NIS2-direktivet — vad dataskyddsombud behöver veta

NIS2 gäller för två kategorier av entiteter: väsentliga entiteter och viktiga entiteter. Väsentliga entiteter inkluderar sektorer som energi, transport, bankväsende, finansmarknadens infrastruktur, hälsa, dricksvatten, avloppsvatten, digital infrastruktur, hantering av IKT-tjänster och offentlig förvaltning. Viktiga entiteter omfattar sektorer som posttjänster, avfallshantering, tillverkning, livsmedelsproduktion, kemikalier och digitala leverantörer. Storlekströsklarna är enkla: organisationer med 50+ anställda eller 10+ MEUR i årlig omsättning i dessa sektorer omfattas automatiskt. Dock är vissa entiteter inom tillämpningsområdet oavsett storlek — som DNS-tjänsteleverantörer, TLD-register och leverantörer av offentliga elektroniska kommunikationsnät. För dataskyddsombud innebär detta att många av dina befintliga klienter nu kan ha NIS2-skyldigheter utöver sina GDPR-krav. Att proaktivt identifiera vilka klienter som faller under NIS2 positionerar dig som en värdefull strategisk rådgivare, inte bara en efterlevnadskryssruta.

NIS2 kräver att berörda organisationer implementerar en omfattande uppsättning riskhanteringsåtgärder för cybersäkerhet. Dessa inkluderar: riskanalys och informationssäkerhetspolicyer, incidenthanteringsprocedurer, affärskontinuitet och krishantering, leverantörskedjans säkerhet, säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, policyer för att bedöma effektiviteten av cybersäkerhetsåtgärder, grundläggande cyberhygienpraxis och utbildning, policyer avseende kryptografi, personalsäkerhet, åtkomstkontroll och tillgångshantering. Organisationer måste också rapportera betydande incidenter till sin nationella myndighet inom 24 timmar för en tidig varning, 72 timmar för en fullständig anmälan och en månad för en slutrapport. Denna tredelade rapporteringsskyldighet är striktare än GDPR:s 72-timmarsanmälan vid dataintrång och kräver väl förberedda incidenthanteringsprocedurer. Överlappningen mellan NIS2-säkerhetsåtgärder och GDPR:s artikel 32 (säkerhet vid behandling) är betydande. Dataskyddsombud som redan ger råd till klienter om tekniska och organisatoriska åtgärder under GDPR är väl positionerade att utöka denna rådgivning till NIS2-efterlevnad.

Den mest betydande förändringen som NIS2 inför är personligt ansvar för ledningen. Artikel 20 kräver att ledningsorgan godkänner och övervakar implementeringen av cybersäkerhetsåtgärder. De måste också genomgå cybersäkerhetsutbildning. Viktigt att notera är att ledningsorgan kan hållas personligen ansvariga vid överträdelser. Böterna under NIS2 är betydande: upp till 10 MEUR eller 2 % av global årsomsättning för väsentliga entiteter, och upp till 7 MEUR eller 1,4 % av global omsättning för viktiga entiteter. Dessa kommer utöver — inte istället för — GDPR-böter. Denna aspekt av personligt ansvar är det som driver brådska bland ledningen. Som dataskyddsombud kan du använda detta för att säkra budget och uppmärksamhet för efterlevnadsprojekt som annars kan nedprioriteras. Styrelseledamöter som tidigare såg GDPR som en kostnad är plötsligt mycket intresserade av efterlevnad när deras personliga tillgångar står på spel.

Som externt dataskyddsombud har du redan djup kunskap om dina klienters databehandlingslandskap, säkerhetsåtgärder och organisationsstruktur. Detta gör dig till den naturliga rådgivaren för NIS2-efterlevnad — du behöver inte börja från noll. Börja med att kartlägga överlappningen mellan GDPR- och NIS2-krav. Många av de tekniska och organisatoriska åtgärder som dina klienter redan har för GDPR (kryptering, åtkomstkontroller, incidenthanteringsprocedurer) uppfyller direkt NIS2-krav. Dokumentera denna överlappning för att visa klienter att de inte börjar från noll. Erbjud NIS2-beredskapsbedömningar som en tilläggstjänst. En strukturerad checklista som täcker alla NIS2-skyldigheter, kartlagd mot vad klienten redan har på plats, ger omedelbart värde och positionerar dig för löpande efterlevnadsövervakning. Använd ett verktyg som stöder både GDPR och NIS2 i ett enhetligt dashboard. Att underhålla separata system för GDPR-efterlevnad och NIS2-beredskap fördubblar din arbetsbelastning och gör det svårare att identifiera synergier. Trustee.eu kombinerar båda i en vy, så du kan ge holistisk rådgivning.