Kolla in alla quizfrågor och rätta svar från NIS2 quizet nedan.
Du har svarat bra på de 10 frågorna!
Ingen betalningsinformation behövs.
Jouw antwoord:
A: Förbättra cybersäkerheten hos europeiska företag
B: Minska risken för dataintrång
C: Anpassa europeiska cyber security åtgärder
D: Alla ovanstående alternativ är korrekta
NIS2 är den nya europeiska cybersäkerhetslagen. Lagen ska bättre skydda europeiska företag mot cyberbrottslighet. Det bättre skyddet ska till exempel minska risken för dataintrång.
Dessutom är målet att harmonisera europeiska säkerhetsåtgärder. Europaparlamentarikern Bart Groothuis talar om detta på handelskammaren: "Den tekniska utvecklingen går mycket snabbt. NIS 1 har varit i kraft sedan 2018 och är föråldrad. Inte alla medlemsländer tillämpar lagen lika eller strikt överallt. Om du nu gör affärer med andra europeiska länder eller har en filial i flera länder gäller olika regler överallt. Det fungerar inte. Vi kommer att dra en enda linje för detta."
Jouw antwoord:
B: Organisationer med en omsättning på mer än 50 miljoner euro
C: Viktiga och betydelsefulla organisationer inom specifika sektorer
NIS2 kommer att gälla för alla väsentliga och viktiga organisationer inom sektorer från tabellen nedan. Följande kriterier gäller:
Viktiga organisationer...
...är stora organisationer som är verksamma inom en sektor från Grupp A i tabellen nedan.
En organisation är stor på:
1. 250 eller fler anställda eller;
2. Årlig nettoomsättning på 50 miljoner euro eller en balansomslutning på minst 43 miljoner euro.
Större organisationer...
...är medelstora organisationer som är verksamma inom en bransch från grupp A eller B i tabellen nedan.
En organisation är medelstor vid:
1. 50 eller fler anställda eller;
2. En årlig omsättning eller balansomslutning på 10 miljoner euro eller mer.
| Grupp A (väsentliga och viktiga organisationer) | Grupp B (viktiga organisationer) |
| Energi | Digitala leverantörer |
| Transport | Post- och kurirtjänster |
| Bankverksamhet | Avfallshantering |
| Infrastruktur | Mat |
| Hälso- och sjukvård | Kemikalier |
| Dricksvatten | Forskning |
| Digital infrastruktur | Tillverkning och produktion |
| Avloppsvatten | |
| Statliga tjänster | |
| Utrymme | |
| Förvaltning av IKT-tjänster |
Jouw antwoord:
A: Endast viktiga organisationer revideras
B: Viktiga organisationer revideras före och efter, viktiga organisationer endast efter.
C: Det finns ingen skillnad mellan väsentliga och viktiga organisationer.
Kontrollen av viktiga organisationer kommer att vara strängare än kontrollen av viktiga organisationer. Viktiga organisationer kommer att kontrolleras i förväg.
DigitalTrustCenter vid ministeriet för ekonomiska frågor och klimat, kan du läsa följande om det: "Viktiga enheter är föremål för en mer intensiv tillsyn, både förhands- och efterhandsövervakning. Betydande enheter är föremål för en lättare form av tillsyn som endast sker i efterhand. Till exempel om det finns indikationer på bristande efterlevnad av lagen eller om en incident har inträffat.
Jouw antwoord:
A: Ja
B: Nej
NIS2 kommer också att gälla för små och medelstora företag. Det vill säga för väsentliga och viktiga organisationer inom de nämnda sektorerna.
Europaparlamentariker Bart Groothuis förklarar vid handelskammaren: "Alla som tillhandahåller en viktig tjänst till konsumenter omfattas av den nya lagen. Så även små tjänsteleverantörer. Vi diskuterar fortfarande exakt vad vi menar med 'väsentlig'. Internetleverantörer, små fabriker, företag som hanterar vatten eller energi: den typen av företag kommer att betraktas som väsentliga."
Jouw antwoord:
A: Ett direktiv, det handlar om säkerhetsrekommendationer
B: Lagstiftning, föreskriver minsta grundläggande säkerhet.
C: Ett EU-direktiv som medlemsländerna måste omsätta i lagstiftning
NIS2 är den nya europeiska cyberlagstiftningen. Det är ett EU-direktiv som medlemsländerna integrerar i sin nationella lagstiftning.
I Nederländerna integrerades NIS i lagen om säkerhet för nätverk och informationssystem (Wbni) 2018.
En överenskommelse om NIS2 nåddes på europeisk nivå i december 2022 och trädde i kraft en månad senare. Medlemsstaterna måste integrera den i sin nationella lagstiftning inom 21 månader från den tidpunkten. Det innebär att lagstiftningen kommer att träda i kraft i Nederländerna senast i oktober 2024.
