NIS2 - Vad betyder regeringens utredning för din verksamhet?

Daniel Andersson Senior Information Security Consultant, Cegal Sweden. Daniel har lång erfarenhet inom informationssäkerhet och är Certified Information Security Manager (CISM) samt certifierad Cybersecurity Practitioner (CSX-P). Med bakgrund inom både teknik och ledarskap har Daniel en bred syn på dagens utmaningar och dess olika lösningar.

03/07/2024 |

Regeringens utredning kring NIS2 och CER direktivet har kommit med ett delbetänkande som omfattar NIS2, läs mer om vad detta innebär för er verksamhet.

Den 5e mars lämnades delbetänkandet kring NIS2 och CER direktivet över till regeringen, detta några dagar senare än initialt utsatt tid. Uppdragets initiala omfattning kvarstår men de delar som enbart rör CER presenteras i fullo vid senare tillfälle.

När blir NIS2 tvingande?

Utredningen föreslår att föreslagen lag för NIS2 skall träda i kraft först 1 januari 2025, detta till skillnad får NIS2 direktivets satta datum på 18e oktober 2024. Detta medför viss extra tid för att genomföra åtgärder för att säkerställa efterlevnad till de nya kraven.

Tillsynsmyndigheter och budget

Idag är tillsynsmyndigheterna Statens energimyndighet, Transportstyrelsen, Finansinspektionen, IVO, Livsmedels-
verket och Post- och telestyrelsen. Utöver dessa föreslås även nya tillsynsmyndigheter, dvs. Läkemedelsverket, och länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län.

Utredningen har inte kunnat fastställa tydlighet i de ökade kostnader som tillkommer för myndigheter för det utökade tillsynsansvaret i NIS2. De föreslagna utökade anslagen för respektive myndighet under 2025 är relativt låga och indikerar att begränsad tillsyn kommer kunna göras inom ramen för den budgeten.

MSB föreslås att fortsätta driva samarbetsforum samt även driva den nationella CSIRT-enheten, vilket även inkluderar att vara den centrala kontaktpunkten för Sverige gentemot övriga medlemsländer. MSB får även ansvaret för att vara Sveriges cyberkrismyndighet. För detta föreslås att två miljoner i extra anslag tillförs MSB under 2025. Även här är det en stram budget för att kunna axla den stora utökning som görs i ansvaret för MSB.

Sanktioner vid lagbrott

Den sanktion som innebär att personer med ledningsansvar skall förbjudas utöva ledningsfunktioner föreslås att hanteras via allmän förvaltningsdomstol, detta innebär en extra tröskel för att kunna utdöma en sådan allvarlig sanktion.
Utöver sanktionsavgifter föreslås även att anmärkning skall införas som sanktion, det vill säga en sanktion som inte leder till annan påföljd än anmärkning.

I övrigt är sanktionerna enligt förväntan, som lägst 5 000 SEK och som högst 2% av den totala globala årsomsättningen för närmast föregående år, eller 10 000 000 euro för väsentliga verksamhetsutövare, för viktiga verksamhetsutövare är högsta nivån lägre, 1,4% av verksamhetens globala årsomsättning föregående år eller 7 000 000 euro.
För offentliga verksamheter sätts taket till 10 000 000 kronor.

Lag om cybersäkerhet

Förslaget lägger fram namnet ”Lag och cybersäkerhet” och föreslås att helt ersätta nuvarande lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

I stort följer lagtexten NIS2 direktivets minimikrav, med referenser till 2003/361/EG för definitionen av medelstora företag, med möjlighet för regering eller utsedd myndighet att i föreskrifter meddela undantag.

Det föreslås att lagen inte skall tillämpas på verksamheter som faller under artikel 2.4 i DORA-förordningen, detta medför att Finansbranschen inte behöver hantera både NIS2 och DORA, där DORA är mer långtgående än NIS2 i kravställningen.

Ett antal verksamheter undantas även denna lag utifrån att de faller under säkerhetsskyddslagen (2018:585), detta gäller dock endast verksamheter som enbart bedriver säkerhetskänslig verksamhet och/eller brottsbekämpning. I privat sektor kommer merparten av fallen vara att både säkerhetsskyddslagen och lagen om cybersäkerhet är gällande om verksamhet bedrivs som träffar omfånget av båda dessa lagar.

