In English

5 maj, 2023

Skillnaderna mellan NIS1 och NIS2

När EU-direktivet NIS nu uppdateras till NIS2 medför det en hel del nyheter som påverkar berörda organisationer, som dessutom har blivit betydligt fler till antalet. Här är en sammanfattning av skillnaderna mellan NIS1 och NIS2.

NIS-direktivet trädde i kraft i augusti 2018, med syftet att etablera och upprätthålla en hög säkerhetsnivå i samhällsviktiga nätverk och informationssystem inom hela EU. Bara två år senare kunde man konstatera att det ursprungliga NIS-direktivet inte var tillräckligt omfattande för att möta den ökade digitaliseringen och de hot den medför. Till följd av  detta valde EU-kommissionen att presentera ett reviderat förslag, kallat NIS2, som först godkändes och senare trädde i kraft i december 2022. Medlemsländerna har därefter 21 månader på sig att införliva NIS2 i nationell lagstiftning, mer exakt tills den 17 oktober 2024.

Det finns en hel del saker som förändras i samband med uppdateringen av direktivet, som i förlängningen påverkar de verksamheter som omfattas av lagstiftningen. Här är en sammanfattning av skillnaderna mellan NIS1 och NIS2. 

Omfattning

När det ursprungliga NIS-direktivet inrättades var det dedikerat mot företag och organisationer som tillhandahåller samhällskritiska tjänster och funktioner. Dessa aktörer delas in i två kategorier; leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster. I kategorin leverantörer av samhällsviktiga tjänster ingår sju sektorer; energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Till kategorin leverantörer av digitala tjänster räknas aktörer som tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster in.

En skillnad i det uppdaterade NIS-direktivet är att NIS2 nu kategoriserar verksamheter som antingen ”väsentliga entiteter” eller ”viktiga entiteter”. Till de sektorer som tidigare har berörts av direktivet läggs nu ytterligare till. Dessa innefattar avlopps- och avfallshantering, fjärrvärme eller fjärrkyla, livsmedel, offentlig förvaltning, tillverkningsindustrin, postverksamhet samt rymdverksamhet.

En ytterligare skillnad mellan NIS1 och NIS2 är urvalsprocessen av berörda verksamheter. I NIS1 har medlemsstaterna själva bestämt vilka aktörer som omfattas av lagstiftningen. Med NIS2 kommer alla medlemsländer istället använda samma kriterier för att identifiera leverantörer av samhällsviktiga och digitala tjänster, med syftet att harmonisera tillämpningsområdet länderna emellan. 

Säkerhetsåtgärder

Utöver att fler sektorer nu omfattas av NIS-direktivet har även kraven på säkerhetsåtgärder ökat, såväl tekniska som organisatoriska. Kraven på säkerhetsåtgärder i NIS1 är delvis tolknings- och valbara, vilket har resulterat i stora variationer länder emellan. NIS2 fokuserar istället på att höja den generella säkerhetsminiminivån, vilket innebär att fler säkerhetsåtgärder blir obligatoriska för alla verksamheter. Några av de säkerhetsåtgärder NIS2 ställer krav på är;

- Riskhantering, inklusive en plan för att hantera identifierade risker, samt regelbundna säkerhetskontroller för att säkerställa att implementerade säkerhetsåtgärder är effektiva.

- Kryptering av kommunikationstjänster för att skydda känslig information från obehörig åtkomst.

- Regelbundna säkerhetstester för att säkerställa att system och nätverk är skyddade mot cyberhot.

- Incidenthanteringsprocesser, inklusive hantering av cybersäkerhetsincidenter, rutiner för att rapportera incidenter samt återhämtningsplaner.

Incidentrapportering

Rapporteringsskyldigheter är en väsentlig del av NIS1 och kommer fortsätta vara det i NIS2. Första versionen av direktivet ställer olika krav på incidentrapportering beroende på om verksamheten levererade samhällsviktiga tjänster eller digitala tjänster. Leverantörer av samhällsviktiga tjänster har skyldighet att rapportera incidenter av betydande inverkan, medan leverantörer av digitala tjänster var skyldiga att rapportera incidenter av avsevärd inverkan

För att avgöra om en incident är av betydande karaktär bedöms den bland annat utifrån antal användare som är beroende av den drabbade tjänsten, hur beroende andra sektorer är av den drabbade tjänsten samt vilken inverkan incidenten skulle kunna ha på ekonomisk och samhällelig verksamhet eller allmän säkerhet. Incidenter av avsevärd karaktär baseras istället på antal påverkade användare, hur länge incidenten varar samt det påverkade områdets geografiska storlek.

