Efter årsskiftet väntas Sveriges nya cybersäkerhetslag träda i kraft. Många företag i regionen kommer att påverkas och länsstyrelsen i Skåne blir ny tillsynsmyndighet i södra Sverige.
Den nya lagen stiftas för att leva upp till EU-direktivet NIS2, med skärpta krav på fler aktörer att dokumentera och rapportera sitt arbete med cybersäkerhet.
EU-direktivet NIS2 är en uppföljning på NIS-direktivet från 2016, vars syfte var att öka den gemensamma nivån på cybersäkerhet inom EU. Det ska ske genom att kräva att verksamheter inom samhällskritiska funktioner ska vidta säkerhetsåtgärder och rapportera incidenter av brister eller intrång. NIS står för nätverks- och informationssystem.
Sju sektorer pekas ut i det första direktivet: Energi, transport, hälso- och sjukvård, dricksvatten, bank, finansmarknadsinfrastruktur samt digital infrastruktur. NIS-direktivet implementerades i Sverige 2018 genom lagen ”om informationssäkerhet för samhällsviktiga och digitala tjänster” – eller NIS-lagen.
– Första NIS riktades till stora aktörer och primärt bara de samhällskritiska tjänsterna. Nu har man insett att det kanske var lite för avgränsat, världen är lite mer komplex än att en enskild verksamhet levererar en samhällsviktig tjänst. Det finns alltid mindre underleverantörer och partner som i vissa fall ansvarar över kritiska delar av en tjänst, säger Niclas Kjellin, teknisk chef för Great IT Nordic Security, som specialiserat sig på bland annat NIS-efterlevnad.
I det nya NIS2-direktivet är det få branscher som klarar sig undan. Elva nya sektorer adderas, bland annat offentlig förvaltning, digitala leverantörer, förvaltning av telekomtjänster och livsmedelsindustrin. (Se hela listan på berörda sektorer nedan)
Sektorn offentlig förvaltning gör bland annat att hundratals myndigheter och samtliga regioner och kommuner omfattas av regelverket. Statens offentliga utredning föreslår dessutom att lärosäten med examenstillstånd också ska omfattas.
För att företag ska omfattas av regelverket ska de, utöver att arbeta med samhällskritiska funktioner inom någon av sektorerna, sysselsätta minst 50 personer eller omsätta mer än 10 miljoner euro om året. Det är huvudregeln. Men undantag kan göras för vissa verksamheter oavsett storlek. Vilka det är avgör Myndigheten för samhällsskydd och beredskap, MSB, som har ett övergripande ansvar över NIS.
Dessutom skärps kraven i NIS2 då EU tydliggjort att reglerna gäller hela verksamheterna, snarare än bara just de samhällsviktiga tjänsterna. Enligt Niclas Kjellin på Great IT kommer det att få de stora NIS2-verksamheterna att börja ställa krav på sina underleverantörer.
– Om du levererar till ett stort bolag som går under NIS2, eller om Region Skåne till exempel är din kund, då kan det vara klokt att utgå från att du också kommer att behöva leva upp till kraven förr eller senare, säger Niclas Kjellin.
Mer om kraven på NIS2-verksamheter (källa SOU 2024:18)
Verksamheterna som går berörs av NIS2 väntas ”vidta riskhanteringsåtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter. Åtgärderna ska utgå från en riskanalys, vara proportionerliga i förhållande till risken och de ska utvärderas. Det ställs också krav på att verksamhetsutövaren ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete samt krav på att verksamhetens ledning ska genomgå utbildning och att anställda ska erbjudas utbildning.”
Verksamheterna förväntas också rapportera alla ”betydande incidenter” till MSB som ska meddelas redan inom 24 timmar efter att verksamhetsutövaren upptäckt incidenten.
Tillsyn och sanktioner
NIS-lagen pekar i dag ut tillsynsmyndigheter för varje sektor som ska kontrollera att regelverket efterföljs. NIS2-utredningen föreslår fem nya myndigheter för att täcka de nya sektorerna. Region Skåne föreslås bli ny tillsynsmyndighet i södra Sverige för sektorerna offentlig förvaltning, avfallshantering, forskning och kemikalier. (Se hela listan på tillsynsmyndigheter nedan)
Det är också tillsynsmyndigheternas uppgift att utfärda sanktioner mot verksamheter som bryter mot lagen. Lägstanivån för sanktionsavgifter behålls på 5.000 kronor men högstanivåerna höjs. SOU:n skiljer här på verksamhetsutövare som antingen är väsentliga eller bara viktiga för att samhället ska kunna fungera.
