NIS2-direktivet och förslag till ny lag om cybersäkerhet

Mindre företag, som sysselsätter färre än 50 personer och vars årsomsättning eller balansomslutning inte överstiger 10 miljoner euro, undantas som huvudregel. Sådana små företag kommer alltså som utgångspunkt inte beröras direkt, men notera krav på säkerhet i leveranskedjan som det redogörs för längre ner.

För enskilda verksamhetsutövare som i väsentlig utsträckning bedriver annan verksamhet, tillsammans med en mindre andel säkerhetskänsligt arbete eller brottsbekämpning, kommer endast en anmälnings- och uppgiftsskyldighet gälla för den sistnämnda delen.

Mindre företag, som sysselsätter färre än 50 personer och vars årsomsättning eller balansomslutning inte överstiger 10 miljoner euro, undantas som huvudregel. Sådana små företag kommer alltså som utgångspunkt inte beröras direkt, men notera krav på säkerhet i leveranskedjan som det redogörs för längre ner.

För enskilda verksamhetsutövare som i väsentlig utsträckning bedriver annan verksamhet, tillsammans med en mindre andel säkerhetskänsligt arbete eller brottsbekämpning, kommer endast en anmälnings- och uppgiftsskyldighet gälla för den sistnämnda delen.

Nästan hela den offentliga sektorn omfattas. Det föreslås att regeringen, Regeringskansliet, myndigheter som lyder under Riksdagen, domstolar och sammanlagt 16 myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet eller brottsbekämpning undantas.

Samtliga regioner och kommuner omfattas.

Nästan hela den offentliga sektorn omfattas. Det föreslås att regeringen, Regeringskansliet, myndigheter som lyder under Riksdagen, domstolar och sammanlagt 16 myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet eller brottsbekämpning undantas.

Samtliga regioner och kommuner omfattas.

DORA (Digital Operational Resilience Act) är EU:s regelverk för hantering av digitala risker i finansbranschen (EU-förordningen för digital operativ motståndskraft/Dora-förordningen). Den omfattar alla finansiella företag inom EU och tjänsteleverantörer som tillhandahåller system och tjänster för informations- och kommunikationsteknik (IKT) till sådana företag. Fr. o. m. den 17 januari 2025 behöver dessa företag följa DORA.

DORA gäller framför NIS2 och för finansiella företag kommer endast cybersäkerhetslagens anmälnings- och uppgiftsskyldighet gälla.

Ta del av bloggen "Gör dig redo för DORA".

DORA (Digital Operational Resilience Act) är EU:s regelverk för hantering av digitala risker i finansbranschen (EU-förordningen för digital operativ motståndskraft/Dora-förordningen). Den omfattar alla finansiella företag inom EU och tjänsteleverantörer som tillhandahåller system och tjänster för informations- och kommunikationsteknik (IKT) till sådana företag. Fr. o. m. den 17 januari 2025 behöver dessa företag följa DORA.

DORA gäller framför NIS2 och för finansiella företag kommer endast cybersäkerhetslagens anmälnings- och uppgiftsskyldighet gälla.

Ta del av bloggen "Gör dig redo för DORA".

En verksamhetsutövare som omfattas av cybersäkerhetslagen ska anmäla sig till sin tillsynsmyndighet och lämna uppgifter om bl.a. identitet, kontaktuppgifter och verksamhet. Därutöver föreslås följande kort sammanfattade krav:

• Styrning; ansvar och skyldigheter för ledningen

• Riskhanteringsåtgärder; bl.a. riskanalys, incidenthantering, driftskontinuitet, säkerhet i leveranskedjan, utbildning, krypteringsstrategi, personalsäkerhet och multifaktorautentisering, för att skydda nätverks- och informationssystem samt systemens fysiska miljö mot incidenter

• Korrigerande åtgärder; utan onödigt dröjsmål

• Varning; betydande incident* till Myndigheten för samhällsskydd och beredskap (MSB) inom 24 timmar från kännedom

• Incidentanmälan; betydande incident* till MSB inom 72 timmar från kännedom och information till kunder som kan antas påverkas

