfyller direktivets krav.

Utöver de sektorer som redan omfattas av NIS 1 – energi, transport, hälso- och sjukvård, finans, vattenförvaltning och digital infrastruktur – gäller de nya reglerna även leverantörer av offentlig elektronisk kommunikation, fler digitala tjänster (t.ex. sociala plattformar), hantering av avfall och avloppsvatten, tillverkning av kritiska produkter, post- och budtjänster och offentlig förvaltning på både central och regional nivå samt rymdsektorn. I regel måste medelstora och stora entiteter inom dessa kritiska sektorer vidta lämpliga riskhanteringsåtgärder för cybersäkerhet och underrätta relevanta nationella myndigheter om betydande incidenter. Detta är incidenter som kan orsaka betydande störningar eller skador.

Direktivet innehåller också bestämmelser om tillsyn, efterlevnadskontroll och frivillig inbördes utvärdering för att öka det ömsesidiga förtroendet och cybersäkerhetskapaciteten i hela EU. Det inför också ansvarsskyldighet för den högsta ledningen för bristande efterlevnad av riskhanteringsåtgärder för cybersäkerhet, vilket gör styrelserummet uppmärksamt på cybersäkerhet.

Genom direktivet inrättas ett nätverk av enheter för hantering av it-säkerhetsincidenter (CSIRT-enheter) som ska utbyta information om cyberhot och reagera på incidenter. Dessa team är avgörande för att upprätthålla situationsmedvetenhet och erbjuda hjälp. För att hantera storskaliga cybersäkerhetsincidenter eller cybersäkerhetskriser inrättas genom direktivet det europeiska kontaktnätverket för cyberkriser (EU-CyCLONe). Detta nätverk stöder samordnad förvaltning och säkerställer regelbundet informationsutbyte mellan medlemsstaterna och EU-institutionerna i händelse av storskaliga incidenter och kriser. 

Samarbetsgruppen för nät- och informationssäkerhet är samtidigt en plattform som inrättats genom direktivet om nät- och informationssäkerhet för att underlätta strategiskt samarbete och informationsutbyte mellan EU:s medlemsstater, Europeiska kommissionen och EU:s cybersäkerhetsbyrå (Enisa). Gruppen offentliggör icke-bindande riktlinjer och rekommendationer för att stödja genomförandet av NIS-direktivet.

Bakgrund

NIS 1 (direktiv 2016/1148) var den första övergripande EU-lagstiftningen som syftade till att öka cybersäkerheten i nätverks- och informationssystem för att skydda viktiga tjänster för EU:s ekonomi och samhälle. I december 2020 föreslog kommissionen en översyn av NIS 1, vilket ledde till antagandet av NIS 2, som trädde i kraft i januari 2023. Medlemsstaterna hade till och med den 17 oktober 2024 på sig att införliva NIS 2-direktivet i nationell lagstiftning. NIS 2 upphävde NIS 1 från och med den 18 oktober 2024.