NIS2-direktivet - vad innebär det för svenska organisationer?

Lena Graungaard Lindahl 3 april, 2024

Introduktion

NIS2 – Ett direktiv för att framtidssäkra samhällsviktiga och digitala tjänster

Den 16 december 2020 presenterade Europeiska kommissionen ett nytt ”NIS2-direktiv”, ibland benämnt som enbart ”NIS2”. Direktivets syfte är att införa åtgärder för att ytterligare stärka och framtidssäkra cybersäkerheten inom EU, samt att harmonisera medlemsländernas krav och tillämplig av direktivet

NIS förkortning
The Directive on security of Network and Information Systems

Inledning

Ett direktiv för att framtidssäkra samhällsviktiga och digitala tjänster

Nyligen har Europaparlamentet och rådet antagit ett nytt EU-direktiv som handlar om åtgärder för att upprätthålla en hög gemensam nivå av cybersäkerhet i hela unionen, känt som NIS2-direktivet. För att direktivet ska kunna införas i Sverige krävs att det implementeras i nationell lagstiftning. En särskild utredning som pågått under ett år har den 5 mars 2024 föreslagit de nödvändiga anpassningarna av svensk lagstiftning som krävs för att implementera direktivet. SOU 2024:18. Utredning gällande CER-direktivet var planerad att släppas samtidigt som NIS2-utredningen, men kommer först i september.

Utredningen föreslår en ny cybersäkerhetslag som ska börja gälla den 1 januari 2025. I denna artikel har vi sammanfattat och tolkat resultatet från både direktivet och den svenska utredningen för att presentera vad vi vet nu om vad påverkade organisationer kommer behöva förhålla sig till när direktivet och lagen börjar gälla.

En fabrik med en lång skorsten ur skorstenen kommer vit rök
Kraftvärmeverket Torsvik

Bild: Jönköping Energi AB

Bakgrund

2018, ett nytt direktiv träder i kraft

Det ursprungliga NIS-direktivet (The Directive on security of network and information systems) började gälla 2018 och var den första EU-regleringen med syftet att höja informations- och cybersäkerheten i unionen. Bakgrunden till direktivet är den roll som nätverks- och informationssystem har kommit att spela som möjliggörare för viktiga samhällsfunktioner. Beroendet av dessa system gör att incidenter som inträffar i dem riskerar att leda till allvarliga konsekvenser för unionen. Regleringen riktar sig därför mot de som tillhandahåller tjänster som är viktiga för samhället – så kallade leverantörer av samhällsviktiga och digitala tjänster.

Så här några år senare kan man konstatera att NIS-direktivet har hjälpt till att höja nivån på informations- och cybersäkerheten i unionen. Europaparlamentet och Europeiska unionens råd menar dock att trots direktivets många framgångar så har översyn av direktivet visat att det inte är tillräckligt för att effektivt kunna hantera utmaningarna inom cybersäkerhetsområdet. Detta är ett av skälen till att EU nu valt att anta direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen – det så kallade NIS2-direktivet.

NIS2 kan i mångt och mycket ses som en uppdatering av det ursprungliga NIS-direktivet vilket gör att många av kraven som ställs i NIS-direktivet kvarstår och kompletteras med ytterligare krav. Några av kraven som behöver uppfyllas enligt NIS2 är:

  • Strategier för riskanalys
  • Hantering av incidenter
  • Planer för verksamhetskontinuitet
  • Säkerhet vid anskaffning, utveckling och förvaltning
  • Strategier och rutiner för att bedöma effektiviteten i riskhanteringsåtgärder
  • Utbildning i informationssäkerhet
  • Åtkomstkontroll och hantering av tillgångar
  • Lösningar för multifaktorsautentisering
  • Strategier och rutiner för kryptografi
  • Säkerhet i leveranskedjan

Jämfört med det första NIS-direktivet innebär NIS2 bland annat högre krav på säkerhet och rapportering, tydligare krav på säkerhet i leveranskedjan och tydligare ansvar för personer i ledningen tillsammans med striktare tillsynsåtgärder. Höjda sanktionsavgifter föreslås för den som bryter mot reglerna, upp till 10 miljoner euro eller 2% av den totala omsättningen.

Något som också utökats är vilka som omfattas av direktivet – som delas in i väsentliga och viktiga entiteter.

