NIS 2-direktivet ställer vidsträckta krav på åtgärder för cybersäkerhet. Aktörer som omfattas av regelverket ska bland annat implementera långtgående riskhanteringsåtgärder för driftskontinuitet och krishantering. Dessa åtgärder syftar till att säkerställa att en aktörs verksamhet ska kunna fortsätta även om den drabbas av en incident eller en katastrofal händelse som en ransomware-attack eller en naturkatastrof som förstör ett datacenter.
Till skillnad från det gamla NIS-direktivet ställer NIS 2-direktivet uttryckliga krav på en minsta uppsättning av riskhanteringsåtgärder vilket bland annat inkluderar åtgärder för driftskontinuitet och krishantering, se artikel 21.2 (c) NIS 2-direktivet. Bestämmelsen beskriver emellertid inte hur dessa åtgärder ska utformas i det konkreta fallet. Samtidigt ska åtgärderna bland annat beakta de senaste europeiska och internationella standarder, se artikel 21.1 NIS 2-direktivet. Aktörer som omfattas av regelverket kan således hämta inspiration från vedertagna standarder på området informations- och cybersäkerhet för att implementera lämpliga åtgärder för driftskontinuitet och krishantering. Ett exempel på en sådan standard är ISO 27001 (se bland annat sektionen A.17 i ISO 27001 om verksamhetens kontinuitet).
Därutöver har EU-kommissionen utfärdat specifikationer som förtydligar kraven för vissa typer av aktörer, däribland leverantörer av molntjänster och leverantörer av datacentraltjänster. Specifikationerna har tagits fram med beaktande av vedertagna standarder på området informations- och cybersäkerhet såsom ISO 27001-standarden. Lagstiftningen som fastställer specifikationerna har implementerats i form av en genomförandeförordning (EU) 2024/2690 som fastställer de tekniska och metodologiska specifikationerna för de åtgärder som avses i punkt 21.2 NIS-direktivet med avseende på vissa aktörer. Lagstiftningsförfarandet regleras i artikel 21.5 NIS 2-direktivet. Aktörer som omfattas av genomförandeförordningen betecknas som berörda entiteter.
De specifikationer som gäller för berörda entiteters åtgärder för driftskontinuitet och krishantering återfinns i punkt 4 i bilagan till genomförandeförordningen och består av tre delar: (i) driftskontinuitets- och katastrofplan, (ii) hantering av säkerhetskopiering och redundans, och (iii) krishantering. I det som följer nedan ges en detaljerad beskrivning av kravens samtliga tre delar.
Driftskontinuitets- och katastrofplan
Enligt specifikationernas första del ska berörda entiteter fastställa och upprätthålla en driftskontinuitets- och katastrofplan att använda vid incidenter. I förekommande fall, ska berörda entiteter återställa driften i enlighet med planen. Planen ska baseras på resultaten av den riskbedömning som berörda entiteter har utfört i enlighet med sin strategi för riskhantering enligt artikel 21.2 (a) NIS 2-direktivet. Planen ska bland annat innehålla en beskrivning av roller och ansvarsområden, villkor för aktivering och avaktivering av planen, återställningsplaner för olika delar av driften och resurser som krävs.
Kravet på driftkontinuitets- och katastrofplan innebär vidare att berörda entiteter ska göra en konsekvensanalys för att bedöma de potentiella konsekvenser som allvarliga störningar har för deras verksamhet. Baserat på konsekvensanalysens resultat, ska berörda entiteter fastställa kontinuitetskrav för sina nätverks- och informationssystem.
Därutöver ska berörda entiteter testa driftskontinuitets- och katastrofplanen. Planen ska även ses över och, när så är lämpligt, uppdateras med planerade intervall och efter betydande incidenter eller betydande ändringar av driften eller riskerna. Berörda entiteterna ska säkerställa att planen införlivar lärdomarna från sådana tester.
Säkerhetskopiering och redundans
Specifikationernas andra del avser hantering av säkerhetskopiering och redundans. Berörda entiteter ska bevara säkerhetskopior av data och tillhandahålla tillräckliga tillgängliga resurser för att säkerställa en lämplig nivå av redundans (resurserna inkluderar anläggningar, nätverks- och informationssystem och personal).
