EU-direktivet NIS2 för nätverks- och informationssäkerhet träder i kraft nästa år och innebär en betydande skärpning av kraven jämfört med dess föregångare. Det nya direktivet, som ska införas i svensk lagstiftning, kommer att påverka runt 30 000 företag och organisationer i Sverige, vilket är en avsevärd ökning från de cirka 3 000 som berördes av NIS1.
Krönika: ”Så kan företag möta NIS2 och undvika kostsamma böter”
Krönika 2025 skärps lagkraven för informationssäkerhet betydligt när EU-direktivet NIS2 införs. Konsekvenserna av att inte leva upp till kraven kan bli kostsamma. Den positiva sidan av detta är att direktivet kommer att leda till säkrare företag och en starkare offentlig förvaltning, skriver Thomas Aardal, CTO på Nagarro, i en krönika.
Någonting är fel
Läs vidare – starta din prenumeration
NIS2 omfattar ett betydligt större antal sektorer än NIS1. Nya verksamhetsområden omfattar exempelvis avloppsvatten- och avfallshantering, flyg- och rymdteknik, post- och kurirtjänster samt hela livsmedelskedjan. I vissa fall spelar företagets storlek en roll för om det omfattas av NIS2, och direktivet gäller även för verksamheter utanför EU som levererar tjänster till medlemsländer.
En annan viktig förändring är de skärpta kraven på organisationsledningen. Chefer blir direkt ansvariga för att upptäcka och förebygga säkerhetsincidenter, och varje organisation måste genomföra riskbedömningar och upprätta en IT-säkerhetspolicy. Dessutom måste säkerheten för nätverk och informationssystem garanteras, vilket är en komplex uppgift att definiera och genomföra.
NIS2 påminner även om GDPR, då böter kan utdömas för bristande efterlevnad. Det talas om att företag riskerar böter på upp till två procent av sin omsättning, eller upp till tio miljoner euro, om de inte följer direktivets krav. Det ser med andra ord ut att bli billigare att investera i informationssäkerhet än att betala eventuella NIS2-böter.
En annan skärpning är rapporteringen av säkerhetsincidenter, som nu ska ske inom 24 timmar istället för 72 timmar som tidigare.
Potential att skapa mer effektiva säkerhetssystem
Även om NIS2 ställer höga krav på företag och organisationer, erbjuder det också en möjlighet att förbättra och förenkla arbetet med informationssäkerhet. I takt med att fler företag implementerar AI, automatisering och andra digitala lösningar, finns det potential att skapa mer effektiva och hållbara säkerhetssystem.
Moderna tekniklösningar som AI och dataanalys är nödvändiga för att hantera det dagliga arbetet med övervakning, incidentrapportering och riskbedömningar. Dessa verktyg kan också bidra till att ta fram underlag för säkerhetspolicys och stödja utvecklingen av de processer som krävs för att efterleva NIS2.
Det är avgörande att säkerhetsarbetet inte ses som en eftertanke. Säkerhet måste integreras från början när nya digitala lösningar implementeras. Detta gäller särskilt vid införandet av AI och automatisering, där säkerheten bör vara en central del av strategin.
Enhetliga teknikplattformar för digitalisering, AI och dataanalys, i samverkan med moderna arbetssätt, underlättar inte bara informationssäkerhet utan också efterlevnad av NIS2. Företag och organisationer som ännu inte påbörjat arbetet med att anpassa sig till de nya kraven bör agera omgående. Extern expertis kan vara till stor hjälp för att säkerställa en smidig övergång och att alla krav uppfylls.
Att följa NIS2 handlar inte bara om att undvika böter – det är en investering i långsiktig säkerhet och stabilitet för hela verksamheten.
– Thomas Aardal är CTO på Nagarro
Detta är en krönika från systertidningen Telekom idag.