Säkerhetsutlåtande - Överensstämmelse med NIS2/CER-direktiven

Denna sida är en förlängning av säkerhetsavsnittet på webbplatsen octodoc.io och tar upp allmänna aspekter av efterlevnaden av NIS2/CER-direktiven. Säkerhets- och sekretesskraven i dessa direktiv är avgörande för leverantörer av digitala tjänster och kunder inom Europeiska unionen. Följande text ger en översikt över dessa direktiv och deras inverkan på upphandling av tjänster. Vänligen se de lokala myndigheternas webbplatser för specifika nationella tillämpningsdetaljer.

Överensstämmelse med NIS2/CER-direktiven för tjänster och programvara

1. Tillämpningsområde för NIS2-direktivet

Enligt NIS2-direktivet omfattas de leverantörer av digitala tjänster som definieras i bilaga 2 av direktivets tillämpningsområde. Särskilda krav och skyldigheter för dessa leverantörer är utformade för att säkerställa en hög nivå av cybersäkerhet och oavbrutna tjänster. Landspecifika återförsäljare av tjänster avgör från fall till fall om deras kunder omfattas av detta direktiv.

2. Direktivets innehåll och räckvidd

I NIS2-direktivet fastställs tydliga krav för leverantörer av digitala tjänster, med tonvikt på cybersäkerhet och tillhandahållande av oavbrutna tjänster. Varje leverantör måste följa dessa standarder för att säkerställa att deras tjänst uppfyller de krav som ställs i direktivet.

3. CER direktivrelaterad kundkrets

CER-direktivet ställer särskilda krav och skyldigheter på kunderna för att säkerställa en hög nivå av dataskydd och cybersäkerhet. Kunder som omfattas av CER-direktivet är skyldiga att strikt följa dessa bestämmelser för att garantera lämpliga dataskydds- och cybersäkerhetsnivåer.

4. Kundens ansvar för underrättelse

Den slutanvändare som använder tjänsten är personligen ansvarig för att meddela återförsäljaren av tjänsten eller produkten om de känner till förfaranden som överensstämmer med dessa direktiv. Denna skyldighet säkerställer att slutanvändarna aktivt deltar i arbetet med att följa direktivet och främja höga nivåer av cybersäkerhet och dataskydd.

5. Riskhanteringsåtgärder – Tjänsteleverantörens och Återförsäljarens ansvar

Beroende på den tekniska implementeringen ansvarar tjänsteleverantören eller återförsäljaren för standardmässiga IT-försiktighetsåtgärder som beskrivs i tjänstebeskrivningen, t.ex. säkerhetskopiering eller systemredundans. Slutanvändarkunden är dock ansvarig för att genomföra alla nödvändiga riskhanteringsåtgärder, inklusive att informera om behovet av riskreducering.

6. Resiliens kundkrets: Resiliens och kontinuitetshantering

Kunder som fokuserar på resiliens måste säkerställa hög resiliens och effektiv kontinuitetshantering. Detta kräver minutiös planering, regelbundna krishanteringsövningar och underhåll av reservsystem. Slutanvändarna måste välja en tjänsteimplementering som beaktar resiliens som en del av deras infrastrukturutbyggnad.

Detta dokument har utarbetats i enlighet med NIS2- och CER-direktiven och deras bilagor för att säkerställa ett säkert och tillförlitligt tillhandahållande av tjänster till leverantörer av digitala tjänster och deras kunder.