NIS 2

NIS 2 direktivet

– de nya kraven på informationssäkerhet

NIS 2 direktivet är en uppdatering av nuvarande NIS direktiv och kommer att träffa betydligt fler sektorer och aktörer. Tillkommande sektorer är avloppsvatten, förvaltning av IKT-tjänster, offentlig förvaltning, rymden, post- och budtjänster, avfallshantering, tillverkning, produktion och distribution av kemikalier, produktion, bearbetning och distribution av livsmedel, tillverkning, digitala leverantörer och forskning.

Den tidigare uppdelningen mellan leverantörer av samhällsviktiga tjänster och digitala tjänster försvinner. Istället sker en indelning mellan väsentliga och viktiga entiteter. Även mindre verksamheter omfattas om de uppfyller vissa specifika kriterier som tar sikte på om entiteten har en nyckelroll för samhället, ekonomin eller en viss sektor som omfattas av direktivet.

De nya reglerna innebär en skärpning av de krav på åtgärder som ska tillämpas för att hantera risker kopplade till säkerheten i nätverk och informationssystem. De nya kraven på säkerhetsåtgärder uttrycks som minimikrav och träffar nätverks- och informationssystem som används i verksamheten för att tillhandahålla tjänster. Även rapporteringskraven blir mer precisa.

Bestämmelserna om ingripanden och sanktioner blir mer detaljerade. Bl a kan tillfälligt upphävande av certifiering eller auktorisation ske för relevanta tjänster samt tillfälligt förbud för varje fysisk person som på nivån för verkställande direktör eller juridiskt ombud har ledningsansvar i en sk väsentlig entitet att utöva ledningsfunktioner i den entiteten. Gränsen för sanktionsavgifter höjs radikalt och kan genom NIS 2 direktivet uppgå till 10 000 000 EUR eller högst 2 % av den totala globala årsomsättningen.

Gällande ingripanden och sanktioner kopplade till utbildningskravet framgår av artikel 20 NIS2 att medlemsstaterna ska;
– säkerställa att medlemmarna i väsentliga och viktiga entiteters ledningsorgan är skyldiga att genomgå utbildning, och ska
– uppmuntra väsentliga och viktiga entiteter att regelbundet erbjuda liknande utbildning till sina anställda för att de ska få tillräckligt med kunskap och kompetens för att kunna identifiera risker och bedöma riskhanteringspraxis för cybersäkerhet och deras inverkan på de tjänster som tillhandahålls av entiteten.

Av det svenska förslaget till Cybersäkerhetslag (SOU), 3 Kap, 3§ framgår att ledningen i enskilda och offentliga verksamheter ska genomgå utbildning om riskhanteringsåtgärder och anställda ska erbjudas sådan utbildning. Av 5 kap 1 § samma lag, gällande ingripanden och sanktioner, framgår att tillsynsmyndigheten ska ingripa om en verksamhetsutövare har åsidosatt sina skyldigheter enligt denna lag, eller föreskrifter som har meddelats med stöd av bestämmelserna om bl.a. utbildning enligt 3 kap. 3 §.

Ur kursen:

  • Bakgrund till NIS regleringen och rådande informationssäkerhetskrav
  • Vem träffas av de nya reglerna
  • Viktiga definitioner
  • Medlemsstaternas skyldigheter och samarbete på nationell- och unionsnivå
  • Kraven på verksamheters riskhanteringsåtgärder
  • Verksamheters rapporteringsskyldigheter
  • Användning av standarder
  • Tillsyn och efterlevnadskontroll – exempel på tillsynsaktiviteter och ålägganden
  • Sanktioner och villkoren för hur dessa bestäms

Tid:
10 mars 2025 kl 09.00 – 12.00
Registrering från kl. 08.30
Kursen motsvarar 3 undervisningstimmar

Plats:
Webbinarium
Zoom
 
Kursavgift:
4 900 kr exkl. moms

(Kursavgift med sjukdomsskydd 5 290 kr exkl. moms)

Kursavgiften inkluderar:
Dokumentation samt kursintyg.

Föreläsare:

Målgrupp:
Utbildning för ledningsorgan och anställda.

Hålltider:
Kursstart 09.00
Kursslut 12.00