NIS2: allt du behöver veta om cybersäkerhetslagen och mjukvaruupphandling
NIS2 är den största europeiska cybersäkerhetslagen på flera år. För organisationer inom kritiska sektorer förändras mycket, även när det gäller mjukvaruupphandling och leverantörshantering. Här är allt du behöver veta.
- 15 januari 2025
- 5 min
- NIS2 – Cybersecuritydirektivet
NIS2-direktivet är den största europeiska cybersäkerhetslagen på flera år. Det har en bred tillämpning, strikt efterlevnad och är direkt relevant för alla som ansvarar för mjukvaruupphandling i en organisation. Detta är vad du behöver veta.
Vad är NIS2?
NIS2 står för Network and Information Security Directive 2, efterföljaren till det ursprungliga NIS-direktivet från 2016. Direktivet kräver att organisationer inom kritiska sektorer strukturellt stärker sin digitala motståndskraft. NIS2 träder i kraft i Europa den 17 oktober 2024. Den svenska implementeringen via Cybersäkerhetslagen förväntas under andra kvartalet 2026.
För vem gäller NIS2?
NIS2 gäller för organisationer inom 18 kritiska sektorer, indelade i väsentliga och viktiga enheter. Tänk på: energi, transport, hälsovård, vatten, digital infrastruktur, finansiella tjänster, offentlig sektor och fler. Men även leverantörer till organisationer i dessa sektorer kan indirekt falla under lagen via kedjeansvar.
Vad ändras jämfört med NIS1?
De viktigaste förändringarna:
Bredare räckvidd: Många fler sektorer och organisationer omfattas nu av direktivet
Personligt ansvar: Styrelseledamöter är ansvariga för efterlevnad och kan ställas till personligt ansvar
Högre böter: Upp till 10 miljoner € eller 2 % av den globala årsomsättningen för väsentliga enheter
Kedjeansvar: Organisationer måste även kontrollera säkerheten hos sina leverantörer
Anmälningsplikt: Incidenter måste rapporteras till CSIRT inom 24 timmar
Vad betyder NIS2 för mjukvaruupphandling?
Kedjeansvaret är den mest direkta påverkan på mjukvaruupphandling. Organisationer är skyldiga att:
Ha en aktuell översikt över alla IT-leverantörer och mjukvara
Göra kontraktuella säkerhetsavtal med alla relevanta leverantörer
Periodiskt bedöma leverantörers säkerhet
Avtala om incident-eskaleringsrutiner med kritiska mjukvaruleverantörer
Utan en strukturerad mjukvaruöversikt är NIS2-efterlevnad inte möjlig. SoftVaro hjälper organisationer att skapa denna översikt som en utgångspunkt för efterlevnad.
Vanliga frågor
De vanligaste frågorna om detta ämne.
Vad har NIS2 med mjukvaruupphandling att göra?
NIS2 kräver att organisationer håller en aktuell översikt över all mjukvara och IT-leverantörer, inklusive kontraktuella säkerhetsavtal. Utan denna översikt är du inte compliant.
När träder NIS2 i kraft i Sverige?
Cybersäkerhetslagen (den svenska implementeringen av NIS2) förväntas träda i kraft under andra kvartalet 2026. Organisationer måste vara compliant så snart lagen börjar gälla.
Vilka böter kan man få vid överträdelser av NIS2?
Väsentliga enheter riskerar böter upp till 10 miljoner € eller 2 % av den globala årsomsättningen. Viktiga enheter upp till 7 miljoner € eller 1,4 % av årsomsättningen. Styrelseledamöter kan ställas till personligt ansvar.
Redo att spara på programvara?
SoftVaro förhandlar fram det bästa erbjudandet åt dig hos över 4 000 leverantörer. Oberoende, transparent, inom 24 timmar.