e-Check.se – digital egenkontroll

NIS vs NIS2 – vad är skillnaden?

NIS2 är inte bara en uppdatering av det tidigare NIS-direktivet. Det är ett betydligt bredare och skarpare regelverk som omfattar fler verksamheter, ställer tydligare krav på säkerhetsarbete och gör cybersäkerhet till en uttalad ledningsfråga.

För svenska organisationer är den praktiska frågan därför sällan bara vad skillnaden är mellan NIS och NIS2, utan snarare om verksamheten omfattas av den svenska cybersäkerhetslagen, vad som behöver göras annorlunda och hur mycket högre kravnivån nu är.

Kort sammanfattning

Det tidigare NIS-regelverket fokuserade på leverantörer av samhällsviktiga tjänster och vissa digitala tjänster. NIS2 breddar omfattningen, skärper kraven på riskhantering och säkerhetsåtgärder, inför tydligare regler för incidentrapportering och gör ledningens ansvar betydligt mer konkret.

I Sverige genomförs NIS2 genom cybersäkerhetslagen. Det innebär att många fler organisationer än tidigare behöver bedöma om de omfattas, hur deras ansvar ser ut och hur de ska arbeta systematiskt med cybersäkerhet.

NIS var första steget – NIS2 är nästa nivå

Det ursprungliga NIS-direktivet var EU:s första breda cybersäkerhetsregelverk. Syftet var att höja säkerheten i nätverk och informationssystem hos vissa samhällsviktiga och digitala verksamheter.

NIS2 bygger vidare på samma grundidé, men skärper reglerna tydligt. Fler sektorer omfattas, fler organisationer träffas av regleringen, minimikraven på säkerhetsåtgärder är mer konkreta och tillsynen har blivit mer utvecklad.

Vill du först läsa grunden rekommenderar vi vår sida om vad NIS2 innebär och vår guide om vad cybersäkerhetslagen är.

1. Omfattningen har blivit mycket större

En av de största skillnaderna mellan NIS och NIS2 är vilka verksamheter som kan omfattas.

Under NIS låg fokus på ett mer begränsat antal leverantörer av samhällsviktiga tjänster och vissa digitala tjänster. NIS2 omfattar betydligt fler sektorer och bygger i högre grad på en strukturerad bedömning av sektor, verksamhetstyp, storlek och vissa särskilda undantag.

Det betyder att fler organisationer behöver göra en faktisk bedömning av om de omfattas av reglerna. För många är det första steget att läsa mer om vem som omfattas av cybersäkerhetslagen eller att göra vårt NIS2-test.

2. NIS2 delar in verksamheter i väsentliga och viktiga

En annan viktig skillnad är att NIS2 inför kategorierna väsentliga och viktiga verksamhetsutövare.

Kraven på säkerhetsarbete är i stor utsträckning likartade, men tillsynen och sanktionerna skiljer sig åt. För organisationer som omfattas innebär det att klassificeringen får praktisk betydelse för hur myndighetskrav, uppföljning och tillsyn kan se ut.

På vår sida om cybersäkerhetslagen går vi igenom hur svensk rätt hanterar omfattning, tillsyn och ansvar.

3. Kraven på säkerhetsåtgärder är tydligare och mer konkreta

Det gamla NIS-regelverket ställde krav på ett riskbaserat informationssäkerhetsarbete och lämpliga tekniska och organisatoriska säkerhetsåtgärder. NIS2 går längre och pekar tydligare ut vilka delar säkerhetsarbetet ska omfatta.

I praktiken handlar det bland annat om riskanalys, incidenthantering, kontinuitetsarbete, säkerhet i leveranskedjan, säker utveckling och underhåll, uppföljning av åtgärders effektivitet, cyberhygien, kryptografi, åtkomstkontroll och autentisering.

Fördjupa dig gärna i vår översikt över NIS2 och vår guide om incidentrapportering enligt NIS2.

4. Ledningens ansvar är mycket tydligare i NIS2

En av de mest betydelsefulla förändringarna är att cybersäkerhet inte längre kan behandlas som en isolerad IT-fråga. NIS2 och cybersäkerhetslagen gör cybersäkerhet till en tydlig lednings- och styrningsfråga.

