NIS2-direktivet är ett ämne av stor betydelse då det kommer att påverka många företag och verksamheter i Sverige. Nyligen har ett delbetänkande angående NIS2-direktivet äntligen publicerats, vilket väcker stor uppmärksamhet och diskussion kring dess konsekvenser och tillämpning. Så hur kommer det här påverka dig? Detta blogginlägg sammanfattar den senaste uppdateringen av NIS2-direktivet som publicerades den 5:e mars 2024 (skulle varit 23:e februari).  

Detta är en uppdatering på vår tidigare NIS2 blogg som du kan läsa om du vill veta mer om bakgrunden till direktivet och tips på hur du kan förbereda dig.  

Om NIS2-direktivet

I det här delbetänkandet, som kom ut den 5 mars 2024, diskuterar utredningen hur Sverige kan anpassa sig till det nya NIS2-direktivet från EU. Det här direktivet ersätter det äldre NIS-direktivet från 2016 och har strängare regler för att skydda nätverks- och informationssystemens säkerhet. Sverige måste ha de nya reglerna på plats senast den 17 oktober 2024. Ett slutbetänkande kommer i september 2024. 

Utredningen rekommenderar att det nya direktivet huvudsakligen ska genomföras genom en ny lag, kallad Cybersäkerhetslagen, och att den gamla lagen ska avskaffas. Det nya direktivet kommer att vara strängare för företag och innebära ett ökat samarbete inom EU för att förbättra cybersäkerheten. 

Lagen föreslås börja gälla i Sverige 1 januari 2025.

Nyheter från delbetänkandet

Den nya utredningen rekommenderar att NIS2-direktivet ska genomföras genom en ny lag, kallad Cybersäkerhetslagen. Lagen föreslås börja gälla i Sverige 1 januari 2025.

Vem påverkas av NIS2-direktivet?

NIS2-direktivet utökar vilka företag som regleras jämfört med det förra direktivet. Det innebär två stora ändringar. För det första föreslås att fler sektorer inkluderas, från sju till 18. Det betyder att fler typer av företag kommer att omfattas, både genom att nya sektorer läggs till och genom att nya typer av företag inom befintliga sektorer tas med. Den andra stora förändringen är att reglerna kommer att gälla för hela företaget, inte bara för dem som tillhandahåller viktiga eller digitala tjänster. De sektorer som är nya markeras nedan.  

Sektorer som nu omfattas:

• Energi 
• Transporter
• Bankverksamhet
• Finansmarknadsinfrastruktur
• Hälso- och sjukvårdssektorn
• Dricksvatten
• Digital infrastruktur
• Avloppsvatten (NY)
• Förvaltning av IKT-tjänster (mellan företag) (NY)
• Offentlig förvaltning (NY)
• Rymden (NY)
• Post- och budtjänster (NY)
• Avfallshantering (NY)
• Tillverkning, produktion och distribution av kemikalier (NY)
• Produktion, bearbetning och distribution av livsmedel (NY)
• Tillverkning (NY)
• Digitala leverantörer (NY)
• Forskning (NY)
  

 Offentlig förvaltning: 

• Offentlig förvaltning räknas som en egen sektor, vilket innebär att nästan hela den offentliga sektorn omfattas av lagens krav. 
• En särskild fråga är i vilken utsträckning kommuner ska omfattas. Kommunal verksamhet kan redan omfattas enligt det tidigare NIS-direktivet om kommuner bedriver verksamhet inom något av de sju utpekade områdena. Eftersom ett tillkommande område är offentlig förvaltning kommer dock offentliga verksamhetsutövare att omfattas i mycket större omfattning. 

Undantag: 

• Offentliga verksamheter inom områden som nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning undantas från direktivets krav, inklusive skyldigheter för riskhantering och rapportering.  
• Undantagen är avsedda att säkerställa att viktiga verksamheter för Sveriges säkerhet kan fortsätta att fungera smidigt och effektivt, utan att hindras av onödig byråkrati eller sänkt effektivitet, samtidigt som höga säkerhetsstandarder upprätthålls. 

Cybersäkerhetslagen omfattar såväl offentliga som enskilda verksamhetsutövare

De offentliga är majoriteten av alla myndigheter samt alla regioner och kommuner. Därutöver räknas ett stort antal enskilda verksamhetsutövare in. Huvudregeln är att samtliga enskilda verksamhetsutövare inom de 18 olika sektorerna omfattas av lagen under förutsättning att verksamheten är etablerad i Sverige och uppfyller kraven för medelstort företag (se nedan). 

Vilka är enskilda verksamhetsutövare? 

• Medelstora företag definieras som verksamheter som sysselsätter minst 50 personer eller har en årsomsättning som överstiger 10 miljoner euro.  
• Det innebär att små företag som huvudregel inte omfattas. 
• Vissa särskilt utpekade enskilda verksamhetsutövare omfattas dock oavsett storlek, och Myndigheten för samhällsskydd och beredskap (MSB) har befogenhet att peka ut vissa särskilt kritiska mindre verksamheter. 

Vilka räknas som högkritiska eller kritiska sektorer i NIS2-direktivet? 

