NIS-direktivet som syftar till att nå en hög cybersäkerhetsnivå i hela EU har funnits sedan 2016. För att ytterligare stärka arbetet beslutade Europaparlamentet och EU-rådet om ett nytt direktiv, NIS 2, i oktober 2022. Det pågår nu en utredning på uppdrag av regeringen för att fastställa den svenska tillämpningen av direktivet. Enligt det delbetänkande som presenterades i april 2024 ska den nya Cybersäkerhetslagen träda i kraft 1 januari 2025.
NIS 2 bygger på de tre grundpelare som låg till grund för det ursprungliga NIS-direktivet.
Vilka organisationer omfattas av NIS 2?
Cybersäkerhetslagen föreslås omfatta betydligt fler aktörer inom såväl offentlig som privat sektor. Antalet sektorer utökas från sju till 18. En stor skillnad för organisationer inom offentlig sektor är, enligt nuvarande förslag, att sektorn som helhet ska omfattas och inte som i nuvarande direktiv, endast vissa verksamhetsområden som hälso- och sjukvård, energi och dricksvattenförsörjning. Den andra viktiga skillnaden är att kraven kommer att gälla för hela verksamheten inte bara för samhällsviktiga och digitala tjänster.
NIS-direktivet omfattar redan idag bank- och finansverksamhet, transport och digital infrastruktur och kompletteras enligt det nya direktivet med ytterligare verksamheter.
Hur kan din organisation förbereda sig inför införandet?
Direktivet och tillhörande föreskrifter har sedan tidigare ställt krav på ett systematiskt och riskbaserat informationssäkerhetsarbete som minst motsvarar den internationella standarden ISO 27001 och ISO 27002. Det uppdaterade direktivet har tydligare inriktning mot proaktiv riskhantering där processer för riskbedömningar och incidentberedskap förstärks. Det ställer också högre krav på ledningens engagemang och utvecklade strategier för styrning och ledning. Offentliga organisationers digitala infrastruktur, liksom arbetssätt och styrkedjor, kommer behöva anpassas för att möta NIS 2.
Hur vi stöttar er i förändringsarbetet med NIS 2-direktivet
- En GAP-analys ger insikt i vilka förutsättningar som er organisation har för att möta kraven i NIS 2-direktivet, och vad som krävs för att nå dit. Vår metodik för GAP-analys bygger på ett nära samarbete med er organisation. Vi genomför analysen tillsammans med er organisation, utifrån era insikter och vår specialistkompetens kring NIS 2 och förändringsledning.
- En handlingsplan innehåller konkreta aktiviteter som er organisation behöver genomföra för anpassningen till NIS 2. Aktiviteterna anpassas till er organisation. Vi har stor erfarenhet av rådgivning mot både offentliga och privata aktörer, och stödet anpassas till era förutsättningar.
- Utifrån resultatet av Gap-analys och handlingsplan kan vi erbjuda stöd inom utvalda fördjupningsområden, genomförande av utbildning, aktiviteter eller vara processledare i ert utvecklingsarbete för att nå lagkraven.
Vårt stöd bygger på tät samverkan med er under hela processen. Tillsammans går vi igenom förutsättningar och utvecklingsbehov. Samsyn och er delaktighet är avgörande för att utvecklingen ska bli värdeskapande och hållbar.
Vi har stor erfarenhet av förändringsledning och verksamhetsutveckling inom offentliga organisationer. Vi arbetar dedikerat med kommuner, regioner och myndigheter och är specialiserade på styrning och ledning inom offentlig sektor.
Läs mer om Regeringens delbetänkande om NIS 2-direktivet och CER-direktiven.
Jenny Thörn
Specialist inom information- och cybersäkerhet
jenny.thorn@kpmg.se
+46 70 929 9445
Utforska mer
Läs vår senaste rapport om cybersäkerthet och hur vi kan hjälpa er organisation.
