Den 5 mars 2024 överlämnade utredaren ett betänkande avseende införlivandet av EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet). På förhand har en frågeställning varit i vilken utsträckning som lagstiftningen skulle vara tillämplig på finansiella företag.
I utredningens förslag till ny lagstiftning kan det konstateras att finansiella företag som antingen omfattas eller uttryckligen undantas från förordningen om digital operativ motståndskraft i den finansiella sektorn (Dora-förordningen) inte kommer att vara föremål för reglerna om riskhantering och rapportering enligt den nya cybersäkerhetslagen, och därigenom inte heller för reglerna om tillsyn. Anledningen härtill är att kraven i Dora-förordningen anses i tillräcklig utsträckning motsvara skyldigheterna enligt cybersäkerhetslagen.
Den delen av utredningen som avser införlivande av direktivet om kritiska entiteters motståndskraft (CER-direktivet) fick i januari 2024 förlängd utredningstid. Denna del ska redovisas senast den 16 september 2024.
