NIS2-direktivet är ett ämne av stor betydelse då det kommer att påverka många företag och verksamheter i Sverige. Nyligen har ett delbetänkande angående NIS2-direktivet äntligen publicerats, vilket väcker stor uppmärksamhet och diskussion kring dess konsekvenser och tillämpning. Så hur kommer det här påverka dig? Detta blogginlägg sammanfattar den senaste uppdateringen av NIS2-direktivet som publicerades den 5:e mars 2024 (skulle varit 23:e februari).
Detta är en uppdatering på vår tidigare NIS2 blogg som du kan läsa om du vill veta mer om bakgrunden till direktivet och tips på hur du kan förbereda dig.
I det här delbetänkandet, som kom ut den 5 mars 2024, diskuterar utredningen hur Sverige kan anpassa sig till det nya NIS2-direktivet från EU. Det här direktivet ersätter det äldre NIS-direktivet från 2016 och har strängare regler för att skydda nätverks- och informationssystemens säkerhet. Sverige måste ha de nya reglerna på plats senast den 17 oktober 2024. Ett slutbetänkande kommer i september 2024.
Utredningen rekommenderar att det nya direktivet huvudsakligen ska genomföras genom en ny lag, kallad Cybersäkerhetslagen, och att den gamla lagen ska avskaffas. Det nya direktivet kommer att vara strängare för företag och innebära ett ökat samarbete inom EU för att förbättra cybersäkerheten.
Lagen föreslås börja gälla i Sverige 1 januari 2025.
Den nya utredningen rekommenderar att NIS2-direktivet ska genomföras genom en ny lag, kallad Cybersäkerhetslagen. Lagen föreslås börja gälla i Sverige 1 januari 2025.
NIS2-direktivet utökar vilka företag som regleras jämfört med det förra direktivet. Det innebär två stora ändringar. För det första föreslås att fler sektorer inkluderas, från sju till 18. Det betyder att fler typer av företag kommer att omfattas, både genom att nya sektorer läggs till och genom att nya typer av företag inom befintliga sektorer tas med. Den andra stora förändringen är att reglerna kommer att gälla för hela företaget, inte bara för dem som tillhandahåller viktiga eller digitala tjänster. De sektorer som är nya markeras nedan.
Sektorer som nu omfattas:
Offentlig förvaltning:
Undantag:
De offentliga är majoriteten av alla myndigheter samt alla regioner och kommuner. Därutöver räknas ett stort antal enskilda verksamhetsutövare in. Huvudregeln är att samtliga enskilda verksamhetsutövare inom de 18 olika sektorerna omfattas av lagen under förutsättning att verksamheten är etablerad i Sverige och uppfyller kraven för medelstort företag (se nedan).
Vilka är enskilda verksamhetsutövare?
I NIS2-direktivet har man delat in verksamheter i hur viktiga de anses att vara. I de 18 sektorerna har man delat upp högkritiska och andra kritiska områden, enligt nedan.
Här är de högkritiska sektorerna:
Utöver dessa finns andra kritiska sektorer:
NIS2-direktivet ställer vissa krav som företag och verksamheter måste ta hänsyn till. Här är en sammanfattning:
Vidare, när det gäller riskhantering och rapportering:
En aspekt av det nya NIS2-direktivet är de förändrade sanktionsavgifterna som nu kommer ligga på en högre nivå än vad de gjort tidigare. Sanktionerna förblir dock av administrativ karaktär. Lägstanivåerna för sanktionsavgifterna behålls på 5 000 kronor, men högstanivåerna höjs väsentligt i jämförelse med gällande nivåer och uppgår till:
NIS2-direktivet ersätter det tidigare NIS-direktivet och införlivas i den svenska lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. Den nya lagen, kallad cybersäkerhetslagen, utvidgar omfånget till att inkludera fler sektorer och berör hela verksamheten för de involverade parterna. För att omfattas måste verksamheten ha minst 50 anställda eller en årlig omsättning över 10 miljoner euro, och små företag undantas vanligtvis. Offentlig verksamhet är generellt inkluderad, med några undantag.
De som omfattas av lagen har vissa skyldigheter, såsom att anmäla sin verksamhet till tillsynsmyndigheten och vidta åtgärder för riskhantering, inklusive rapportering av incidenter. Myndigheter som MSB har tillsynsuppgifter enligt lagen, och olika myndigheter delar på tillsynsansvaret för olika sektorer.
Avima är en skalbar plattform för byggprojekt med effektiva funktioner för projekt-, dokument- och riskhantering, samt ärendehantering. Vår tjänst är flexibel, användarvänlig och säker, vilket minimerar slöseri och säkerställer att alla parter alltid har tillgång till rätt information.
Vi är en svensk projektplattform med drift hos Axians, certifierade enligt ISO 27001, i en helt redundant och säker miljö fördelad på två olika datahallar i Stockholm. All kommunikation med plattformen sker krypterat, all lagring i Sverige och vi har fått förtroendet av flera verksamheter där säkerheten är av största vikt.
Vill du veta hur vi kan stötta dig? Boka en gratis demo idag!