Efter årsskiftet väntas Sveriges nya cybersäkerhetslag träda i kraft. Många företag i regionen kommer att påverkas och länsstyrelsen i Skåne blir ny tillsynsmyndighet i södra Sverige.
Den nya lagen stiftas för att leva upp till EU-direktivet NIS2, med skärpta krav på fler aktörer att dokumentera och rapportera sitt arbete med cybersäkerhet.
EU-direktivet NIS2 är en uppföljning på NIS-direktivet från 2016, vars syfte var att öka den gemensamma nivån på cybersäkerhet inom EU. Det ska ske genom att kräva att verksamheter inom samhällskritiska funktioner ska vidta säkerhetsåtgärder och rapportera incidenter av brister eller intrång. NIS står för nätverks- och informationssystem.
Sju sektorer pekas ut i det första direktivet: Energi, transport, hälso- och sjukvård, dricksvatten, bank, finansmarknadsinfrastruktur samt digital infrastruktur. NIS-direktivet implementerades i Sverige 2018 genom lagen ”om informationssäkerhet för samhällsviktiga och digitala tjänster” – eller NIS-lagen.
– Första NIS riktades till stora aktörer och primärt bara de samhällskritiska tjänsterna. Nu har man insett att det kanske var lite för avgränsat, världen är lite mer komplex än att en enskild verksamhet levererar en samhällsviktig tjänst. Det finns alltid mindre underleverantörer och partner som i vissa fall ansvarar över kritiska delar av en tjänst, säger Niclas Kjellin, teknisk chef för Great IT Nordic Security, som specialiserat sig på bland annat NIS-efterlevnad.
I det nya NIS2-direktivet är det få branscher som klarar sig undan. Elva nya sektorer adderas, bland annat offentlig förvaltning, digitala leverantörer, förvaltning av telekomtjänster och livsmedelsindustrin. (Se hela listan på berörda sektorer nedan)
Sektorn offentlig förvaltning gör bland annat att hundratals myndigheter och samtliga regioner och kommuner omfattas av regelverket. Statens offentliga utredning föreslår dessutom att lärosäten med examenstillstånd också ska omfattas.
För att företag ska omfattas av regelverket ska de, utöver att arbeta med samhällskritiska funktioner inom någon av sektorerna, sysselsätta minst 50 personer eller omsätta mer än 10 miljoner euro om året. Det är huvudregeln. Men undantag kan göras för vissa verksamheter oavsett storlek. Vilka det är avgör Myndigheten för samhällsskydd och beredskap, MSB, som har ett övergripande ansvar över NIS.
Dessutom skärps kraven i NIS2 då EU tydliggjort att reglerna gäller hela verksamheterna, snarare än bara just de samhällsviktiga tjänsterna. Enligt Niclas Kjellin på Great IT kommer det att få de stora NIS2-verksamheterna att börja ställa krav på sina underleverantörer.
– Om du levererar till ett stort bolag som går under NIS2, eller om Region Skåne till exempel är din kund, då kan det vara klokt att utgå från att du också kommer att behöva leva upp till kraven förr eller senare, säger Niclas Kjellin.
Mer om kraven på NIS2-verksamheter (källa SOU 2024:18)
Verksamheterna som går berörs av NIS2 väntas ”vidta riskhanteringsåtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter. Åtgärderna ska utgå från en riskanalys, vara proportionerliga i förhållande till risken och de ska utvärderas. Det ställs också krav på att verksamhetsutövaren ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete samt krav på att verksamhetens ledning ska genomgå utbildning och att anställda ska erbjudas utbildning.”
Verksamheterna förväntas också rapportera alla ”betydande incidenter” till MSB som ska meddelas redan inom 24 timmar efter att verksamhetsutövaren upptäckt incidenten.
Tillsyn och sanktioner
NIS-lagen pekar i dag ut tillsynsmyndigheter för varje sektor som ska kontrollera att regelverket efterföljs. NIS2-utredningen föreslår fem nya myndigheter för att täcka de nya sektorerna. Region Skåne föreslås bli ny tillsynsmyndighet i södra Sverige för sektorerna offentlig förvaltning, avfallshantering, forskning och kemikalier. (Se hela listan på tillsynsmyndigheter nedan)
Det är också tillsynsmyndigheternas uppgift att utfärda sanktioner mot verksamheter som bryter mot lagen. Lägstanivån för sanktionsavgifter behålls på 5.000 kronor men högstanivåerna höjs. SOU:n skiljer här på verksamhetsutövare som antingen är väsentliga eller bara viktiga för att samhället ska kunna fungera.
De väsentliga verksamheterna kan högst beläggas med sanktioner som motsvarar 2 procent av deras globala årsomsättning eller 10 miljoner euro. De samhällsviktiga verksamheterna kan sanktioneras med högst 7 miljoner euro eller 1,4 procent av den globala omsättningen. Offentliga verksamheter kan högst få 10 miljoner kronor i sanktioner.
| SEKTORER i NIS1 | Tillsynsmyndigheter |
| Energi | Statens energimyndighet |
| Hälso- och sjukvård | Inspektionen för vård och omsorg & Läkemedelsverket |
| Digital infrastruktur | Post- och telestyrelsen |
| Transport | Transportstyrelsen |
| Distribution av dricksvatten | Livsmedelsverket |
| Bankverksamhet | Finansinspektionen |
| Finansmarknadsinfrastruktur | Finansinspektionen |
| Nya SEKTORER i NIS2 | Tillsynsmyndigheter |
| Offentlig förvaltning | Länsstyrelser* |
| Tillverkning | Transportstyrelsen & Läkemedelsverket & Länen* |
| Produktion, bearbetning och distribution av livsmedel | Livsmedelsverket |
| Produktion och distribution av kemikalier | Länsstyrelser* |
| Post- och budtjänster | Post- och telestyrelsen |
| Digitala leverantörer | Post- och telestyrelsen |
| Avloppsvatten | Livsmedelsverket |
| Avfallshantering | Länsstyrelser* |
| Förvaltning av telekomtjänster mellan företag | Post- och telestyrelsen |
| Forskning | Länsstyrelser* |
| Rymden | Post- och telestyrelsen |
Emiliano Strauss
