NIS 2-direktivet: nya regler om cybersäkerhet i nätverks- och informationssystem

Genom NIS 2-direktivet inrättas en enhetlig rättslig ram för att upprätthålla cybersäkerheten i 18 kritiska sektorer i hela EU. Medlemsstaterna uppmanas också att fastställa nationella strategier för cybersäkerhet och samarbeta med EU för gränsöverskridande insatser och verkställighet.

Cybersäkerhet innebär att skydda nätverks- och informationssystem (NIS), deras användare och andra berörda personer från cyberincidenter och hot. För att hantera Europas ökade exponering för cyberhot ersatte direktiv 2022/2555, även kallat NIS2, sin föregångare, direktiv 2016/1148 eller NIS1. NIS2 höjer EU:s gemensamma ambitionsnivå för it-säkerhet genom ett bredare tillämpningsområde, tydligare regler och starkare tillsynsverktyg. Det kräver att medlemsstaterna förbättrar sin cybersäkerhetskapacitet, samtidigt som de inför riskhanteringsåtgärder och rapporteringskrav för entiteter från fler sektorer och fastställer regler för samarbete, informationsutbyte, tillsyn och verkställighet av cybersäkerhetsåtgärder.

Enligt direktivet ska varje medlemsstat anta en nationell strategi för cybersäkerhet, som omfattar strategier för säkerhet i leveranskedjan, sårbarhetshantering samt utbildning och medvetenhet om cybersäkerhet. Medlemsstaterna måste också upprätta och regelbundet uppdatera en förteckning över leverantörer av samhällsviktiga tjänster för att säkerställa att dessa entiteter uppfyller kraven i direktivet.

Utöver de sektorer som redan omfattas av NIS 1, såsom energi, transport, hälso- och sjukvård, finans, vattenförvaltning och digital infrastruktur, gäller dessa regler för leverantörer av offentliga elektroniska kommunikationstjänster, fler digitala tjänster såsom sociala plattformar, avloppsvatten och avfallshantering, tillverkning av kritiska produkter, post- och budtjänster, offentlig förvaltning, både på central och regional nivå eller i rymden. Som regel måste medelstora och stora entiteter inom dessa kritiska sektorer vidta lämpliga riskhanteringsåtgärder för cybersäkerhet och underrätta relevanta nationella myndigheter om betydande incidenter. Det här är incidenter som kan orsaka betydande störningar eller skador.

Direktivet innehåller också bestämmelser om tillsyn, efterlevnadskontroll och frivilliga inbördes utvärderingar för att öka det ömsesidiga förtroendet och cybersäkerhetskapaciteten i hela EU. Den inför också ansvarsskyldighet för den högsta ledningen för bristande efterlevnad av riskhanteringsåtgärder för cybersäkerhet, vilket gör styrelsen uppmärksam på cybersäkerhet.

Genom direktivet inrättas ett nätverk av enheter för hantering av it-säkerhetsincidenter (CSIRT-enheter) för att utbyta information om cyberhot och reagera på incidenter. Dessa team är avgörande för att upprätthålla situationsmedvetenhet och erbjuda hjälp. För att hantera storskaliga cyberincidenter eller cyberkriser inrättas genom direktivet det europeiska nätverket av sambandsorganisationer för cyberkriser (EU-CyCLONe). Detta nätverk stöder en samordnad förvaltning och säkerställer regelbundet informationsutbyte mellan medlemsstaterna och EU-institutionerna i händelse av storskaliga incidenter och kriser.

Samtidigt är samarbetsgruppen för nät- och informationssäkerhet en plattform som inrättats genom direktivet om nät- och informationssäkerhet för att underlätta strategiskt samarbete och informationsutbyte mellan EU:s medlemsstater, Europeiska kommissionen och EU:s cybersäkerhetsbyrå (Enisa). Gruppen offentliggör icke-bindande riktlinjer och rekommendationer till stöd för genomförandet av NIS-direktivet.

Bakgrund

NIS 1 (direktiv 2016/1148) var den första övergripande EU-lagstiftningen som syftade till att öka cybersäkerheten i nätverks- och informationssystem för att skydda viktiga tjänster för EU:s ekonomi och samhälle. I december 2020 föreslog kommissionen en översyn av NIS 1, vilket ledde till antagandet av NIS 2, som trädde i kraft i januari 2023. Medlemsstaterna hade fram till den 17 oktober 2024 på sig att införliva NIS 2-direktivet i sin nationella lagstiftning. NIS 2 upphävde NIS 1 från och med den 18 oktober 2024.

Kommissionen har inlett överträdelseförfaranden genom att skicka formella underrättelser till 23 medlemsstater för att de inte fullt ut har införlivat NIS 2-direktivet i nationell lagstiftning senast den 17 oktober 2024. Medlemsstaterna måste svara och slutföra införlivandet av direktivet. Om de inte gör det kan kommissionen utfärda ett motiverat yttrande, som är en formell begäran om att följa EU-lagstiftningen. Fortsatt bristande efterlevnad kan så småningom leda till att ärendet hänskjuts till Europeiska unionens domstol, som kan utdöma ekonomiska sanktioner.

Senaste nytt

Image representing the EU flag next to the Republic of Korea flag

Press release
10 marec 2025

EU och Korea fördjupar banden med det banbrytande digitala handelsavtalet

EU och Republiken Korea har slutfört förhandlingarna om ett banbrytande avtal om digital handel, vilket understryker deras engagemang för ett starkt och tillförlitligt partnerskap som är lämpligt för att möta dagens snabba digitala utveckling.

Digital illustration of a glowing padlock icon surrounded by circuit board patterns and data streams, representing cybersecurity and data protection.

Press release
24 februar 2025

Kommissionen lanserar ny cybersäkerhetsplan för att förbättra EU:s samordning av cyberkriser

I dag lägger kommissionen fram ett förslag för att säkerställa effektiva och ändamålsenliga insatser vid storskaliga cyberincidenter.

Press release
21 februar 2025

Kommissionen och den höga representanten lägger fram kraftfulla åtgärder för att förbättra säkerheten för undervattenskablar

Den 21 februari presenterade verkställande vice ordförande Henna Virkkunen i Helsingfors det gemensamma meddelandet från kommissionen och vice ordföranden för kommissionen/unionens höga representant för utrikes frågor och säkerhetspolitik om att stärka säkerheten och motståndskraften hos undervattenskablar.

The IT system is accessed by a Doctor's fingerprint on the virtual screen.

Press release
15 januar 2025

Kommissionen lägger fram en handlingsplan för att skydda hälso- och sjukvårdssektorn mot cyberattacker

Kommissionen har lagt fram en EU-handlingsplan som syftar till att stärka cybersäkerheten hos sjukhus och vårdgivare. Denna handlingsplan tillkännagavs i ordförande Ursula von der Leyens politiska riktlinjer som en huvudprioritering under de första 100 dagarna av den nya mandatperioden.

Läs om Cybersäkerhet

Läs mer

Översikt

Cybersäkerhetspolitik

Europeiska unionen arbetar på olika fronter för att främja cyberresiliens, skydda vår kommunikation och data och hålla samhället och ekonomin på nätet säkra.

NIS 2-direktivet: nya regler om cybersäkerhet i nätverks- och informationssystem

Bakgrund

Senaste nytt

Läs mer

Översikt

Last update