Högre säkerhetskrav för transportsektorn
Det slutförhandlade NIS2 är en uppgradering av gällande direktiv och kommer att ställa nya krav på ”väsentliga” och ”viktiga” leverantörer inom kritiska sektorer. En stor förändring jämfört med nu gällande NIS-direktivet är att många fler verksamheter omfattas av säkerhetskrav. Kraven kommer avsevärt öka bland annat inom energi, telekom, bank, transport, hälso- och sjukvård.
EU-kommissionen arbetar sedan 2020 med ett antal initiativ för att stärka cybersäkerheten i det alltmer digitaliserade och uppkopplade Europa. I december 2020 lanserades Cybersäkerhetsstrategin för det Digitala decenniet. Tanken med NIS2 är nå ett bättre skydd av nätverk och öka investeringarna i cybersäkerhet för att hindra hackares intrång i verksamheter som hör till samhällets kritiska och viktiga funktioner.
Cyberattacker ska flaggas inom 24 timmar och rapporteras inom 72 timmar till tillsynsmyndighet. Direktivet innehåller också krav på framtagande av cybersäkerhetsplaner, granskning av leverantörers säkerhet och användning av krypteringsteknik. ”Väsentliga” organisationer kommer riskera böter på upp till 2 procent av omsättningen, medan för ”viktiga” organisationer kommer beloppet att vara 1,4 procent.
Medlemsstaternas offentliga förvaltningar klassas nu som kritiska och huvudregeln blir att viktiga offentliga tjänster måste följa samma regler som införs för övriga kritiska sektorer.
Det färdigförhandlade direktivet behöver nu formellt godkännande från EU:s medlemsländer och Europaparlamentet. Sedan är det upp till de nationella regeringarna att genomföra reglerna.