NIS2-direktivet - vad innebär det för svenska organisationer?

Lena Graungaard Lindahl 3 april, 2024

Introduktion

NIS2 – Ett direktiv för att framtidssäkra samhällsviktiga och digitala tjänster

Den 16 december 2020 presenterade Europeiska kommissionen ett nytt ”NIS2-direktiv”, ibland benämnt som enbart ”NIS2”. Direktivets syfte är att införa åtgärder för att ytterligare stärka och framtidssäkra cybersäkerheten inom EU, samt att harmonisera medlemsländernas krav och tillämplig av direktivet

NIS förkortning
The Directive on security of Network and Information Systems

Inledning

Ett direktiv för att framtidssäkra samhällsviktiga och digitala tjänster

Nyligen har Europaparlamentet och rådet antagit ett nytt EU-direktiv som handlar om åtgärder för att upprätthålla en hög gemensam nivå av cybersäkerhet i hela unionen, känt som NIS2-direktivet. För att direktivet ska kunna införas i Sverige krävs att det implementeras i nationell lagstiftning. En särskild utredning som pågått under ett år har den 5 mars 2024 föreslagit de nödvändiga anpassningarna av svensk lagstiftning som krävs för att implementera direktivet. SOU 2024:18. Utredning gällande CER-direktivet var planerad att släppas samtidigt som NIS2-utredningen, men kommer först i september.

Utredningen föreslår en ny cybersäkerhetslag som ska börja gälla den 1 januari 2025. I denna artikel har vi sammanfattat och tolkat resultatet från både direktivet och den svenska utredningen för att presentera vad vi vet nu om vad påverkade organisationer kommer behöva förhålla sig till när direktivet och lagen börjar gälla.

En fabrik med en lång skorsten ur skorstenen kommer vit rök

Kraftvärmeverket Torsvik

Bild: Jönköping Energi AB

Bakgrund

2018, ett nytt direktiv träder i kraft

Det ursprungliga NIS-direktivet (The Directive on security of network and information systems) började gälla 2018 och var den första EU-regleringen med syftet att höja informations- och cybersäkerheten i unionen. Bakgrunden till direktivet är den roll som nätverks- och informationssystem har kommit att spela som möjliggörare för viktiga samhällsfunktioner. Beroendet av dessa system gör att incidenter som inträffar i dem riskerar att leda till allvarliga konsekvenser för unionen. Regleringen riktar sig därför mot de som tillhandahåller tjänster som är viktiga för samhället – så kallade leverantörer av samhällsviktiga och digitala tjänster.

Så här några år senare kan man konstatera att NIS-direktivet har hjälpt till att höja nivån på informations- och cybersäkerheten i unionen. Europaparlamentet och Europeiska unionens råd menar dock att trots direktivets många framgångar så har översyn av direktivet visat att det inte är tillräckligt för att effektivt kunna hantera utmaningarna inom cybersäkerhetsområdet. Detta är ett av skälen till att EU nu valt att anta direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen – det så kallade NIS2-direktivet.

NIS2 kan i mångt och mycket ses som en uppdatering av det ursprungliga NIS-direktivet vilket gör att många av kraven som ställs i NIS-direktivet kvarstår och kompletteras med ytterligare krav. Några av kraven som behöver uppfyllas enligt NIS2 är:

Strategier för riskanalys
Hantering av incidenter
Planer för verksamhetskontinuitet
Säkerhet vid anskaffning, utveckling och förvaltning
Strategier och rutiner för att bedöma effektiviteten i riskhanteringsåtgärder
Utbildning i informationssäkerhet
Åtkomstkontroll och hantering av tillgångar
Lösningar för multifaktorsautentisering
Strategier och rutiner för kryptografi
Säkerhet i leveranskedjan

Jämfört med det första NIS-direktivet innebär NIS2 bland annat högre krav på säkerhet och rapportering, tydligare krav på säkerhet i leveranskedjan och tydligare ansvar för personer i ledningen tillsammans med striktare tillsynsåtgärder. Höjda sanktionsavgifter föreslås för den som bryter mot reglerna, upp till 10 miljoner euro eller 2% av den totala omsättningen.