De väsentliga entiteterna återfinns primärt inom sektorerna:

  • Energi (elektricitet, fjärrvärme, fjärrkyla, olja, gas, vätgas)
  • Transporter (lufttransport, järnvägstransport, sjöfart, vägtransport)
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvårdssektorn
  • Dricksvatten
  • Avloppsvatten
  • Digital infrastruktur (leverantörer av internetknutpunkter, DNS-tjänster, molntjänster, datacentraltjänster, nätverk för leverans av innehåll, registreringsenheter för toppdomäner, tillhandahållare av betrodda tjänster, allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster)
  • Förvaltning av IKT-tjänster (leverantörer av hanterade tjänster och säkerhetstjänster)
  • Offentlig förvaltning (nationell och regional nivå)
  • Rymden (operatörer av markbaserad infrastruktur)

De viktiga entiteterna återfinns i stället främst inom:

  • Post- och budtjänster
  • Avfallshantering
  • Tillverkning, produktion och distribution av kemikalier
  • Produktion, bearbetning och distribution av livsmedel
  • Tillverkning (medicintekniska produkter, datorer, elektronikvaror, optik, elapparatur, motorfordon, släpfordon och påhängsvagnar, andra transportmedel och övriga maskiner)
  • Digitala leverantörer (onlinemarknadsplatser, sökmotorer, plattformar för sociala nätverkstjänster)
  • Forskning

Det är dock inte samtliga organisationer i alla sektorer som listas ovan som omfattas utan huvudregeln är enbart de som betecknas som medelstora företag eller större. Gränsvärdena för vad som anses vara medelstora företag är 50 personer och en årsomsättning eller balansomslutning på 10 miljoner euro.

Det finns dock flera undantag från storlekskraven som gör att organisationer som inte uppnår dessa ändå kan omfattas. Bland annat om en störning av tjänsten som tillhandahålls kan ha betydande påverkan på människors liv och hälsa, om organisationen är den enda leverantören av tjänsten i en medlemsstat eller om en störning på tjänsten skulle kunna medföra gränsöverskridande systemrisker.

På grund av att NIS2 innehåller krav på säkerhet i leveranskedjan är det inte bara de verksamheter som omfattas som kommer att påverkas utan även deras leverantörer och underleverantörer. På så sätt kommer NIS2 att få betydligt vidare påverkan än enbart på de sektorer som anges i direktivet.

Patient och läkare pratar med varandra

Nuläge

Vad vet vi i dagsläget?

Den svenska nationella utredningen ger förslag kring ett antal viktiga frågeställningar och områden som behöver tas ställning till inför att direktivet införlivas i svensk lagstiftning. Vi har gått igenom utredningen och plockat ut de viktigaste frågeställningarna och vad de kan tänkas innebära för svenska organisationer.

Omfattning av regleringen: Cybersäkerhetslagen föreslås omfatta 18 sektorer, vilket är en ökning från sju sektorer i den nuvarande lagstiftningen. Ytterligare en stor skillnad är att kraven ska gälla för hela verksamheten inom dessa sektorer och inte bara för samhällsviktiga och digitala tjänster.

Vilka omfattas av lagen: Bland de omfattade sektorerna finns energi, transport, bankverksamhet, hälso- och sjukvård, digital infrastruktur och fler. Offentlig förvaltning omfattas i stor utsträckning, med undantag för vissa myndigheter med säkerhetskänslig verksamhet eller brottsbekämpning.

Tillsyn: För varje sektor ska det finnas en tillsynsmyndighet. Förslaget innebär att befintliga tillsynsmyndigheter får utökade ansvarsområden och att fem nya tillsynsmyndigheter föreslås inrättas.

Ingripanden och sanktioner: Tillsynsmyndigheterna ska ha möjlighet att ingripa mot överträdelser av lagen med förelägganden, sanktionsavgifter och andra åtgärder. Sanktionsavgifternas maximinivå höjs jämfört med nuvarande lagstiftning.

Ekonomiska konsekvenser: Förslagen medför ekonomiska konsekvenser för tillsynsmyndigheter och verksamhetsutövare. Tillsynsmyndigheterna får utökade ansvarsområden, vilket kan kräva mer resurser. För verksamhetsutövare innebär förslagen kostnader, men även stöd för att uppfylla kraven och förebygga incidenter.