• Slut- eller lägesrapport; till MSB inom en månad från incidentanmälan

*Betydande incident föreslås avse en incident som:

1. orsakat eller kan orsaka allvarlig driftsstörning för den erbjudna tjänsten eller ekonomisk skada för den berörda verksamhetsutövaren; eller

2. har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

En verksamhetsutövare som omfattas av cybersäkerhetslagen ska anmäla sig till sin tillsynsmyndighet och lämna uppgifter om bl.a. identitet, kontaktuppgifter och verksamhet. Därutöver föreslås följande kort sammanfattade krav:

• Styrning; ansvar och skyldigheter för ledningen

• Riskhanteringsåtgärder; bl.a. riskanalys, incidenthantering, driftskontinuitet, säkerhet i leveranskedjan, utbildning, krypteringsstrategi, personalsäkerhet och multifaktorautentisering, för att skydda nätverks- och informationssystem samt systemens fysiska miljö mot incidenter

• Korrigerande åtgärder; utan onödigt dröjsmål

• Varning; betydande incident* till Myndigheten för samhällsskydd och beredskap (MSB) inom 24 timmar från kännedom

• Incidentanmälan; betydande incident* till MSB inom 72 timmar från kännedom och information till kunder som kan antas påverkas

• Slut- eller lägesrapport; till MSB inom en månad från incidentanmälan

*Betydande incident föreslås avse en incident som:

1. orsakat eller kan orsaka allvarlig driftsstörning för den erbjudna tjänsten eller ekonomisk skada för den berörda verksamhetsutövaren; eller

2. har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

Kravet på säkerhet i leveranskedjan innebär att cybersäkerhetslagen kommer få en vidare påverkan än de sektorer som uttryckligen omfattas. Kravet rör säkerhetsaspekter i förbindelserna mellan varje verksamhetsutövare och dess direkta leverantörer. Enligt utredningens uppfattning behöver varje verksamhetsutövare därför endast vidta riskhanteringsåtgärder i förhållande till sin leverantör och ansvara för ett led i kedjan. Närmare bestämmelser om detta förväntas följa av föreskrifter, men leverantörer bör förbereda sig på skärpta säkerhetskrav i avtal med kunder som omfattas av den nya lagen. Oavsett utredningens uppfattning, kan sådana avtalskrav mycket väl omfatta också underleverantörer längre ner i kedjan.

Leverantörsavtal angående nätverks- och informationssystem blir alltså än mer betydelsefulla, särskilt de vanligt förekommande säkerhetsbilagor som beskriver tekniska och organisatoriska säkerhetsåtgärder samt de säkerhetskrav som leverantören åtar sig att upprätthålla. Bestämmelser i sådana säkerhetsbilagor, som bör granskas noga för att säkerställa att den nya lagens krav uppfylls, gäller exempelvis:

• informationssäkerhet

• certifiering (t.ex. ISO 27001, som i viss utsträckning kan ge stöd men inte innebär att alla lagens regler efterlevs)

• behörigheter

• backup

• organisatorisk säkerhet

• incidenthantering

• kommunikationssäkerhet och kryptering

• fysisk säkerhet

Kravet på säkerhet i leveranskedjan innebär att cybersäkerhetslagen kommer få en vidare påverkan än de sektorer som uttryckligen omfattas. Kravet rör säkerhetsaspekter i förbindelserna mellan varje verksamhetsutövare och dess direkta leverantörer. Enligt utredningens uppfattning behöver varje verksamhetsutövare därför endast vidta riskhanteringsåtgärder i förhållande till sin leverantör och ansvara för ett led i kedjan. Närmare bestämmelser om detta förväntas följa av föreskrifter, men leverantörer bör förbereda sig på skärpta säkerhetskrav i avtal med kunder som omfattas av den nya lagen. Oavsett utredningens uppfattning, kan sådana avtalskrav mycket väl omfatta också underleverantörer längre ner i kedjan.