Något som också utökats är vilka som omfattas av direktivet – som delas in i väsentliga och viktiga entiteter.

De väsentliga entiteterna återfinns primärt inom sektorerna:

Energi (elektricitet, fjärrvärme, fjärrkyla, olja, gas, vätgas)
Transporter (lufttransport, järnvägstransport, sjöfart, vägtransport)
Bankverksamhet
Finansmarknadsinfrastruktur
Hälso- och sjukvårdssektorn
Dricksvatten
Avloppsvatten
Digital infrastruktur (leverantörer av internetknutpunkter, DNS-tjänster, molntjänster, datacentraltjänster, nätverk för leverans av innehåll, registreringsenheter för toppdomäner, tillhandahållare av betrodda tjänster, allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster)
Förvaltning av IKT-tjänster (leverantörer av hanterade tjänster och säkerhetstjänster)
Offentlig förvaltning (nationell och regional nivå)
Rymden (operatörer av markbaserad infrastruktur)

De viktiga entiteterna återfinns i stället främst inom:

Post- och budtjänster
Avfallshantering
Tillverkning, produktion och distribution av kemikalier
Produktion, bearbetning och distribution av livsmedel
Tillverkning (medicintekniska produkter, datorer, elektronikvaror, optik, elapparatur, motorfordon, släpfordon och påhängsvagnar, andra transportmedel och övriga maskiner)
Digitala leverantörer (onlinemarknadsplatser, sökmotorer, plattformar för sociala nätverkstjänster)
Forskning

Det är dock inte samtliga organisationer i alla sektorer som listas ovan som omfattas utan huvudregeln är enbart de som betecknas som medelstora företag eller större. Gränsvärdena för vad som anses vara medelstora företag är 50 personer och en årsomsättning eller balansomslutning på 10 miljoner euro.

Det finns dock flera undantag från storlekskraven som gör att organisationer som inte uppnår dessa ändå kan omfattas. Bland annat om en störning av tjänsten som tillhandahålls kan ha betydande påverkan på människors liv och hälsa, om organisationen är den enda leverantören av tjänsten i en medlemsstat eller om en störning på tjänsten skulle kunna medföra gränsöverskridande systemrisker.

På grund av att NIS2 innehåller krav på säkerhet i leveranskedjan är det inte bara de verksamheter som omfattas som kommer att påverkas utan även deras leverantörer och underleverantörer. På så sätt kommer NIS2 att få betydligt vidare påverkan än enbart på de sektorer som anges i direktivet.

Nuläge

Vad vet vi i dagsläget?

Den svenska nationella utredningen ger förslag kring ett antal viktiga frågeställningar och områden som behöver tas ställning till inför att direktivet införlivas i svensk lagstiftning. Vi har gått igenom utredningen och plockat ut de viktigaste frågeställningarna och vad de kan tänkas innebära för svenska organisationer.

Omfattning av regleringen: Cybersäkerhetslagen föreslås omfatta 18 sektorer, vilket är en ökning från sju sektorer i den nuvarande lagstiftningen. Ytterligare en stor skillnad är att kraven ska gälla för hela verksamheten inom dessa sektorer och inte bara för samhällsviktiga och digitala tjänster.

Vilka omfattas av lagen: Bland de omfattade sektorerna finns energi, transport, bankverksamhet, hälso- och sjukvård, digital infrastruktur och fler. Offentlig förvaltning omfattas i stor utsträckning, med undantag för vissa myndigheter med säkerhetskänslig verksamhet eller brottsbekämpning.

Tillsyn: För varje sektor ska det finnas en tillsynsmyndighet. Förslaget innebär att befintliga tillsynsmyndigheter får utökade ansvarsområden och att fem nya tillsynsmyndigheter föreslås inrättas.

