NIS2 – nytt direktiv för cybersäkerhet i EU

Bakgrund

NIS2-direktivet är ett nytt direktiv med skärpta krav för väsentliga och viktiga verksamhetsutövare inom EU. Men innan NIS2 fanns NIS, som är den första regleringen med krav på kritisk infrastruktur att vidta cybersäkerhetsåtgärder. NIS-direktivet (på engelska The Directive on Security of Network and Information Systems) antogs 2016 av EU med syftet att skapa en hög gemensam nivå på säkerheten i nätverks- och informationssystem för samhällsviktiga tjänster inom unionen.

Svenska lagstiftningen

Som ett resultat av det europeiska NIS-direktivet trädde Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster i kraft 2018 i Sverige. Den gäller för leverantörer av samhällsviktiga tjänster och vissa digitala tjänster. Dessa samhällsviktiga funktioner är uppdelade i sju sektorer enligt nedanstående lista. Varje sektor har tilldelats en tillsynsmyndighet, som anges inom parentes.

Sju samhällsviktiga sektorer och deras tillsynsmyndigheter:

  • Energi (Energimyndigheten)

  • Transport (Transportstyrelsen)

  • Bankverksamhet (Finansinspektionen)

  • Finansmarknadsinfrastruktur (Finansinspektionen)

  • Hälso- och sjukvård (Inspektionen för vård och omsorg)

  • Leverans och distribution av dricksvatten (Livsmedelsverket)

  • Digital infrastruktur (Post- och telestyrelsen)

NIS2

På senare år har informationssäkerhetshoten ökat. Cyberattackerna har blivit fler och allt fler cyberhot kommer från olika länder. EU har därför uppdaterat NIS-direktivet till NIS2 med bättre anpassning till rådande och framtida säkerhetsbehov. NIS2 antogs av EU den 28 november 2022 och ska enligt direktivet ha införts i nationell rätt senast den 17 oktober 2024. Dock är flera medlemsstater försenade med införlivningen, och svensk lag väntas träda i kraft först sensommaren 2025.

Syftet med det reviderade direktivet är att harmonisera de olika medlemsländernas cybersäkerhetskrav och tillämpning av cybersäkerhetsåtgärder. Därför fastställs miniminivåer för ett regelverk och mekanismer för ett effektivt samarbete mellan de berörda myndigheterna i varje medlemsland.

NIS2 innebär högre säkerhetskrav och ett antal minimikrav som måste uppfyllas. Direktivet innehåller striktare efterlevnadskrav och striktare tillsynsåtgärder. Fler aktörer kommer att beröras av det nya direktivet. Syftet med NIS2 är att uppnå en ökad gemensam motståndskraft mot cyberrelaterade hot inom EU.

De nya verksamheter och tjänster som berörs av NIS2 är:

  • Avloppshantering

  • Förvaltning av IKT-tjänster (mellan företag)

  • Avfallshantering

  • Fjärrvärme och fjärrkyla, vätgas

  • Livsmedel (produktion, bearbetning mm)

  • Offentlig förvaltning (statliga myndigheter, regioner och kommuner)

  • Tillverkningsindustrin (bilindustrin, medicinska och elektroniska produkter mm)

  • Postverksamhet

  • Rymdverksamhet

  • Forskning

Dessa verksamheter ska, tillsammans med de andra verksamheterna i det ursprungliga NIS-direktivet, bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Det betyder att de utifrån riskanalyser ska vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder till skydd för säkerheten i nätverk och operationssystem. De är också skyldiga att rapportera incidenter som påverkar säkerheten och kontinuiteten i tjänsterna.

NIS2 direktivet inkluderar även krav på säkerhet i leveranskedjan, alltså berörs även dessa verksamheters leverantörer och underleverantörer, även de som ligger utanför EU.

Högre krav på säkerhet

  • Utforma strategier för kontinuerlig riskanalys av informationssystemets säkerhet.

  • Införa en incidenthanteringsplan och beredskaps- och affärskontinuitetsplan.

  • Kontrollera säkerheten i hela leverantörskedjan.

  • Beakta säkerhet vid inköp, utveckling och underhåll av nätverk och informationssystem.

  • Använda kryptering.

Högre krav på incidentrapportering

Det blir tydligare riktlinjer om vad som ska var med i incidentrapporteringen.

Berörda organisationer har 24 timmar på sig att rapportera en inträffad incident. Slutrapport ska ske senast efter en månad. Rapporteringskraven blir mer omfattande än tidigare. Det blir höjda sanktionsavgifter (böter) vid överträdelser av NIS2. Böternas storlek varierar beroende på organisationens typ och storlek. Det kan bli 10 miljoner euro eller 2 % av organisationens årliga bruttointäkter.

Dessutom kan tillsynsmyndigheter tillfälligt förhindra ansvariga personer att delta i verksamhetens ledning om de misslyckats med att åtgärda incidenter på ett effektivt sätt.

Det finns också krav på utbildning av personer i ledningen så att de ska förstå risker och utmaningar kopplat till cybersäkerhet.

Hur identifierar man samhällsviktiga tjänster?

NIS2 gäller för både offentliga och privata organisationer inom de definierade verksamhetsområdena. Det är verksamheten själv som ansvarar för att identifiera sig om en samhällsviktig tjänst under NIS2 och att anmäla detta till tillsynsmyndigheter. Vissa mindre verksamheter kan vara undantagna från NIS2. Men små verksamheter kan inkluderas om de anses vara tillräckligt samhällsviktiga. Om man är osäker kan man vända sig till MSB för stöd och hjälp i denna fråga. På MSB:s webbplats www.msb.se finns information och vägledning om det mesta som berör denna lagstiftning.

 Har du behov av Juridisk Rådgivning kring NIS-direktivet, GDPR eller någon annan aspekt av informationssäkerhet?