Dessa incidenter ska sedan rapporteras till CIRT-enheten vid MSB, som i sin tur har i uppgift att fastställa incidentens omfattning och eventuellt vidarebefordra den till utvald tillsynsmyndighet.

NIS2 gör däremot ingen skillnad mellan olika typer av verksamheter, vilket innebär att samma rapporteringskrav nu ställs på både väsentliga och viktiga enheter. Antalet faktorer som avgör huruvida incidenter är skyldiga att rapporteras eller inte har också blivit färre. Enligt NIS2 ska alla incidenter som har en betydande påverkan på leveransen rapporteras, såsom driftstörningar eller åtkomstproblem. Utöver det ska även potentiella incidenter rapporteras in. Dessa innefattar bland annat misslyckade attackförsök och säkerhetsbrister som har identifierats genom tester och kontroller.

Tiden berörda aktörer har på sig att rapportera dessa incidenter har även den minskat, från utan onödigt dröjsmål till 24 timmar efter att en incident med betydande påverkan har upptäckts.

Leveranssäkerhet

En av de främsta attackvektorerna mot dagens verksamheter är så kallade supply chain-attacker, där angriparen utnyttjar leverantörer och underleverantörer för att nå sitt mål. Attackerna drabbar även samhällsviktiga aktörer, som i allt snabbare takt digitaliserar sina verksamheter och utökar sina angreppsytor genom outsourcing till tredje part. Detta är något EU-kommissionen har tagit fasta på i samband med att de uppdaterade kraven kring leverantörssäkerhet i uppdateringen till NIS2. 

Det nya direktivet fastslår att berörda verksamheter ska säkerställa säkerhet i hela leveranskedjan genom hantering av säkerhetsaspekter i relationen mellan verksamheten och dess leverantörer och tjänsteleverantörer. Aktörer som omfattas av NIS2 har med andra ord inte bara ansvar över säkerheten i den egna verksamheten, utan även sina leverantörers och potentiella underleverantörers.

Påföljder

En väsentlig skillnad mellan NIS1 och NIS2 är de potentiella påföljder organisationer som inte efterlever kraven riskerar. Medan NIS1 inte innehåller några konkreta riktlinjer för sanktionsavgifter, föreslår NIS2 böter på upp till 2 miljoner euro eller 2 % av den globala årsomsättningen, beroende på vilket belopp som blir störst. Sanktionerna kan sedan variera från böter och varningar till företagsförbud och andra rättsliga påföljder. Även utebliven rapportering av allvarliga säkerhetsincidenter kan leda till påföljder och sanktioner.

Dessa sanktioner motiveras delvis av att ett större ansvar läggs på organisationens ledning, som har i uppdrag att säkerställa att rätt säkerhetsåtgärder införs och efterlevs. Påföljderna kan riktas direkt mot styrande organ, men även mot individer i både styrelse och ledning som brister i sitt säkerhetsarbete eller inte genomgår obligatorisk utbildning i säkerhet och cyberhot.

Samarbete

Som tidigare nämnt är syftet med NIS-direktiven att höja nivån för samhällsviktiga nätverk och informationssystem inom hela EU. Ett led i det arbetet är att utöka samarbetet medlemsländerna emellan, bland annat genom ökade krav på utbyte av information vid händelser av incidenter eller upptäckt av nya sårbarheter och hot. Genom direktivet inrättas Europeiska kontaktnätverket för cyberkriser (EU-CyCLONe), som ska bidra till en samordnad hantering av storskaliga cyberincidenter och -kriser.

Omfattas din organisation av NIS2 och behöver hjälp med att efterleva direktivet?

Vi på Sentor har lång erfarenhet av att stötta organisationer i efterlevnadsarbetet med olika regelverk och direktivet, såsom NIS2. Våra konsulter kan bistå med hjälp i allt från att komma igång med arbetet till styrning och definiera relevanta säkerhetsåtgärder till genomförande och implementation. Kontakta oss eller läs mer om hur vi kan hjälpa till!