Vad innebär NIS- och CER-direktiven för din verksamhet?

Syftet med NIS-direktivet från år 2016 är att nå en gemensam lägstanivå av säkerhet i samhällsviktiga tjänster och kritisk infrastruktur inom EU. Man sätter krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga och vissa digitala tjänster. Man utökar även omfattningen i och med NIS2 och CER-direktiven till fler verksamheter och till att omfatta fysisk anläggning från och med 2024.

Vad omfattar NIS2-direktivet?

NIS2-direktivet syftar till att förbättra EU:s förmåga att hantera och förhindra cyberhot mot kritisk infrastruktur och digitala tjänster. Direktivet tydliggör ledningens ansvaret och trycker på verksamhetens ansvar för sina underleverantörer. NIS2 som gäller från hösten 2024 omfattar de flesta leverantörer av samhällskritiska tjänster och följsamheten kommer vara föremål för oannonserad tillsyn av sektorsansvariga myndigheter.

Oavsett bolagets storlek och omfattning så gäller direktivet för utförare av samhällskritiska tjänster. Det är företag och organisationer inom sektorer som energi, elproduktion, eldistrtibution, fjärrvärme och vattenförsörjning men även transport, bank och finans, hälso- och sjukvård, och digital infrastruktur som är av avgörande betydelse för samhällets funktion. Det ställs tydliga krav på att allvarliga incidenter skall rapporteras och följas upp och att samarbete med myndigheterna för att hantera och åtgärda dessa incidenter sker skyndsamt.

Vad omfattar CER-direktivet?

CER-direktivet (Directive on the resilience of critical entities) ställer krav på åtgärder för att stärka motståndskraften i samhällsviktig verksamhet och det är i stort samma verksamheter som omfattas av NIS2-direktivet, med formuleringen; verksamhet, tjänst eller infrastruktur som upprätthåller eller säkerställer samhällsfunktioner som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet.

Dessa verksamheter bedrivs både av privat och offentlig sektor.

Enligt CER-direktivet ska förmågor hos samhällsviktig verksamhet förebygga, motstå och hantera störningar eller avbrott i verksamheten. Detta gäller oavsett om störningen eller avbrottet har föranletts av naturkatastrofer terroristattacker, sjukdomsförlopp såsom pandemier, hybridhot eller andra allvarliga händelser.

Var ska man börja?

Kontakta oss på Xmentor Management så kan vi hjälpa er med:

  • GAP-analys för att se var ni står relativt kraven och vad som behöver förbättras.
  • Säkerställa att riskanalyser upprättas utifrån direktiven
  • Se över era leverantörer och era leverantörskedjor: hur kontrollerar ni dem, hur följer ni upp leveransen över tid, hur bedömmer ni vilka som är mer kritiska och riskfyllda än andra?
  • Se över er incidenthantering. Säkerställ att att medarbetare rapporterar identifierar och rapporterar incidenter. Skapa snabba och enkla vägar till korrekta underlag.
  • Att verksamhetsledningen förstår sitt ansvar och vad som behöver göras utifrån perspektiven riskbedömning, prioritering och utbildning.
  • Kontinuitetshantering – säker drift och ökat ansvar för leverans i stört läge.
  • En grundläggande cyberhygien, både teknik samt kunskap och rutiner måste vara på plats.

Vi på Xmentor Management hjälper verksamheter att skapa en anpassad plan för förbättringar, genomförande och utbildning av er personal samt erbjuder er en modell för risk- och åtgärdskontroll som uppfyller alla krav på dokumenterad riskhantering. Om du vill veta mer om detta så tveka inte att höra av dig så berättar vi mer.  Klicka här för att kontakta oss.