De väsentliga verksamheterna kan högst beläggas med sanktioner som motsvarar 2 procent av deras globala årsomsättning eller 10 miljoner euro. De samhällsviktiga verksamheterna kan sanktioneras med högst 7 miljoner euro eller 1,4 procent av den globala omsättningen. Offentliga verksamheter kan högst få 10 miljoner kronor i sanktioner.
SEKTORER i NIS1
Tillsynsmyndigheter
Energi
Statens energimyndighet
Hälso- och sjukvård
Inspektionen för vård och omsorg & Läkemedelsverket
Digital infrastruktur
Post- och telestyrelsen
Transport
Transportstyrelsen
Distribution av dricksvatten
Livsmedelsverket
Bankverksamhet
Finansinspektionen
Finansmarknadsinfrastruktur
Finansinspektionen
Nya SEKTORER i NIS2
Tillsynsmyndigheter
Offentlig förvaltning
Länsstyrelser*
Tillverkning
Transportstyrelsen & Läkemedelsverket & Länen*
Produktion, bearbetning och distribution av livsmedel
Livsmedelsverket
Produktion och distribution av kemikalier
Länsstyrelser*
Post- och budtjänster
Post- och telestyrelsen
Digitala leverantörer
Post- och telestyrelsen
Avloppsvatten
Livsmedelsverket
Avfallshantering
Länsstyrelser*
Förvaltning av telekomtjänster mellan företag
Post- och telestyrelsen
Forskning
Länsstyrelser*
Rymden
Post- och telestyrelsen
*Med ”Länsstyrelser” åsyftas Länsstyrelserna i Stockholm, Västra Götaland, Norrbotten och Skåne.
Emiliano Strauss
Efter årsskiftet väntas Sveriges nya cybersäkerhetslag träda i kraft. Många företag i regionen kommer att påverkas och länsstyrelsen i Skåne blir ny tillsynsmyndighet i södra Sverige.
Den nya lagen stiftas för att leva upp till EU-direktivet NIS2, med skärpta krav på fler aktörer att dokumentera och rapportera sitt arbete med cybersäkerhet.
EU-direktivet NIS2 är en uppföljning på NIS-direktivet från 2016, vars syfte var att öka den gemensamma nivån på cybersäkerhet inom EU. Det ska ske genom att kräva att verksamheter inom samhällskritiska funktioner ska vidta säkerhetsåtgärder och rapportera incidenter av brister eller intrång. NIS står för nätverks- och informationssystem.
Sju sektorer pekas ut i det första direktivet: Energi, transport, hälso- och sjukvård, dricksvatten, bank, finansmarknadsinfrastruktur samt digital infrastruktur. NIS-direktivet implementerades i Sverige 2018 genom lagen ”om informationssäkerhet för samhällsviktiga och digitala tjänster” – eller NIS-lagen.
– Första NIS riktades till stora aktörer och primärt bara de samhällskritiska tjänsterna. Nu har man insett att det kanske var lite för avgränsat, världen är lite mer komplex än att en enskild verksamhet levererar en samhällsviktig tjänst. Det finns alltid mindre underleverantörer och partner som i vissa fall ansvarar över kritiska delar av en tjänst, säger Niclas Kjellin, teknisk chef för Great IT Nordic Security, som specialiserat sig på bland annat NIS-efterlevnad.
I det nya NIS2-direktivet är det få branscher som klarar sig undan. Elva nya sektorer adderas, bland annat offentlig förvaltning, digitala leverantörer, förvaltning av telekomtjänster och livsmedelsindustrin. (Se hela listan på berörda sektorer nedan)
Sektorn offentlig förvaltning gör bland annat att hundratals myndigheter och samtliga regioner och kommuner omfattas av regelverket. Statens offentliga utredning föreslår dessutom att lärosäten med examenstillstånd också ska omfattas.
