NIS2: Vilken del av verksamheten berörs?
NIS2 och Lagen om Cybersäkerhet utökar vilken del av verksamheten som berörs av kraven. Vi reder ut begreppen och jämför med NIS.
Utredningen till Lagen om Cybersäkerhet i Sverige, som är Sveriges NIS2 lag, är tydlig med att det är hela verksamheten som skall följa de krav som finns i NIS2 vad gäller informations- och cybersäkerhet. Följande är utdrag från utredningen om skillnaden mellan dagens lagstiftning och det framtagna förslaget:
“Den andra viktiga skillnaden är att kraven kommer att gälla för hela verksamheten inte bara för samhällsviktiga och digitala tjänster.”
NIS2 regleringen från EU pekar även den på att kraven kommer omfatta mer av verksamheten, den svenska översättningen stipulerar följande i Artikel 21 punkt 1:
“risker som hotar säkerheten i nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster”
Ser man till den äldre NIS regleringen (2016/1148) i Artikel 14 punkt 2.
“tjänster vidtar lämpliga åtgärder för att förebygga och minimera verkningarna av incidenter som påverkar säkerheten i nätverks- och informationssystem som används för att tillhandahålla sådana samhällsviktiga tjänster,”
Även om NIS2 regleringen inte lika tydligt uttalar att det är hela verksamheten som berörs och inte bara den del som avser leverans av de viktiga och kritiska tjänster som lagen avser skydda.
Den del av verksamheten som undantas kraven om NIS2 är sådan del av verksamheten som är säkerhetskänslig och faller under säkerhetsskyddslagen.
Hur detta sedan realiseras i myndigheters tillsyn blir intressant att följa, med begränsade resurser att genomföra tillsyn är det möjligen så att fokus vid tillsyn ändå kommer vara de viktiga och kritiska tjänsterna. Detta kan säkerligen också skifta beroende på vilken myndighet som gör tillsynen.
Detta betyder att om ni idag lever upp till NIS kraven och har valt att göra detta för specifika delar av verksamheten så behöver ni ta ett helhetsgrepp för att inkludera övriga delar av verksamheten.
Cegal och NIS2
Cegals konsulter inom informations- och cybersäkerhet kan stötta er i arbetet med att etablera LIS, antingen genom att ta ett helhetsansvar och driva arbetet med er, eller som stöd i specifika delar av etableringen av LIS.
Cegals hälsocheck av redan etablerat LIS ger er en extern bild av hur ert LIS mår, där kontroll görs av både LIS samt även organisationens efterlevnad för utvalda delar av LIS.