Ingripanden och sanktioner: Tillsynsmyndigheterna ska ha möjlighet att ingripa mot överträdelser av lagen med förelägganden, sanktionsavgifter och andra åtgärder. Sanktionsavgifternas maximinivå höjs jämfört med nuvarande lagstiftning.

Ekonomiska konsekvenser: Förslagen medför ekonomiska konsekvenser för tillsynsmyndigheter och verksamhetsutövare. Tillsynsmyndigheterna får utökade ansvarsområden, vilket kan kräva mer resurser. För verksamhetsutövare innebär förslagen kostnader, men även stöd för att uppfylla kraven och förebygga incidenter.

Ikraftträdande: Förslagen föreslås träda i kraft den 1 januari 2025

Analys

Våra tankar och slutsatser från utredningen

Utredningen skriver på flera ställen att “ett medelstort företag är ett företag som sysselsätter minst 50 personer ELLER vars omsättning eller balansomslutning överstiger 10 miljoner euro per år”. I kommissionens rekommendationer, som utredningen hänvisar till, är dock definitionen något annorlunda “Inom SMF-kategorin definieras små företag som företag som sysselsätter färre än 50 personer OCH vars omsättning eller balansomslutning inte överstiger 10 miljoner euro per år.”. Eftersom NIS2 är ett så kallat minimidirektiv står det nationell lagstiftning fritt att reglera strängare än direktivet. Det är möjligt att detta är en felskrivning som kommer att justeras efter delbetänkandet men om detta inte är en felskrivning, blir följderna att Sverige kommer att klassa många fler företag som medelstora i stället för små. Detta skulle kunna komma att leda till att många fler aktörer omfattas av NIS2-direktivet i Sverige än vad avsågs i direktivet.

Innan utredningen fanns det osäkerhet kring om universitet och högskolor, samt kommuner, skulle omfattas av NIS2. Nu har utredningen resulterat i följande slutsats: Lagen bör enligt utredningen omfatta i huvudsak de olika statliga myndigheterna som utgör den svenska staten, vilket innebär att de flesta statliga organ omfattas av dess bestämmelser. Dock finns det undantag från lagen som berör specifika organ. Dessa undantag inkluderar regeringen, Riksrevisionen, Riksdagens ombudsmän, Sveriges Riksbank, Riksdagsförvaltningen och domstolarna samt 16 myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet eller brottsbekämpning. När det gäller svenska regioner och kommuner omfattar lagen i princip alla sådana enheter. Dock finns även här undantag för vissa specifika organ inom regioner och kommuner, nämligen kommunfullmäktige och regionfullmäktige. Lärosäten med examenstillstånd och uppfyller storlekskravet bör enligt utredningen även omfattas i sin helhet av lagen.

I sammanhanget kan vi därmed konstatera att lagen i stort sett gäller för de flesta statliga myndigheter, regioner och kommuner i Sverige, med undantag för de specifika organ som nämnts ovan. För de offentliga eller privata verksamheter som bedriver säkerhetskänslig verksamhet som inte utgör en väsentlig andel kommer dock lagen att gälla i begränsad utsträckning.

De nuvarande tillsynsmyndigheterna föreslås att kvarstå då de byggt upp en kompetens och arbetssätt för att hantera tillsyn inom sin sektor. Det har även tillkommit några nya tillsynsmyndigheter. Läkemedelsverket, Länsstyrelsen Stockholm, Länsstyrelsen Norrbotten, Länsstyrelsen Skåne och Länsstyrelsen Västra

Götaland har inte utövat tillsyn enligt NIS direktivet innan och för dessa fem myndigheterna är tillsyn enligt NIS2 direktivet ny verksamhet som ska hanteras.

