NIS2-direktivet antogs av EU-parlamentet i december 2022 och den svenska lagen som implementerar direktivet väntas träda i kraft den 1 januari 2025. NIS2-direktivet är generellt utformat och den närmare tillämpningen har varit svår att förutspå i detalj - tills nu. I mars i år presenterades det svenska lagförslaget till en ny cybersäkerhetslag. Nedan följer en översiktlig sammanställning av den nya NIS2-utredningen, vad den innebär och hur ni kan förbereda er verksamhet med anledning av det nya regelverket. Vill du veta mer eller önskar hjälp tveka inte att kontakta oss. Lindahl har omfattande expertis inom rättsområden som regelefterlevnad, informationssäkerhet, IT/Tech och dataskydd.
NIS2-direktivet skärper kraven för verksamhetsutövare och innehåller bestämmelser om ett mer långtgående samarbete inom EU jämfört med sin föregångare NIS1. Det övergripande syftet med de nya reglerna är att uppnå en högre cybersäkerhet för det utökade antal sektorer som pekas ut i lagstiftningen.
Den 5 mars 2024 överlämnade ”Utredningen om genomförande av NIS2- och CER-direktiven” delbetänkandet Nya regler om cybersäkerhet (SOU 2024:18) tillsammans med förslaget till den nya cybersäkerhetslagen.
Cybersäkerhetslagen, som ersätter den nuvarande NIS-lagen, föreslås träda i kraft den 1 januari 2025 och medför några viktiga förändringar på informationssäkerhets- och cybersäkerhetsområdet.
Det finns framför allt två viktiga skillnader mellan gällande lagstiftning och det nya lagförslaget:
- Bredare tillämpning och antal sektorer utökas: Cybersäkerhetslagen föreslås omfatta fler aktörer. Antalet sektorer utökas från 7 till 18 stycken. Exempel på nya sektorer som nu omfattas är: avloppsvatten, förvaltning av IKT-tjänster (mellan företag), offentlig förvaltning (vilket innebär att nästan hela den offentliga sektorn inklusive kommuner och regioner omfattas), rymden, post- och budtjänster, avfallshantering, tillverkning, produktion och distribution av kemikalier och livsmedel, tillverkning, digitala leverantörer och forskning.
- Hela verksamheten omfattas: Förslaget innebär att kraven kommer att gälla för hela verksamheten, inte bara de som anses vara samhällsviktiga eller erbjuder digitala tjänster. Det införs även ett storlekskrav för privata verksamhetsutövare, där en verksamhet måste sysselsätta minst 50 personer eller ha en årsomsättning som överstiger 10 miljoner euro för att omfattas av lagens krav. Dock kan även mindre men särskilt kritiska verksamheter pekas ut av Myndigheten för samhällsskydd och beredskap (MSB) vilka också måste följa lagens krav.
Utöver ovan två nyheter vill vi i korthet lyfta ytterligare några delar ur det nya förslaget.
Ny klassificering: Både offentliga och enskilda verksamhetsutövare föreslås omfattas av den nya cybersäkerhetslagen. De verksamheter som omfattas ska dock klassificeras antingen som väsentliga eller viktiga verksamheter utifrån betydelse och storlek. Reglerna är i princip samma oavsett kategori, men vad gäller tillsyn och sanktioner skiljer sig dessa åt beroende på klassificering.
Ansvarsskyldighet för den högsta ledningen för verksamhetsutövarens överträdelser: Direktivet ställer ökade krav på ledningens deltagande i organisationens cybersäkerhetsarbete. Utredningen föreslår att det ska införas en möjlighet för tillsynsmyndigheten att hos domstol ansöka om att en person med ledningsansvar hos en väsentlig verksamhetsutövare ska förbjudas att utöva ledningsfunktioner. Detta gäller exempelvis för styrelseledamöter och verkställande direktörer. Övriga sanktioner riktar sig mot verksamhetsutövaren i form av juridisk person. Denna sanktion riktar sig i stället mot fysiska personer och ska ses som en yttersta åtgärd för att åstadkomma ett visst agerande.
Tydliga krav på säkerhetsåtgärder: Verksamhetsutövare ska vidta lämpliga riskhanteringsåtgärder och genomföra riskanalyser för att skydda sina nätverk och informationssystem mot incidenter. Åtgärderna ska utvärderas och baseras på en riskanalys och ska vara proportionella i förhållande till risken. Dessutom krävs det att verksamhetsutövare anmäler sig till en tillsynsmyndighet. För att säkerställa en enhetlig tillämpning och övervakning av dessa krav föreslås tillsynsmyndigheter för varje sektor, där vissa myndigheter får utökade ansvarsområden och nya tillsynsmyndigheter inrättas för att hantera de utökade kraven. Kraven i sin helhet kommer sannolikt vara klarlagda först när dessa tillsynsmyndigheter utfärdat detaljerade föreskrifter, likt fallet då NIS1-direktivet implementerades i svensk rätt.
