Zaekra Nordic AB

NIS2 ställer tydligare krav på bland annat riskanalyser och olika säkerhetsåtgärder. Direktivet ställer även ökade krav på ledningens deltagande i organisationens cybersäkerhetsarbete. NIS2 innebär också att betydligt fler sektorer omfattas av lagstiftningen jämfört med NIS. Av den anledningen tillkommer fler tillsynsmyndigheter. Sanktionsavgifterna blir även högre än idag i det fall kraven inte efterlevs.

NIS2-direktivet beslutades av EU i december 2022 och ersätter det NIS-direktiv som började gälla 2018 genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS).

NIS2-direktivet ska införas i svensk lagstiftning. Just nu pågår en process för att utreda frågor kring regler, men vi saknar fortfarande exakta svar.

En statlig utredning, SOU 2024:18, har lämnat förslag på hur regleringen ska utformas, berörda aktörer har också fått möjlighet att lämna synpunkter på förslaget genom en remiss. Regeringskansliet väntas lämna proposition under våren 2025.

Den som omfattas av NIS2 kallas verksamhetsutövare. Verksamhetsutövarna finns i 18 olika sektorer. De exakta kriterierna för vilka som ska omfattas i Sverige är inte klara ännu.

För varje sektor ansvarar en eller flera tillsynsmyndigheter för vägledning och tillsyn. Tillsynsmyndigheterna har också rätt att utfärda föreskrifter som reglerar kraven i respektive sektor.

MSB har ett samordningsansvar, på nationell nivå i Sverige gentemot tillsynsmyndigheter och verksamhetsutövare, och på EU-nivå som kontaktpunkt för samarbete med andra medlemsstater. MSB har också i uppdrag att utfärda föreskrifter när det gäller vissa gemensamma aspekter av kravställningen för dem som omfattas. Enligt utredningens förslag kommer MSB att ha en liknande roll för NIS2.

Energi. Transporter, Bankverksamhet, Finansmarknadsinfrastruktur, Hälso- och sjukvård, Dricksvatten, Avloppsvatten, Digital infrastruktur, Förvaltning av IKT-tjänster (mellan företag), Offentlig förvaltning, Rymden, Post- och budtjänster, Avfallshantering, Tillverkning, produktion och distribution av kemikalier, Produktion, bearbetning och distribution av livsmedel, Tillverkning, Digitala leverantörer, Forskning

en som är verksamhetsutövare enligt NIS2 har i huvudsak följande uppgifter:

• Identifiera att man omfattas och anmäla sig.
• Etablera/upprätthålla ett systematiskt arbete med informationssäkerhet, införa lämpliga säkerhetsåtgärder och utbilda ledning såväl som personal.
• Rapportera in incidenter som medför eller kan medföra betydande störningar.

Verksamhetsutövaren berörs också av tillsyn från tillsynsmyndigheten för den sektor eller de sektorer där man omfattas.

EU-direktivet se länk: https://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX:32022L2555