NIS2 omfattar fler verksamheter än NIS1. Så påverkas skolor och kommuner: incidentrapportering inom 24 och 72 timmar, riskanalys och ledningens ansvar.
NIS2 direktivet skärper kraven på cybersäkerhet och omfattar betydligt fler verksamheter än sin föregångare. För kommuner och skolhuvudmän innebär det nya skyldigheter kring riskhantering, incidentrapportering och ledningens ansvar.
För skolan betyder det att rutiner för upptäckt och eskalering måste vara på plats innan en incident inträffar.
Skolan måste ha en dokumenterad riskanalys som täcker behörighetsstyrning, kryptering, säkerhetskopior, leverantörskedjor och utbildning av personal.
En av de mest omdiskuterade delarna av NIS2 är att ledningen bär personligt ansvar. För skolans del innebär det att rektor och förvaltningschef behöver utbildning i informationssäkerhet och dokumenterat engagemang i frågan.