Det förefaller också som att MSB (Myndigheten för samhällsskydd och beredskap) förlorar delar av sin föreskriftsrätt när det gäller systematisk och riskbaserad informationssäkerhet till tillsynsmyndigheterna. Detta är ett exempel på att ytterligare uppgifter och ansvar läggs på tillsynsmyndigheterna vilket kan ge både för- och nackdelar. En fördel med en central myndighet som exempelvis tar fram föreskrifter jämfört med att de tas fram av tillsynsmyndigheterna är resurseffektiviteten medan den sektorsspecifika kunskapen som tillsynsmyndigheterna besitter inte får samma fokus. Frågan är vad konsekvensen blir av tillsynsmyndigheternas utökade uppdrag och om det kan leda till skillnader mellan tolkningar mellan sektorer.

Gällande resursfrågan så får tillsynsmyndigheter, om det finns särskilda skäl, ålägga en verksamhetsutövare att på egen bekostnad låta ett oberoende organ utföra en riktad säkerhetsrevision som redovisar resultatet till tillsynsmyndigheten. Tillsynsmyndigheter får också låta genomföra säkerhetsscanningar hos verksamhetsutövare som omfattas av lagen. Åtgärder som skulle kunna avlasta tillsynsmyndigheterna.

Vi kan också se hur de föreslagna åtgärderna innebär hårdare krav på ledningsorganet. Verksamhetsutövare som inte följer riskhanteringskraven måste agera utan dröjsmål för att vidta korrigeringar, och utredningens förslag om tillsyn, ingripanden och sanktioner är avsedda att uppfylla detta krav. Dessutom föreskrivs att ledningsorgan i både enskilda och offentliga verksamheter ska ha personligt ansvar för överträdelser av riskhanteringskraven, vilket kan leda till åtgärder eller sanktioner mot dem. Förslaget innefattar också krav på utbildning om riskhanteringsåtgärder för ledningen och anställda enligt cybersäkerhetslagen. Vidare föreslås att tillsynsmyndigheten ska ha möjlighet att ansöka hos domstol för att förbjuda personer med ledningsansvar hos väsentliga verksamhetsutövare från att utöva ledningsfunktioner. Beslutet kan riktas mot personer som är styrelseledamöter, verkställande direktörer eller ersättare för dessa. Bolagsverket har ansvaret för att avregistrera dessa personer och förhindra nyregistrering under förbudstiden, medan länsstyrelsen ska utföra motsvarande uppgifter om verksamhetsutövaren är en stiftelse. Baserat på vår erfarenhet från arbete med implementering av ledningssystem för informationssäkerhet bedöms dessa åtgärder vara lämpliga och nödvändiga. Förändring kan inte ske utan ledningens engagemang.

En annan större förändring från det första NIS-direktivet är att NIS2 bland säkerhetsåtgärderna fokuserar på säkerhet inte bara hos de verksamheter som omfattas men också deras leveranskedja. I förslaget till lagen gör utredningen tolkningen att detta krav bör tolkas som att varje verksamhet som omfattas ska säkerställa tillräcklig säkerhet hos deras direkta leverantörer. Det vill säga att man gör tolkningen och drar gränsen så att verksamheternas ansvar inte sträcker sig vidare i leveranskedjan till leverantörernas underleverantörer och så vidare. Det är en praktiskt rimlig avvägning sett till genomförbarheten hos verksamheterna att kunna ställa krav och genomföra granskningar på sina leverantörer. Det skapar också en tydlighet kring hur långt verksamheternas ansvar sträcker sig. En nackdel vi kan se är dock att incidenter ofta sker i leveranskedjan och inte sällan flera led bort från den verksamhet som drabbas – som exempelvis incidenten som bland annat påverkade

butikskedjan Coops betalningssystem sommaren 2021 där den ursprungliga incidenten skedde hos leverantörens underleverantör. Att direktivet dock ställer krav på säkerhet i leveranskedjan är ett första viktigt steg mot att uppmärksamma frågorna och de risker som finns i leveranskedjorna.

