NIS2 och CER – vägen till ökad motståndskraft

27 juni, 2024

I januari 2025 väntas en ny cybersäkerhetslag träda kraft i Sverige. Denna lag implementerar EU:s NIS2-direktiv, vilket syftar till att samordna medlemsländernas cybersäkerhetskrav och stärka samarbetet inom unionen. Men vad innebär det för svenska verksamheter och hur kommer det att påverka säkerheten i nätverks- och informationssystem?

Nya direktiv

Sedan NIS-direktivet trädde i kraft 2016 har betydande framsteg gjorts för att öka unionens cyberresiliens. Trots framstegen har direktivet visat brister som förhindrar effektiv hantering av både befintliga och framväxande utmaningar inom cybersäkerhetsområdet. Den snabba digitala omställningen och samhällets ökande sammankoppling har lett till en bredare hotbild som kräver samordnade och innovativa svarsåtgärder.

NIS2-direktivet, antaget av Europaparlamentet och rådet den 14 december 2022, ersätter det tidigare NIS-direktivet. Det nya direktivet ställer strängare krav på säkerheten för nätverks- och informationssystem samt höjer standarderna för riskanalyser och säkerhetsåtgärder. Samtidigt antogs även CER-direktivet, som fokuserar på att säkerställa motståndskraften hos kritiska verksamheter genom att kräva skydd av fysiska resurser och rätt behörigheter för åtkomst.

Förändringar och krav

Det nya NIS- direktivet innebär flera betydande förändringar och skärpta krav:

1. Utökning av berörda sektorer

Antalet sektorer som omfattas av NIS-direktivet utökas nu från sju till 18. Bland de nya sektorerna finns postväsendet, avloppsvatten och kritisk industriproduktion, vilket innebär att fler aktörer nu måste uppfylla de skärpta säkerhetskraven. En betydande förändring är att offentlig förvaltning också inkluderas, vilket innebär att både kommuner och regioner kommer att omfattas av den nya lagstiftningen. Detta ställer högre krav på säkerhetsåtgärder inom en bredare uppsättning samhällsviktiga tjänster och digitala infrastrukturer.

2. Skärpa krav på riskhantering och incidentrapportering

Verksamhetsutövare måste nu arbeta mer systematiskt och riskbaserat med informationssäkerhet. NIS2-direktivet ställer tydligare krav på genomförandet av riskanalyser och införandet av säkerhetsåtgärder. Dessutom skärps kraven på incidentrapportering, vilket innebär att incidenter måste rapporteras inom strikta tidsramar och med mer detaljerad information om sårbarheter och kryptering.

3. Ansvar för ledningsgrupper

En annan betydande förändring är att ledningsgrupper kommer att hållas ansvariga för cybersäkerhetsarbetet. Detta innebär att högre chefer måste säkerställa att deras organisationer uppfyller de nya kraven och att de har tillräckliga resurser och kompetens för att hantera cybersäkerheten.

4. Utökade tillsynsmöjligheter och sanktioner

Den nya lagen ger utökade möjligheter för tillsyn och inför ett sanktionssystem för att säkerställa att verksamhetsutövare följer de nya reglerna. Myndigheter får nu större befogenheter att övervaka och ingripa vid brister i säkerheten. De nya tillsynsverktygen inkluderar anmärkningar, säkerhetsrevisioner och säkerhetsskanningar. Dessutom höjs sanktionsbeloppen, som nu kan uppgå till 10 miljoner euro eller 2% av omsättningen.

5. EU-koordinerad incidenthantering

För att stärka samarbetet inom EU innehåller NIS2-direktivet bestämmelser om en mer långtgående samordning vid hantering av cyberincidenter. Detta inkluderar utökad informationsdelning mellan medlemsländerna för att snabbt och effektivt kunna hantera hot och sårbarheter.

Datum att hålla koll på

Datum att hålla koll på är den 16 september 2024 då slutbetänkandet om införlivningen av NIS2- och CER- direktivet ska redovisas. NIS 2 och CER-direktivet förväntas tillämpas i nationell lag den 18 oktober 2024. Samtidigt föreslås en ny lag, cybersäkerhetslagen. Detta förslag innebär inte bara införlivandet av NIS2-direktivet utan även ytterligare åtgärder som sträcker sig bortom direktivets krav. Den nya cybersäkerhetslagen föreslås att träda i kraft den 1 januari 2025.

Framtida utsikter

Införandet av NIS2- och CER-direktivet markerar en betydande förstärkning av cybersäkerhetskraven inom EU. Direktiven syftar till att höja den gemensamma cybersäkerhetsnivån och säkerställa en mer robust och motståndskraftig infrastruktur för samhällsviktiga och digitala tjänster.

Vil du veta mer om våra tjänster för informationssäkerhet och vad som gäller?

LÄS OM INFORMATIONSSÄKERHET

Är du i behov av rådgivning? Kontakta oss.

MAILA 2SECURE

 

Använda källor:

Information om NIS2-direktivet | PTS

NIS2 (pts.se)

PTS bjuder in till webbinarium om den kommande cybersäkerhetslagen

Sammanfattning: NIS2 – förslag cybersäkerhetslag Sverige (pwc.se)

Nya regler om cybersäkerhet, SOU 2024:18 (regeringen.se)

NIS2 och CER – direktiv för ökad motståndskraft (msb.se)