Vidare ställs det krav på att verksamhetsutövaren ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete och verksamhetens ledning ska genomgå utbildningar och de anställda ska erbjudas erforderlig utbildning.
Krav på säkerhet i leverantörskedjor: Verksamheternas krav på att vidta åtgärder inkluderar även leveranskedjan. Däremot ska varje verksamhetsutövare enbart ansvara för en länk i leveranskedjan, d.v.s. behöva vidta riskhanteringsåtgärder i förhållande till sina leverantörer och inte några underleverantörer. Det kommer finnas krav på att cybersäkerhet ska regleras i leverantörsavtalen, vilket medför att befintliga och nya avtal kommer behöva ses över för att anpassas efter dessa krav.
Utökade krav på incidentrapportering: Incidentrapportering blir tvingande och detta inkluderar även leveranskedjan. Verksamhetsutövaren är således skyldig att rapportera betydande incidenter till MSB inom vissa bestämda tidsgränser. En varning ska lämnas inom 24 timmar från att verksamhetsutövaren fått kännedom om den betydande incidenten. Därefter ska en incidentanmälan göras inom 72 timmar och en slutrapport inom en månad.
Införandet av sanktioner: NIS2-direktivet innehåller detaljerade regler avseende tillsynsmyndigheternas ingripanden och dess möjligheter att utfärda sanktionsavgifter.
Lägstanivån på sanktionsavgifterna föreslås vara 5 000 kronor (som tidigare). Vad gäller maximinivån för sanktionsavgifterna fastställer NIS2-direktivet två olika beräkningsgrunder och belopp, baserade på om verksamhetsutövaren är väsentlig eller viktig.
För väsentliga verksamhetsutövare ska maxbeloppet för sanktionsavgiften uppgå till det högsta alternativet av 10 000 000 euro, eller 2 procent av den totala globala årsomsättningen under föregå-ende räkenskapsår. För viktiga verksamhetsutövare ska motsvarande belopp uppgå till det högsta alternativet av 7 000 000 euro, eller 1,4 procent av den totala globala årsomsättningen under föregående räkenskapsår.
Parallellt med NIS2-direktivet ska CER-direktivet, som handlar om att stärka kritiska verksamheters motståndskraft, införlivas i Sverige. Utredningen kommer att lämna förslag på sådan införlivning i ett slutbetänkande i september 2024. CER-direktivet omfattar i delar liknande krav som NIS2-direktivet men omfattar inte bara cybersäkerhet utan även andra hot som naturkatastrofer, terrorism m.m.
Medlemsstaterna ska, enligt CER-direktivet, identifiera aktörer som tillhandahåller samhällsviktiga tjänster inom utvalda sektorer (energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning, rymden samt produktion, bearbetning och distribution av livsmedel). Vidare föreskriver direktivet en skyldighet för sådana aktörer att bland annat vidta åtgärder för att stärka sin motståndskraft och rapportera incidenter. Direktivet innehåller även bestämmelser om tillsyn och sanktioner. CER-direktivet innehåller alltså liknande krav som NIS2-direktivet men tillämpningen är samordnad och vid överlappning ska NIS2-direktivet gälla så länge CER-direktivet inte ställer mer långtgående krav.
Slutligen kan också nämnas att många organisationer kommer att omfattas av både säkerhetsskyddslagen (2018:585) och cybersäkerhetslagen. Utgångspunkten är då att för de delar av verksamheten som omfattas av säkerhetsskyddslagen, gäller endast ett begränsat antal bestämmelser i cybersäkerhetslagen, om anmälnings- och uppgiftsskyldighet.
Vi rekommenderar samtliga organisationer att redan nu påbörja arbetet med efterlevnaden av NIS2-direktivet och den nya cybersäkerhetslagen. De organisationer som är osäkra på om verksamheten omfattas av lagen behöver genomföra en sådan analys, inklusive en bedömning av vilka delar av verksamheten (om några) som omfattas av säkerhetsskyddslagen. De organisationer som redan har gjort denna analys behöver påbörja en riskanalys för att fastställa vilka IT-tjänster som är kritiska för verksamheten.
Det ska avslutningsvis nämnas att det ovanstående endast är en övergripande sammanfattning av vissa frågor kring NIS2-direktivet och förslaget till en ny cybersäkerhetslag. Denna artikel utgör således inte juridisk rådgivning i ett enskilt fall.
