NIS2 – Nya regler om cybersäkerhet

07 okt NIS2 – Nya regler om cybersäkerhet

Publicerat 10:40 i Aktuellt på byrån av

EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet) trädde i kraft den 16 januari 2023 och ställer krav på säkerhet i informations- samt nätverkssystem. Direktivet ska vara införlivat i svensk rätt och för svenskt vidkommande lämnades, den 18 september 2024, ett slutbetänkande av utredningen om genomförandet av NIS2- och CER-direktiven.[1] NIS2-direktivet kommer införlivas i Sverige genom en ny cybersäkerhetslag, som kommer att ersätta den gamla lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Direktivet syftar bland annat till att fastställa krav om riskhanteringsåtgärder för cybersäkerhet, rapporteringsskyldigheter och tydliggöra kraven för riskanalyser.

Hur skiljer sig NIS2 från NIS?

En skillnad från det tidigare NIS-direktivet är att antalet sektorer i NIS2-direktivet utökas från 7 till 18 och delas in i högkritiska (bilaga I, t.ex. offentlig förvaltning, bankverksamhet, energi) respektive övriga kritiska sektorer (bilaga II, t.ex. digitala leverantörer, tillverkning av bl.a. datorer, medicintekniska produkter). Varje sektor kommer tilldelas en eller flera tillsynsmyndigheter som har rätt att utfärda föreskrifter för respektive sektor.

Vilka kommer påverkas av cybersäkerhetslagen?

Cybersäkerhetslagen kommer att vara tillämplig på både offentliga och enskilda (privata) verksamhetsutövare.[2] Enskilda verksamhetsutövare ska, som huvudregel för att omfattas av reglerna, sysselsätta minst 50 personer eller ha en årsomsättning som överstiger 10 miljoner EUR.[3] Kraven i cybersäkerhetslagen ska gälla för hela verksamheten och inte enbart för digitala och samhällsviktiga tjänster som enligt det tidigare NIS-direktivet. Kraven i cybersäkerhetslagen kommer att påverka verksamhetsutövarnas upphandling av och avtal med IT-leverantörer. I NIS2-direktivet görs i stället en åtskillnad mellan väsentliga (t.ex. leverantörer av DNS-tjänster eller kritiska entiteter enligt CER-direktivet[4]) och viktiga verksamhetsutövare, för vilka olika krav och skyldigheter föreskrivs i NIS2-direktivet.

Vilka skyldigheter medför cybersäkerhetslagen?

En verksamhetsutövare ska bland annat:

  • Anmäla sig till behörig tillsynsmyndighet och ange uppgifter om sin verksamhet, identitet och kontaktuppgifter.
  • Vidta lämpliga och proportionella tekniska, organisatoriska och driftsrelaterade riskhanteringsåtgärder för att skydda mot incidenter av informations- och nätverkssystemen samt deras fysiska miljö. Åtgärderna ska utgå från en allriskansats samt riskanalys, och utvärderas.
  • Tillhandahålla ledningen utbildning som även ska erbjudas till de anställda.
  • Rapportera incidenter till CSIRT-enheten, inom bestämda tidsgränser, vid betydande incidenter.
  • Bedriva ett riskbaserat och systematiskt informationssäkerhetsarbete.

Tillsyn och sanktionsavgifter

I regeringens delbetänkande föreslogs att Myndigheten för samhällsskydd och beredskap (MSB) ska tilldelas ansvar som CSIRT-enhet, cyberkrishanteringsmyndighet, gemensam kontaktpunkt och ska enligt förslag fortsätta att leda det nationella samarbetsforumet för tillsynsmyndigheter i syfte att främja samordning för en likvärdig och effektiv tillsyn.

Tillsynsmyndigheten ska ha möjlighet att besluta om föreläggande, vid vite, och sanktionsavgifter. En verksamhetsutövare ska exempelvis kunna föreläggas att offentliggöra information om överträdelser av bestämmelser i cybersäkerhetslagen, och att informera användare som kan komma att påverkas av betydande cyberhot. Den lägsta sanktionsnivån föreslås uppgå till 5 000 kronor, medan den högsta nivån ska utgå från det högsta av:

  • Väsentliga verksamhetsutövare: 2 % av den totala globala årsomsättningen eller 10 MEUR.[5]
  • Viktiga verksamhetsutövare: 1,4 % av den totala globala årsomsättningen eller 7 MEUR.
  • Offentliga verksamhetsutövare: 10 miljoner kronor.

När kommer cybersäkerhetslagen att börja gälla?

NIS2-direktivet ska införlivas i nationell rätt senast den 17 oktober 2024. För svenskt vidkommande förslås cybersäkerhetslagen träda i kraft den 1 januari 2025, men enligt MSB kan lagen komma att börja gälla först under sommaren 2025.[6]

Välkommen att kontakta oss om du har några frågor!

Christina Wikström                                             Karin Tilly                                                         Anton Karlsson
Advokat & Managing Partner                        Biträdande jurist                                          Senior biträdande jurist
christina@wikstrompartners.se                   karin@wikstrompartners.se                 anton@wikstrompartners.se
+46 70 691 68 00                                                  +46 70 148 50 60                                        +46 70 148 00 09

[1] SOU 2024:64 Motståndskraft i samhällsviktiga funktioner (slutbetänkande om införandet av CER-direktivet), se även SOU 2024:18 Nya regler om cybersäkerhet (delbetänkande om införandet av NIS2-direktivet).

[2] Notera att NIS2 använder begreppet ”entitet”, medan utredningen föreslår att använda ”verksamhetsutövare”.

[3] Baserat på Kommissionens rekommendation av den 6 maj 2003 om definitionen av mikroföretag samt små och medelstora företag (2003/361/EG), se art. 2 i bilagan.

[4] Kritiska verksamhetsutövare i CER-direktivet ska oavsett sin storlek omfattas av NIS2 om verksamheten ryms inom bilaga I eller II. Samtliga kritiska verksamhetsutövare ska även anses vara väsentliga enligt NIS2-direktivet.

[5] Avser verksamhetens totala globala årsomsättning närmast föregående räkenskapsår.

[6] MSB, Det här är NIS2-direktivet, https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/krav-och-regler-inom-informationssakerhet-och-cybersakerhet/nis-direktivet/det-har-ar-nis2-direktivet/.