Observera att vi i Nederländerna hänvisar till NIB2 (Network and Information Security) istället för NIS2.
Jouw antwoord:
A: Varje organisation är ansvarig för sina egna system
B: Varje organisation ansvarar för sina egna system, leverantörernas och andra i kedjan system.
C: Varje organisation ansvarar för sina egna system, leverantörernas och andra i kedjan samt andra (samarbets)partners system.
NIS2 gör organisationer ansvariga för sina egna system, leverantörernas och andra i kedjan samt för andra (samarbets)partners system. NIS2 kräver därför skydd mot systemrisker. I synnerhet måste organisationer: Utvärdera cyber security av leverantörer.
- Kritiskt granska säkerhetsrisker hos företag i leveranskedjan
- Delta i riskbedömningar av leveranskedjan inom branschen.
- Upprätta riskbedömning och riskhantering i leveranskedjan för tredje parter.
- Vidta åtgärder för säker elektronisk kommunikation med leverantörer.
- Meddela kunder och myndigheter om hot från tredje part.
Mer specifikt, enligt NIS2, bör organisationer aktivt övervaka eventuella cyberrisker i (leverantörs-)kedjan. Organisationer bör:
- Identifiera och bedöma hot mot tredje parts produkter och tjänster.
- Utveckla policyer, planer och lösningar för att hantera hot.
- Vidta åtgärder för att säkra inköp och leverans av produkter och tjänster från tredje part.
Slutligen bör organisationer kontinuerligt övervaka, utvärdera och vidta lämpliga åtgärder för att allvarligt överväga och hantera eventuella cyberrisker från tredje part. Det är till exempel viktigt att genomföra regelbundna utvärderingar eller till och med revisioner av tredje parter. Dessutom bör man regelbundet se över leverantörsavtal.
Om det visar sig att säkerheten är undermålig hos tredje part bör organisationerna själva vidta åtgärder, inklusive att avsluta ett partnerskap om det behövs.
Jouw antwoord:
A: Nej, det är ett råd som myndigheterna utfärdar varningar för
B: Ja, upp till maximalt 100 000 euro per incident
C: Ja, upp till maximalt 1 000 000 euro per incident
D: Ja, upp till maximalt 10 000 000 euro eller 2 % av den årliga globala omsättningen
Precis som med NIS kan myndigheterna utdöma böter för bristande efterlevnad. Böterna kan uppgå till högst 10 miljoner euro eller 2 % av den årliga globala omsättningen. Det högre beloppet avgör hur stora böterna blir.
Jouw antwoord:
A: Böter eller påföljder kan bli lägre
B: Organisationer erhåller certifiering
C: Dessa åtgärder har ingen inverkan
Myndigheterna beslutar vilka böter eller påföljder som ska åläggas organisationer som bryter mot reglerna.
Jouw antwoord:
A: En omedelbar anmälan i händelse av ett dataintrång
B: En omedelbar anmälan av alla cyberincidenter som påverkar affärsverksamheten
C: En slutrapport som beskriver incidenten, typen av hot, allvarlighetsgrad och konsekvenser samt vidtagna och pågående åtgärder.
D: Allt av ovanstående
Organisationer måste omedelbart rapportera alla cyberincidenter som påverkar affärsverksamheten, inklusive dataintrång.
National Cyber Security Center skriver: "NIS2-direktivet kräver att enheter rapporterar incidenter till tillsynsmyndigheten inom 24 timmar. Detta är incidenter som (kan) avsevärt störa tillhandahållandet av den väsentliga tjänsten. Om det rör sig om en cyberincident måste den också rapporteras till Computer Security Incident Response Team (CSIRT)".
Rapporteringskravet omfattar två rapporter:
Direkt rapportering:
Organisationer måste göra en rapport så snart som möjligt med den absolut nödvändiga informationen, till exempel vad som hände, vad den (möjliga) orsaken är och vilken olaglig eller skadlig handling som ägde rum. Organisationer ska rapportera till lämplig nationell myndighet eller till CSIRT (Computer Security Incident Response Team). Myndigheten eller CSIRT ska svara på rapporten inom 24 timmar.
Slutlig anmälan:
Inom en månad efter den första anmälan måste organisationerna lämna in en slutrapport. Denna rapport måste innehålla följande:
Jouw antwoord:
A: Oktober 2023
B: Mars 2024
C: oktober 2024
En överenskommelse nåddes på europeisk nivå i december 2022. Överenskommelsen trädde i kraft en månad senare. Medlemsländerna har sedan dess 21 månader på sig att införliva NIS2 i sin nationella lagstiftning.
Det innebär att NIS2 kommer att träda i kraft i Nederländerna senast i oktober 2024.
Observera att vi i Nederländerna talar om NIB2 (Network and Information Security) i stället för NIS2.