Det innebär bland annat att styrelse och högsta ledning behöver kunna förstå riskbilden, godkänna säkerhetsåtgärder, följa upp att de genomförs och säkerställa att organisationen faktiskt arbetar systematiskt och dokumenterat.

För verksamheter som omfattas finns också ett tydligt krav på att ledningen ska ha tillräcklig kunskap för att kunna utöva sitt ansvar. Läs mer i vår guide om ledningsansvar enligt cybersäkerhetslagen.

5. Incidentrapporteringen är mer detaljerad och tidsstyrd

Under det tidigare NIS-regelverket skulle incidenter rapporteras utan onödigt dröjsmål om de hade betydande påverkan. NIS2 ställer mer detaljerade krav på hur rapporteringen ska ske och i vilken ordning.

Det räcker därför inte att ha tekniska skydd på plats. Organisationen behöver också ha tydliga processer för eskalering, beslutsfattande, intern samordning och rapportering under tidspress.

Läs mer i vår guide om incidentrapportering enligt NIS2.

6. Tillsyn och sanktioner är skarpare

NIS2 innebär också högre krav på faktisk efterlevnad. Kombinationen av bredare omfattning, tydligare minimikrav, större ledningsansvar och mer strukturerad tillsyn gör att cybersäkerhet blir en mer affärskritisk fråga än tidigare.

För organisationer som omfattas handlar det inte bara om att ha policyer eller tekniska kontroller, utan om att kunna visa hur arbetet bedrivs, följs upp och förbättras över tid.

7. NIS2 påverkar även verksamheter som inte direkt omfattas

Även företag som inte själva omfattas av cybersäkerhetslagen kan påverkas indirekt. När kunder eller partners omfattas ökar ofta kraven på leverantörsledet, särskilt kring dokumentation, åtkomstkontroll, incidenthantering och säkerhetsnivå i tredjepartsrelationer.

Därför är NIS2 relevant även för många leverantörer, underleverantörer och samarbetspartner som behöver möta högre krav från sina kunder.

Vad är den viktigaste skillnaden mellan NIS och NIS2?

Den viktigaste skillnaden är att NIS2 gör cybersäkerhet mer omfattande, mer konkret och mer styrningsdriven än tidigare NIS.

NIS handlade i hög grad om att etablera ett första gemensamt ramverk. NIS2 tar nästa steg genom att omfatta fler sektorer, tydligare beskriva säkerhetskraven, skärpa incidentrapporteringen, öka ledningens ansvar och höja förväntningarna på dokumenterad efterlevnad.

Vad bör organisationer göra nu?

  1. Bedöm om verksamheten omfattas av cybersäkerhetslagen.
  2. Se över ansvarsfördelning, ledningens involvering och rapporteringsvägar.
  3. Identifiera kritiska system, beroenden och leverantörsrisker.
  4. Säkerställ att incidenthantering och dokumentation fungerar i praktiken.
  5. Utbilda ledning och nyckelpersoner där det behövs.

Relaterade sidor

Externa källor och vidare läsning

Vanliga frågor om NIS vs NIS2

Är NIS2 samma sak som cybersäkerhetslagen?

Nej. NIS2 är EU-direktivet, medan cybersäkerhetslagen är den svenska lagstiftning som genomför NIS2 i Sverige.

Vilken är den största skillnaden mellan NIS och NIS2?

Den största skillnaden är att NIS2 omfattar fler verksamheter, ställer tydligare krav på säkerhetsåtgärder, skärper incidentrapporteringen och gör ledningens ansvar mycket mer uttalat.

Måste ledningen vara involverad enligt NIS2?

Ja. NIS2 och cybersäkerhetslagen gör cybersäkerhet till en tydlig ledningsfråga. Ledningen behöver kunna förstå risker, godkänna åtgärder och följa upp efterlevnaden.

Vad bör man göra först om man tror att man omfattas?

Börja med att bedöma om verksamheten omfattas, kartlägg ansvar och beroenden och säkerställ att ledning, incidenthantering och dokumentation fungerar i praktiken.

Relaterat