torsdag 30 maj 2024

inloggad som

Nytt EU-direktiv skärper krav på skånska bolag

|  
|  

Efter årsskiftet väntas Sveriges nya cybersäkerhetslag träda i kraft. Många företag i regionen kommer att påverkas och länsstyrelsen i Skåne blir ny tillsynsmyndighet i södra Sverige.

Den nya lagen stiftas för att leva upp till EU-direktivet NIS2, med skärpta krav på fler aktörer att dokumentera och rapportera sitt arbete med cybersäkerhet. 

EU-direktivet NIS2 är en uppföljning på NIS-direktivet från 2016, vars syfte var att öka den gemensamma nivån på cybersäkerhet inom EU. Det ska ske genom att kräva att verksamheter inom samhällskritiska funktioner ska vidta säkerhetsåtgärder och rapportera incidenter av brister eller intrång. NIS står för nätverks- och informationssystem. 

Sju sektorer pekas ut i det första direktivet: Energi, transport, hälso- och sjukvård, dricksvatten, bank, finansmarknadsinfrastruktur samt digital infrastruktur. NIS-direktivet implementerades i Sverige 2018 genom lagen ”om informationssäkerhet för samhällsviktiga och digitala tjänster” – eller NIS-lagen.

– Första NIS riktades till stora aktörer och primärt bara de samhällskritiska tjänsterna. Nu har man insett att det kanske var lite för avgränsat, världen är lite mer komplex än att en enskild verksamhet levererar en samhällsviktig tjänst. Det finns alltid mindre underleverantörer och partner som i vissa fall ansvarar över kritiska delar av en tjänst, säger Niclas Kjellin, teknisk chef för Great IT Nordic Security, som specialiserat sig på bland annat NIS-efterlevnad. 

I det nya NIS2-direktivet är det få branscher som klarar sig undan. Elva nya sektorer adderas, bland annat offentlig förvaltning, digitala leverantörer, förvaltning av telekomtjänster och livsmedelsindustrin. (Se hela listan på berörda sektorer nedan) 

Sektorn offentlig förvaltning gör bland annat att hundratals myndigheter och samtliga regioner och kommuner omfattas av regelverket. Statens offentliga utredning föreslår dessutom att lärosäten med examenstillstånd också ska omfattas. 

För att företag ska omfattas av regelverket ska de, utöver att arbeta med samhällskritiska funktioner inom någon av sektorerna, sysselsätta minst 50 personer eller omsätta mer än 10 miljoner euro om året. Det är huvudregeln. Men undantag kan göras för vissa verksamheter oavsett storlek. Vilka det är avgör Myndigheten för samhällsskydd och beredskap, MSB, som har ett övergripande ansvar över NIS. 

Dessutom skärps kraven i NIS2 då EU tydliggjort att reglerna gäller hela verksamheterna, snarare än bara just de samhällsviktiga tjänsterna. Enligt Niclas Kjellin på Great IT kommer det att få de stora NIS2-verksamheterna att börja ställa krav på sina underleverantörer. 

– Om du levererar till ett stort bolag som går under NIS2, eller om Region Skåne till exempel är din kund, då kan det vara klokt att utgå från att du också kommer att behöva leva upp till kraven förr eller senare, säger Niclas Kjellin. 

Mer om kraven på NIS2-verksamheter (källa SOU 2024:18) 

Verksamheterna som går berörs av NIS2 väntas ”vidta riskhanteringsåtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter. Åtgärderna ska utgå från en riskanalys, vara proportionerliga i förhållande till risken och de ska utvärderas. Det ställs också krav på att verksamhetsutövaren ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete samt krav på att verksamhetens ledning ska genomgå utbildning och att anställda ska erbjudas utbildning.”

Verksamheterna förväntas också rapportera alla ”betydande incidenter” till MSB som ska meddelas redan inom 24 timmar efter att verksamhetsutövaren upptäckt incidenten. 

Tillsyn och sanktioner

NIS-lagen pekar i dag ut tillsynsmyndigheter för varje sektor som ska kontrollera att regelverket efterföljs. NIS2-utredningen föreslår fem nya myndigheter för att täcka de nya sektorerna. Region Skåne föreslås bli ny tillsynsmyndighet i södra Sverige för sektorerna offentlig förvaltning, avfallshantering, forskning och kemikalier. (Se hela listan på tillsynsmyndigheter nedan) 

Det är också tillsynsmyndigheternas uppgift att utfärda sanktioner mot verksamheter som bryter mot lagen. Lägstanivån för sanktionsavgifter behålls på 5.000 kronor men högstanivåerna höjs. SOU:n skiljer här på verksamhetsutövare som antingen är väsentliga eller bara viktiga för att samhället ska kunna fungera. 

De väsentliga verksamheterna kan högst beläggas med sanktioner som motsvarar 2 procent av deras globala årsomsättning eller 10 miljoner euro. De samhällsviktiga verksamheterna kan sanktioneras med högst 7 miljoner euro eller 1,4 procent av den globala omsättningen. Offentliga verksamheter kan högst få 10 miljoner kronor i sanktioner. 

SEKTORER i NIS1Tillsynsmyndigheter
EnergiStatens energimyndighet
Hälso- och sjukvårdInspektionen för vård och omsorg & Läkemedelsverket
Digital infrastrukturPost- och telestyrelsen
TransportTransportstyrelsen
Distribution av dricksvattenLivsmedelsverket
BankverksamhetFinansinspektionen
FinansmarknadsinfrastrukturFinansinspektionen
Nya SEKTORER i NIS2Tillsynsmyndigheter
Offentlig förvaltningLänsstyrelser*
TillverkningTransportstyrelsen & Läkemedelsverket &
Länen* 
Produktion, bearbetning och distribution av livsmedelLivsmedelsverket
Produktion och distribution av kemikalierLänsstyrelser*
Post- och budtjänsterPost- och telestyrelsen
Digitala leverantörerPost- och telestyrelsen
AvloppsvattenLivsmedelsverket
AvfallshanteringLänsstyrelser*
Förvaltning av telekomtjänster mellan företagPost- och telestyrelsen
ForskningLänsstyrelser* 
RymdenPost- och telestyrelsen
*Med ”Länsstyrelser” åsyftas Länsstyrelserna i Stockholm, Västra Götaland, Norrbotten och Skåne.

Emiliano Strauss

Efter årsskiftet väntas Sveriges nya cybersäkerhetslag som ska leva upp till EU-direktivet NIS2, med skärpta krav på fler aktörer att rapportera sitt arbete med cybersäkerhet. Många företag i regionen kommer att påverkas.


För att läsa resten av artikeln behöver du
vara prenumerant och inloggad


  • Lyft för Joel Eklunds sportföretag

    USWE Sports som säljer sportryggsäckar gick över 100 Mkr i försäljning under det brutna räkenskapsåret. Även lönsamheten förbättras snabbt.

  • Great IT på förvärvsjakt

    Med ny vd och uppskruvade tillväxtmål söker Great IT efter bolag att sluka. IT-koncernen vill omsätta 1 miljard kronor inom fem år.

  • Industridesign vänder efter tuff vår

    Designföretaget Zenit i Malmö pustar ut efter en vår som vd Jonas Svennberg kallar för ”katastrof”. Nu väljer fem av firmans anställda att bli partner i bolaget.

  • Genombrott för Opticept

    Opticept har fått sin största order hittills, fem gånger större än tidigare års helårsomsättningar.
    – Det går inte att jämföra med något annat vi presterat, säger vd Thomas Lundqvist som nu måste skala upp produktionen.