Vi närmar oss snabbt införandet av det nya NIS2-direktivet och många offentliga aktörer ställer sig nu frågan om de kommer omfattas eller inte.
Det nya direktivet innebär att offentliga aktörer omfattas i betydligt högre utsträckning än tidigare. I utredningen om NIS2 i Sverige föreslås nämligen att majoriteten av svenska offentliga verksamheter ska omfattas.
I regeringens utredning som presenterades den 5:e mars 2024 går det nu att utläsa att nästan hela den offentliga sektorn i Sverige omfattas av den nya cybersäkerhetslagen.
Utredningen föreslår att lagen ska gälla för de flesta statliga myndigheter i Sverige. De som är undantagna är regeringen, Regeringskansliet, myndigheter som lyder under Riksdagen, och domstolar. Detsamma gäller för sammanlagt 16 myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet.
Så vad gäller för kommuner? Enligt utredningen ska alla regioner och kommuner omfattas av lagens krav. Undantag gäller enbart för region- eller kommunfullmäktige.
Enligt förslaget från utredningen ska även lärosäten med examenstillstånd omfattas av regleringen.
Ambitionen är att bestämmelserna ska träda i kraft efter våren 2025. Däremot finns det en hel del som du som verksam i en kommun kan göra redan nu.
1. Förstå NIS2-direktivet och dess krav
Innan du börjar förbereda din kommun är det viktigt att förstå vad NIS2-direktivet innebär. Ta dig tid att läsa igenom de officiella dokumenten och riktlinjerna för att få en tydlig bild av de krav som kommer att gälla för kommunala organisationer. Detta ger en grundläggande förståelse för de åtgärder som behöver vidtas.
Vi har samlat information om direktivet som du kan läsa här.
2. Kartlägg er digitala infrastruktur
Genomför en noggrann kartläggning av er digitala infrastruktur. Identifiera kritiska system och tjänster som är centrala för kommunens verksamhet. Detta inkluderar allt från it-nätverk och molntjänster till kritisk infrastruktur som vatten- och energiförsörjning.
3. Riskbedömning och sårbarhetsanalys
Genomför en grundlig riskbedömning och sårbarhetsanalys för att identifiera potentiella hot och sårbarheter inom er infrastruktur. Detta kommer att vara avgörande för att utveckla en effektiv säkerhetsstrategi som möter NIS2-kraven.
4. Utveckla en robust incidenthanteringsplan
En central del av NIS2-direktivet är kravet på att ha en effektiv incidenthanteringsplan på plats.
Det är viktigt att redan nu utveckla en plan som tydligt definierar hur ni kommer att reagera vid olika typer av incidenter, från cyberattacker till naturkatastrofer.
5. Utbilda personalen
Avslutningsvis så måste säkerhetskulturen genomsyra i hela organisationen. Utbilda personalen om säkerhetsåtgärder och uppmuntra till en proaktiv inställning till säkerhet. Detta kan inkludera regelbundna utbildningar, workshops och informationskampanjer.
Genom att följa dessa steg och aktivt förbereda er kommer er kommun att vara väl rustad för att möta de kommande kraven enligt NIS2-direktivet.
Vad säger Filip Gårdelöv – Informationssäkerhetskonsult på DirSys?
“Börja upprätta ett systematiskt arbete med att se över de risker ni står inför inom informationssäkerhets- och cybersäkerhetsområdet. Utifrån det kan ni hitta en lämplig lista på åtgärder som ni snarast möjligt bör inkludera i verksamhetsplaneringen”
Vill du veta mer om NIS2-direktivet? Ladda ner vår guide.
Vi vet att NIS2 kan kännas både komplext och tidskrävande. Och att det är svårt att veta vad direktivet innebär i praktiken.
I vår NIS2-guide har vi sammanfattat våra erfarenheter av att bedriva ett systematiskt informationssäkerhetsarbete och hur det hänger ihop med efterlevnad av det nya direktivet.
Läs mer och ladda ner NIS2-guiden här!