För att företag ska omfattas av regelverket ska de, utöver att arbeta med samhällskritiska funktioner inom någon av sektorerna, sysselsätta minst 50 personer eller omsätta mer än 10 miljoner euro om året. Det är huvudregeln. Men undantag kan göras för vissa verksamheter oavsett storlek. Vilka det är avgör Myndigheten för samhällsskydd och beredskap, MSB, som har ett övergripande ansvar över NIS.
Dessutom skärps kraven i NIS2 då EU tydliggjort att reglerna gäller hela verksamheterna, snarare än bara just de samhällsviktiga tjänsterna. Enligt Niclas Kjellin på Great IT kommer det att få de stora NIS2-verksamheterna att börja ställa krav på sina underleverantörer.
– Om du levererar till ett stort bolag som går under NIS2, eller om Region Skåne till exempel är din kund, då kan det vara klokt att utgå från att du också kommer att behöva leva upp till kraven förr eller senare, säger Niclas Kjellin.
Mer om kraven på NIS2-verksamheter (källa SOU 2024:18)
Verksamheterna som går berörs av NIS2 väntas ”vidta riskhanteringsåtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter. Åtgärderna ska utgå från en riskanalys, vara proportionerliga i förhållande till risken och de ska utvärderas. Det ställs också krav på att verksamhetsutövaren ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete samt krav på att verksamhetens ledning ska genomgå utbildning och att anställda ska erbjudas utbildning.”
Verksamheterna förväntas också rapportera alla ”betydande incidenter” till MSB som ska meddelas redan inom 24 timmar efter att verksamhetsutövaren upptäckt incidenten.
Tillsyn och sanktioner
NIS-lagen pekar i dag ut tillsynsmyndigheter för varje sektor som ska kontrollera att regelverket efterföljs. NIS2-utredningen föreslår fem nya myndigheter för att täcka de nya sektorerna. Region Skåne föreslås bli ny tillsynsmyndighet i södra Sverige för sektorerna offentlig förvaltning, avfallshantering, forskning och kemikalier. (Se hela listan på tillsynsmyndigheter nedan)
Det är också tillsynsmyndigheternas uppgift att utfärda sanktioner mot verksamheter som bryter mot lagen. Lägstanivån för sanktionsavgifter behålls på 5.000 kronor men högstanivåerna höjs. SOU:n skiljer här på verksamhetsutövare som antingen är väsentliga eller bara viktiga för att samhället ska kunna fungera.
De väsentliga verksamheterna kan högst beläggas med sanktioner som motsvarar 2 procent av deras globala årsomsättning eller 10 miljoner euro. De samhällsviktiga verksamheterna kan sanktioneras med högst 7 miljoner euro eller 1,4 procent av den globala omsättningen. Offentliga verksamheter kan högst få 10 miljoner kronor i sanktioner.
SEKTORER i NIS1
Tillsynsmyndigheter
Energi
Statens energimyndighet
Hälso- och sjukvård
Inspektionen för vård och omsorg & Läkemedelsverket
Digital infrastruktur
Post- och telestyrelsen
Transport
Transportstyrelsen
Distribution av dricksvatten
Livsmedelsverket
Bankverksamhet
Finansinspektionen
Finansmarknadsinfrastruktur
Finansinspektionen
Nya SEKTORER i NIS2
Tillsynsmyndigheter
Offentlig förvaltning
Länsstyrelser*
Tillverkning
Transportstyrelsen & Läkemedelsverket & Länen*
Produktion, bearbetning och distribution av livsmedel
Livsmedelsverket
Produktion och distribution av kemikalier
Länsstyrelser*
Post- och budtjänster
Post- och telestyrelsen
Digitala leverantörer
Post- och telestyrelsen
Avloppsvatten
Livsmedelsverket
Avfallshantering
Länsstyrelser*
Förvaltning av telekomtjänster mellan företag
Post- och telestyrelsen
Forskning
Länsstyrelser*
Rymden
Post- och telestyrelsen
*Med ”Länsstyrelser” åsyftas Länsstyrelserna i Stockholm, Västra Götaland, Norrbotten och Skåne.
Emiliano Strauss
För att läsa resten av artikeln behöver du vara prenumerant och inloggad
Bli en del av vårt exklusiva nätverk och få koll på vad som händer i Skåne och Öresundsregionen. Var alltid uppdaterad när du talar med dina affärskontakter. Nytta, nöje, inspiration.