Därutöver ska berörda entiteter fastställa säkerhetskopieringsplaner. Dessa planer ska baseras på resultaten av den riskbedömning som utförts i enlighet med berörda entiteters strategi för riskhantering och driftskontinuitetsplanen. Planerna ska bland annat omfatta säkerhetskopiors återställningstid, säkerställande av att säkerhetskopiorna är fullständiga och korrekta, lagring av säkerhetskopior, åtkomstkontroll till säkerhetskopior, säkerhetskopiors återläsning samt säkerhetskopiors lagringstider som baseras på verksamhetskrav och rättsliga krav. Vidare ska berörda entiteter utföra regelbundna integritetskontroller av säkerhetskopiorna.
Utöver detta ska berörda entiteter även säkerställa tillräckliga resurser genom åtminstone partiell redundans på områdena nätverks- och informationssystem, tillgångar (inklusive anläggningar, utrustning och materiel), personal med det ansvar, de befogenheter och den kompetens som krävs och ändamålsenliga kommunikationskanaler. I likhet med ovan ska resurserna baseras på resultaten av den riskbedömning som utförts i enlighet med berörda entiteters strategi för riskhantering och driftskontinuitetsplanen.
När så är lämpligt ska berörda entiteter säkerställa att övervakningen och anpassningen av resurser, inklusive anläggningar, system och personal, beaktar kraven i fråga om säkerhetskopiering och redundans.
Slutligen ska berörda entiteterna regelbundet testa återställningen av säkerhetskopior och redundanser för att säkerställa att de är tillförlitliga under återställningsförhållanden och att de omfattar de kopior, processer och kunskaper som krävs för en effektiv återställning. Berörda entiteter ska dokumentera resultaten av testerna och vid behov vidta korrigerande åtgärder.
Krishantering
Åtgärder för krishantering utgör den tredje och sista delen av genomförandeförordningens specifikationer för berörda entiteters driftskontinuitet och krishantering. Enligt denna del ska berörda entiteter införa en krishanteringsprocess och säkerställer att den omfattar åtminstone följande tre aspekter. För det första ska processen inbegripa roller och ansvarsområden för personal och, när så är lämpligt, leverantörer och tjänsteleverantörer, där rollfördelningen i krissituationer specificeras, inklusive specifika steg att följa. För det andra ska processen inkludera ändamålsenliga kommunikationsmedel mellan berörda entiteter och behöriga myndigheter. För det tredje, ska processen innefatta tillämpning av ändamålsenliga åtgärder för att säkerställa att säkerheten i nätverks- och informationssystem upprätthålls i krissituationer. Avseende ändamålsenliga kommunikationsmedel ska informationsflödet mellan berörda entiteter och behöriga myndigheter innefatta både obligatorisk kommunikation, såsom incidentrapporter och tillhörande tidslinjer, och kommunikation som inte är obligatorisk.
Därutöver ska berörda entiteter införa en process för hantering och utnyttjande av information som inkommer från CSIRT-enheter eller, om tillämpligt, behöriga myndigheter, om incidenter, sårbarheter, hot eller möjliga begränsningsåtgärder.
Slutligen ska berörda entiteter testa, se över och när så är lämpligt uppdatera krishanteringsplanen regelbundet eller efter betydande incidenter eller betydande förändringar av driften eller riskerna.
Slutsatser
Ovanstående redovisning förtydligar att NIS 2-direktivet ställer långtgående krav på att implementera riskhanteringsåtgärder för driftskontinuitet och krishantering. I NIS 2-direktivet underlåter lagstiftaren att specificera utformningen av dessa åtgärder närmare och hänvisar aktörer som omfattas av regelverket till vedertagna standarder på området informations- och cybersäkerhet. Samtidigt utfärdas särskilda specifikationer för åtgärdernas utformning som gäller för vissa aktörer. Detta görs i form av EU-kommissionens genomförandeförordning (EU) 2024/2690 som i sin tur baseras vedertagna standarder för informations- och cybersäkerhet.
Specifikationerna in genomförandeförordningen är utformade på ett sätt som kräver ett kontinuerligt och praktiskt riskhanteringsarbete som är förankrad i berörda entiteters verkliga verksamhet. Arbetet ska dokumenteras på ett sätt som möjliggör granskningar som i sin tur ska vara utgångspunkten för förbättringar. Dokumentationen behövs även för att kunna styrka regelefterlevnad gentemot tillsynsmyndigheter. Även aktörer som inte omfattas av genomförandeförordningen gör klokt i att titta på kraven som regleras däri. Det är inte uteslutet att EU-kommissionen kommer att fastställa ytterligare specifikationer som omfattar en större krets leverantörer i framtiden, möjligheten därtill finns enligt artikel 21.5 NIS 2-direktivet.