Ikraftträdande: Förslagen föreslås träda i kraft den 1 januari 2025

Analys

Våra tankar och slutsatser från utredningen

  • Utredningen pekar på flera intressanta aspekter och tolkningar av direktivet. Trösklarna för storlekskravet kring vilka som omfattas av direktivet föreslås sänkas genom att gälla för de som har 50 anställda ELLER en balansomslutning på 10 miljoner euro per år.
  • Utredningen landar också in i att kommuner, universitet och högskolor omfattas med några få undantag.
  • De verksamheter som till övervägande del bedriver säkerhetskänslig verksamhet eller brottsbekämpning är undantagna. För de som bedriver säkerhetskänslig verksamhet som inte utgör en väsentlig andel kommer dock lagen att gälla i begränsad utsträckning.
  • Tillsynsmyndigheterna föreslås kvarstå med några tillkommande myndigheter samt delvis utökade mandat vilket ställer högre krav på resurser och samordning mellan sektorerna. Tillsynsmyndigheterna får dock om särskilda skäl föreligger ta hjälp av andra verksamhetsutövare.
  • Gällande ansvaret mot underleverantörer dras gränsen för ansvaret vid första linjens leverantörer och inte vidare i leveranskedjan. Detta förefaller vara en praktiskt rimlig avvägning även om säkerheten längre bort i leveranskedjan inte säkerställs på samma sätt.
  • En mindre förändring görs för tidskraven för incidentrapporteringen. Det föreslås att den initiala rapporteringen ska ske inom 24 timmar, incidentanmälan inom 72 timmar och slutrapporten inom en månad. Detta underlättar för verksamheter att göra rätt, då de får mer tid för rapportering och incidenthantering.
En uppsättningen med vägar, avfarter, påfarter som går åt olika håll

Rekommendationer

Det här ska du göra för att efterleva NIS2

För att säkerställa att organisationerna uppfyller de minimikrav som fastställs i lagstiftningen krävs ett effektivt ledningssystem för informationssäkerhet. Ett sådant system är avgörande för att säkerställa att de rätta nivåerna av krav från direktivet implementeras i organisationernas mest kritiska verksamheter. Det innebär att incidenter hanteras och rapporteras omedelbart och att relevant utbildning genomförs, samtidigt som arbetet med informationssäkerhet genomsyrar hela organisationen. Genom att implementera ett ledningssystem för informationssäkerhet enligt exempelvis ISO 27001, säkerställer ni att ni arbetar på ett systematiskt och riskbaserat sätt med informationssäkerhet och kan genom det uppfylla de krav som fastställs i lagstiftningen.

För att förbättra er förmåga att stå emot cyberhot och risker och därmed leva upp till NIS2 bör ni redan nu arbeta med er organisations cybersäkerhet (vilket alltid är en bra investering!). För att förenkla ert arbete har vi tips på vilka steg ni ska ta härnäst:

  1. Identifiera om ni (eller era kunder) omfattas av NIS2 direktivet
  2. Informera ledningen om NIS2
  3. Se till att följande finns på plats:
    • Incidenthanteringsplan (upptäckt, förståelse och förbyggande av incident)Beredskaps- och affärskontinuitetsplan (backuphantering, krishanteringsplan etc.)
    • Informationssäkerhetspolicy
    • Regelbundna riskanalyser
    • Policys och procedurer (test och revisioner) för att bedöma effektiviteten av era riskåtgärder
    • Strategier för säkerheten i nätverks- och informationssystem
    • Säkerhetspolicyer för era informationssystem
    • Regelbundna informationssäkerhetsutbildningar
    • Undersök säkerheten hos era leverantörer och tjänsteleverantörer
    • Undersök eventuella behov av kryptering och multifaktorautentisering

Framtiden

Vägen framåt

Svaret från utredningen kommer att ligga till grund för beslut om nationell lagstiftning. Delbetänkandet ska nu skickas på remiss för att ge berörda aktörer möjlighet att lämna synpunkter på utredningens förslag. Därefter vidtar förberedelser för ny lagstiftning. Exakta tidsramar för när den nya lagstiftningen kommer beslutas är ännu inte kända men ett antagande är att det kommer ske någon gång strax innan eller efter sommaren 2024. Därefter kommer det att komma ytterligare förtydliganden i form av föreskrifter från ansvariga myndigheter. Cybersäkerhetslagen föreslås att sedan börja gälla från och med den första januari 2025 vilket är en senareläggning från datumet 18 oktober 2024 som anges i direktivet. Fram till ikraftträdandet av den nya lagen ska nuvarande NIS-reglering gälla.

Behöver ni ytterligare rådgivning?

Secify erbjuder stöd i er tillämpning av såväl NIS som NIS2-direktivet.
Tveka inte att kontakta oss på Secify så berättar vi mer!