För den verksamhet som skulle drabbas av en incident är det värt att notera en mindre förändring som rör incidentrapporteringen. Där föreslås tiden för att lämna den initiala varningen att utökas till att ske inom 24 timmar, incidentanmälan inom 72 timmar och en slutrapport inom en månad. Detta underlättar för verksamheter att göra rätt, då de får mer tid för rapportering och att hantera incidenten.

Rekommendationer

Det här ska du göra för att efterleva NIS2

För att säkerställa att organisationerna uppfyller de minimikrav som fastställs i lagstiftningen krävs ett effektivt ledningssystem för informationssäkerhet. Ett sådant system är avgörande för att säkerställa att de rätta nivåerna av krav från direktivet implementeras i organisationernas mest kritiska verksamheter. Det innebär att incidenter hanteras och rapporteras omedelbart och att relevant utbildning genomförs, samtidigt som arbetet med informationssäkerhet genomsyrar hela organisationen. Genom att implementera ett ledningssystem för informationssäkerhet enligt exempelvis ISO 27001, säkerställer ni att ni arbetar på ett systematiskt och riskbaserat sätt med informationssäkerhet och kan genom det uppfylla de krav som fastställs i lagstiftningen.

För att förbättra er förmåga att stå emot cyberhot och risker och därmed leva upp till NIS2 bör ni redan nu arbeta med er organisations cybersäkerhet (vilket alltid är en bra investering!). För att förenkla ert arbete har vi tips på vilka steg ni ska ta härnäst:

Identifiera om ni (eller era kunder) omfattas av NIS2 direktivet
Informera ledningen om NIS2
Se till att följande finns på plats:
- Incidenthanteringsplan (upptäckt, förståelse och förbyggande av incident)Beredskaps- och affärskontinuitetsplan (backuphantering, krishanteringsplan etc.)
- Informationssäkerhetspolicy
- Regelbundna riskanalyser
- Policys och procedurer (test och revisioner) för att bedöma effektiviteten av era riskåtgärder
- Strategier för säkerheten i nätverks- och informationssystem
- Säkerhetspolicyer för era informationssystem
- Regelbundna informationssäkerhetsutbildningar
- Undersök säkerheten hos era leverantörer och tjänsteleverantörer
- Undersök eventuella behov av kryptering och multifaktorautentisering

Framtiden

Vägen framåt

Svaret från utredningen kommer att ligga till grund för beslut om nationell lagstiftning. Delbetänkandet ska nu skickas på remiss för att ge berörda aktörer möjlighet att lämna synpunkter på utredningens förslag. Därefter vidtar förberedelser för ny lagstiftning. Exakta tidsramar för när den nya lagstiftningen kommer beslutas är ännu inte kända men ett antagande är att det kommer ske någon gång strax innan eller efter sommaren 2024. Därefter kommer det att komma ytterligare förtydliganden i form av föreskrifter från ansvariga myndigheter. Cybersäkerhetslagen föreslås att sedan börja gälla från och med den första januari 2025 vilket är en senareläggning från datumet 18 oktober 2024 som anges i direktivet. Fram till ikraftträdandet av den nya lagen ska nuvarande NIS-reglering gälla.

Behöver ni ytterligare rådgivning?

Secify erbjuder stöd i er tillämpning av såväl NIS som NIS2-direktivet.
Tveka inte att kontakta oss på Secify så berättar vi mer!

Om
Senaste inläggen

Lena Graungaard Lindahl

Managementkonsult - Informationssäkerhet och privacy hos Secify

Lena har en masterexamen i data- och systemvenskap med inriktning informationssäkerhet och har tidigare arbetat på olika myndigheter i Sverige. Hos oss jobbar Lena inom områdena privacy och informationssäkerhet.

Senaste inläggen av Lena Graungaard Lindahl

NIS2-direktivet – vad innebär det för svenska organisationer? - 3 april, 2024
Vad är informationssäkerhet? - 6 december, 2023
Så förbereder du dig inför en ISO/IEC 27001 implementering och certifiering tillsammans med oss! - 18 oktober, 2023

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.