NIS2: allt du behöver veta om cybersäkerhetslagen och mjukvaruinköp
NIS2 är den största europeiska cybersäkerhetslagen på flera år. För organisationer i kritiska sektorer förändras mycket, även när det gäller mjukvaruinköp och leverantörshantering. Här är allt du behöver veta.
- 15 januari 2025
- 5 min
- NIS2 – Cybersecuritydirektivet
NIS2-direktivet är den största europeiska cybersäkerhetslagen på flera år. Det har ett brett omfång, strikt efterlevnad och är direkt relevant för alla som ansvarar för mjukvaruinköp i en organisation. Detta är vad du måste veta.
Vad är NIS2?
NIS2 står för Network and Information Security Directive 2, efterföljaren till det ursprungliga NIS-direktivet från 2016. Direktivet kräver att organisationer i kritiska sektorer systematiskt stärker sin digitala motståndskraft. NIS2 träder i kraft i hela Europa den 17 oktober 2024. Den svenska implementeringen förväntas ske via cybersäkerhetslagen i andra kvartalet 2026.
För vem gäller NIS2?
NIS2 gäller för organisationer i 18 kritiska sektorer, indelade i väsentliga och viktiga enheter. Tänk på: energi, transport, vård, vatten, digital infrastruktur, finansiella tjänster, offentlig sektor med mera. Men även leverantörer till organisationer i dessa sektorer kan indirekt omfattas genom kedjeansvar.
Vad förändras jämfört med NIS1?
De viktigaste förändringarna:
Bredare räckvidd: Många fler sektorer och organisationer omfattas nu av direktivet
Personligt ansvar: Ledningspersoner är ansvariga för efterlevnaden och kan bli personligt ansvariga
Högre böter: Upp till 10 miljoner euro eller 2 % av den globala årsomsättningen för väsentliga enheter
Kedjeansvar: Organisationer måste också kontrollera sina leverantörers säkerhet
Anmälningsplikt: Incidenter måste rapporteras till CSIRT inom 24 timmar
Vad innebär NIS2 för mjukvaruinköp?
Kedjeansvaret har störst direkt påverkan på mjukvaruinköp. Organisationer är skyldiga att:
Hålla en aktuell översikt över alla IT-leverantörer och mjukvara
Göra kontraktsmässiga säkerhetsavtal med alla relevanta leverantörer
Periodiskt bedöma leverantörers säkerhet
Enas om incidenteskaleringsrutiner med kritiska mjukvaruleverantörer
Utan en strukturerad översikt över mjukvara är NIS2-efterlevnad omöjlig. SoftVaro hjälper organisationer att skapa denna översikt som startpunkt för efterlevnad.
Vanliga frågor
De vanligaste frågorna om detta ämne.
Vad har NIS2 med mjukvaruinköp att göra?
NIS2 kräver att organisationer håller en uppdaterad översikt över all programvara och IT-leverantörer, inklusive kontraktsmässiga säkerhetsavtal. Utan denna översikt är du inte compliant.
När träder NIS2 i kraft i Sverige?
Cybersäkerhetslagen (den svenska implementeringen av NIS2) förväntas i andra kvartalet 2026. Organisationer måste vara compliance direkt när lagen träder i kraft.
Vilka böter kan man få vid överträdelse av NIS2?
Väsentliga enheter riskerar böter upp till 10 miljoner euro eller 2 % av den globala årsomsättningen. Viktiga enheter upp till 7 miljoner euro eller 1,4 % av årsomsättningen. Ledningspersoner kan bli personligt ansvariga.
Redo att spara på mjukvara?
SoftVaro förhandlar fram det bästa avtalet åt dig hos över 4 000 leverantörer. Oberoende, transparent, inom 24 timmar.