I NIS2-direktivet har man delat in verksamheter i hur viktiga de anses att vara. I de 18 sektorerna har man delat upp högkritiska och andra kritiska områden, enligt nedan. 

Här är de högkritiska sektorerna: 

• Energi: Elektricitet, fjärrvärme/fjärrkyla, olja, gas och vätgas. 
• Transporter: Luft, järnväg, sjöfart och vägtransport. 
• Banker. 
• Finansmarknadsinfrastruktur. 
• Hälso- och sjukvård. 
• Dricksvatten. 
• Avloppsvatten. 
• Digital infrastruktur. 
• Förvaltning av IKT-tjänster (mellan företag). 
• Offentlig förvaltning. 
• Rymden. 

Utöver dessa finns andra kritiska sektorer: 

• Post- och budtjänster 
• Avfallshantering 
• Tillverkning, produktion och distribution av kemikalier 
• Produktion, bearbetning och distribution av livsmedel 
• Tillverkning med delsektorerna:  
  • Tillverkning av medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik 
  • Tillverkning av datorer, elektronikvaror och optik 
  • Tillverkning av elapparatur 
  • Tillverkning av övriga maskiner 
  • Tillverkning av motorfordon, släpfordon och påhängsvagnar 
  • Tillverkning av andra transportmedel 
• Digitala leverantörer 
• Forskning 

Kraven i NIS2-direktivet 

NIS2-direktivet ställer vissa krav som företag och verksamheter måste ta hänsyn till. Här är en sammanfattning: 

• Anmälan till tillsynsmyndigheten: Företagen måste anmäla sig till tillsynsmyndigheten och ge information om sin verksamhet. 
• Åtgärder för nätverksskydd: De måste vidta åtgärder för att skydda sina nätverk och informationssystem mot incidenter. Dessa åtgärder ska baseras på en riskanalys. 
• Systematiskt arbete för informationssäkerhet: Företagen måste bedriva ett systematiskt och riskbaserat arbete för att säkerställa informationssäkerheten. 
• Utbildning för ledning och personal: Ledningen måste genomgå utbildning och företaget ska erbjuda utbildning för övrig personal. 

Vidare, när det gäller riskhantering och rapportering: 

• NIS2-direktivet kräver att företagen vidtar tekniska, operationella och organisatoriska åtgärder för riskhantering. Dessa åtgärder ska vara proportionella utifrån faktorer som företagets storlek, sannolikheten för incidenter och de möjliga konsekvenserna. 
• Företagen måste rapportera eventuella incidenter till tillsynsmyndigheten och vidta lämpliga åtgärder. Viktiga företag måste också informera CSIRT-enheten (MSB) eller andra behöriga myndigheter om allvarliga händelser som kan påverka deras tjänster. Denna rapportering ska ske snabbt, vanligtvis inom 24 timmar efter incidenten.   

Vilka sanktioner har NIS2-direktivet?

En aspekt av det nya NIS2-direktivet är de förändrade sanktionsavgifterna som nu kommer ligga på en högre nivå än vad de gjort tidigare. Sanktionerna förblir dock av administrativ karaktär. Lägstanivåerna för sanktionsavgifterna behålls på 5 000 kronor, men högstanivåerna höjs väsentligt i jämförelse med gällande nivåer och uppgår till:  

• För väsentliga verksamhetsutövare till det högsta av:  
  1. Två procent av den väsentliga verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår, eller 
  2. 10 000 000 euro. 
• För viktiga verksamhetsutövare till det högsta av:  
  1. 1,4 procent av verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår, eller 
  2. 7 000 000 euro. 
• För offentliga verksamhetsutövare till 10 000 000 kronor. 

Sammanfattning av NIS2-direktivet

NIS2-direktivet ersätter det tidigare NIS-direktivet och införlivas i den svenska lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Den nya lagen, kallad cybersäkerhetslagen, utvidgar omfånget till att inkludera fler sektorer och berör hela verksamheten för de involverade parterna. För att omfattas måste verksamheten ha minst 50 anställda eller en årlig omsättning över 10 miljoner euro, och små företag undantas vanligtvis. Offentlig verksamhet är generellt inkluderad, med några undantag. 

De som omfattas av lagen har vissa skyldigheter, såsom att anmäla sin verksamhet till tillsynsmyndigheten och vidta åtgärder för riskhantering, inklusive rapportering av incidenter. Myndigheter som MSB har tillsynsuppgifter enligt lagen, och olika myndigheter delar på tillsynsansvaret för olika sektorer. 

Letar du efter en säker projektplattform för dina byggprojekt? 

Avima är en skalbar plattform för byggprojekt med effektiva funktioner för projekt-, dokument- och riskhantering, samt ärendehantering. Vår tjänst är flexibel, användarvänlig och säker, vilket minimerar slöseri och säkerställer att alla parter alltid har tillgång till rätt information. 

Vi är en svensk projektplattform med drift hos Axians, certifierade enligt ISO 27001, i en helt redundant och säker miljö fördelad på två olika datahallar i Stockholm. All kommunikation med plattformen sker krypterat, all lagring i Sverige och vi har fått förtroendet av flera verksamheter där säkerheten är av största vikt. 

Vill du veta hur vi kan stötta dig? Boka en gratis demo idag!