Likt kraven i NIS2 direktivet krävs att verksamhetsutövare gör en anmälan till tillsynsmyndigheten om att man anser att verksamheten regleras av lagen om cybersäkerhet, i anmälan skall bl.a. även uppgifter om verksamhetens IP-adressintervall lämnas.

I den alltmer dynamiska värld vi lever i med bl.a. molntjänster och SaaS tjänster kan IP-adressintervall vara en relativ dynamisk information, det kommer bli en ökad administrativ börda både för verksamheter och tillsynsmyndigheter att hålla denna information korrekt i anmälan till tillsynsmyndigheten då uppdateringar rimligen kan behövas göras löpande.

Grundbulten i lagen är att ett riskbaserat arbetssätt för att identifiera och minska cybersäkerhetsrisker, detta i kombination med ett uppräknade kontroller. Informationssäkerhetsarbetet skall bedrivas riskbaserat. Vidare är förslaget att mer specifika föreskrifter får meddelas av regeringen eller utsedd myndighet inom områdena för riskhantering och systematiskt informationssäkerhetsarbete.

Förslaget om lagen föreskriver även att ledning skall gå utbildning i riskhanteringsåtgärder, samt att anställda ska erbjudas sådan utbildning.

Kraven för incidentrapportering är i enlighet med NIS2 direktivet, inom 24 timmar för att underrätta CSIRT, 72 timmar för en incidentanmälan och max en månad från incidentanmälan för att lämna in en slutrapport, om incidenten inte är avslutad lämnas istället en lägesrapport.

Övriga berörda lagar

Utredningen föreslår även att ändringar görs i lagen (2006:24) om nationella toppdomäner för Sverige på Internet med mindre justeringar för NIS2 direktivet.

Vidare föreslås ändringar i lagen (2022:482) om elektronisk kommunikation, även här för att harmonisera med NIS2 direktivet.

Förordning om cybersäkerhet

Utöver lagen om cybersäkerhet föreslås även en förordning för att förtydliga delar av föreslagen lag. Specifikation över tillsynsmyndigheter inkluderas i förordningen samt lista på de myndigheter som bedriver verksamhet som medför att de undantas från lagen om cybersäkerhet (NIS2).

Det föreskrivs även att respektive tillsynsmyndighet har rätt att meddela föreskrifter om riskhanteringsåtgärder, systematiskt och riskbaserat informationssäkerhetsarbete samt utbildning, dock gäller detta ej länsstyrelserna där MSB får denna rätt.

Att föreskrifter om samma område skall kunna tas fram av olika myndigheter medför en risk att en verksamhet som faller under flera kritiska områden kan få föreskrifter som är motsägande, här är det viktigt att tillsynsmyndigheterna kan samarbeta och att MSB ger det stöd som behövs för att få enhetliga föreskrifter. Rimligen borde det även vara ekonomiskt fördelaktigt för samhället om samma typ av föreskrifter inte utarbetas flera gånger.

Övriga förordningar

Mindre justeringar föreslås även i följande förordningar:

förordningen (2007:951) med instruktion för Post- och telestyrelsen
förordning om ändring i offentlighets- och sekretessförordningen (2009:641)
förordningen (2022:511) om elektronisk kommunikation

Detta saknas

NIS2 direktivet förelägger i artikel 7 att varje medlemsstat ska ta fram en nationell strategi för cybersäkerhet, detta ska även inkludera plan och åtgärder för att höja det allmänna medvetandet om cybersäkerhetshot hos medborgarna. Detta har varit utanför omfånget för uppdraget för utredningen.

Artikel 29 föreskriver att medlemsstaterna ska facilitera frivilligt informationsutbyte mellan entiteter som regleras under NIS2, även här finns det behov av att säkra tydlighet i antingen lag eller förordning för cybersäkerhet.

Att bygga en stark motståndskraft för samhällsviktiga funktioner kräver ett samarbete, där Sverige som stat behöver ge stöd till de som bedriver samhällsviktiga funktioner, med stöd avses kunskap och information. Utredningen har ett stort fokus på ett informationsflöde från samhällsviktiga funktioner till myndigheter.

Begränsning: De analyser som är gjorda av utredningens delbetänkande är utförda utifrån informations- och cybersäkerhetsaspekter, analyserna är ej genomförda för att ge en tolkning av legala kraven.