Leverantörsavtal angående nätverks- och informationssystem blir alltså än mer betydelsefulla, särskilt de vanligt förekommande säkerhetsbilagor som beskriver tekniska och organisatoriska säkerhetsåtgärder samt de säkerhetskrav som leverantören åtar sig att upprätthålla. Bestämmelser i sådana säkerhetsbilagor, som bör granskas noga för att säkerställa att den nya lagens krav uppfylls, gäller exempelvis:

• informationssäkerhet

• certifiering (t.ex. ISO 27001, som i viss utsträckning kan ge stöd men inte innebär att alla lagens regler efterlevs)

• behörigheter

• backup

• organisatorisk säkerhet

• incidenthantering

• kommunikationssäkerhet och kryptering

• fysisk säkerhet

Baserat på de uppgifter som lämnas till respektive tillsynsmyndighet, klassificerar myndigheten verksamhetsutövarna som väsentliga eller viktiga och registrerar dem.

Enligt lagförslaget är följande verksamhetsutövare väsentliga:

• statliga myndigheter

• verksamhetsutövare som bedriver verksamhet inom högkritiska sektorer (se lista nedan), är en kommun eller ett lärosäte med examenstillstånd och vars verksamhet överstiger trösklarna för medelstora företag*

• verksamhetsutövare som erbjuder allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster och vars verksamhet är minst medelstora företag*

• kvalificerade (av Post- och telestyrelsen (PTS)) tillhandahållare av betrodda tjänster (elektroniska underskrifter, stämplar och certifikat)

• registreringsenheter för toppdomäner

• verksamhetsutövare som erbjuder DNS-tjänster (domännamnssystemtjänster)

• verksamhetsutövare som, trots att storlekskravet inte uppfylls, upprätthåller viss angiven samhällskritisk funktion av särskild betydelse och har identifierats av MSB som väsentlig

*Medelstora företag innebär att verksamheten ska sysselsätta minst 50 personer samt ha en årsomsättning eller balansomslutning på minst 10 miljoner euro.

Verksamhetsutövare som inte är väsentliga är viktiga verksamhetsutövare.

Baserat på de uppgifter som lämnas till respektive tillsynsmyndighet, klassificerar myndigheten verksamhetsutövarna som väsentliga eller viktiga och registrerar dem.

Enligt lagförslaget är följande verksamhetsutövare väsentliga:

• statliga myndigheter

• verksamhetsutövare som bedriver verksamhet inom högkritiska sektorer (se lista nedan), är en kommun eller ett lärosäte med examenstillstånd och vars verksamhet överstiger trösklarna för medelstora företag*

• verksamhetsutövare som erbjuder allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster och vars verksamhet är minst medelstora företag*

• kvalificerade (av Post- och telestyrelsen (PTS)) tillhandahållare av betrodda tjänster (elektroniska underskrifter, stämplar och certifikat)

• registreringsenheter för toppdomäner

• verksamhetsutövare som erbjuder DNS-tjänster (domännamnssystemtjänster)

• verksamhetsutövare som, trots att storlekskravet inte uppfylls, upprätthåller viss angiven samhällskritisk funktion av särskild betydelse och har identifierats av MSB som väsentlig

*Medelstora företag innebär att verksamheten ska sysselsätta minst 50 personer samt ha en årsomsättning eller balansomslutning på minst 10 miljoner euro.

Verksamhetsutövare som inte är väsentliga är viktiga verksamhetsutövare.

Myndigheten för samhällsskydd och beredskap (MSB) ska som svensk gemensam kontaktpunkt, CSIRT-enhet (Computer Security Incident Response Team) och cyberkrishanteringsmyndighet leda samarbetet där de tillsynsmyndigheter som framgår av listan nedan ingår.

Tillsynsmyndighetens möjligheter att ingripa består av förelägganden, som kan förenas med vite, eller sanktionsavgifter. Sanktionsavgifterna föreslås vara lägst 5 000 kronor och högst följande belopp.

För väsentliga verksamhetsutövare, det högsta av:

1. 2 % av den totala globala årsomsättningen närmast föregående räkenskapsår; eller

2. 10 miljoner euro.

För viktiga verksamhetsutövare, det högsta av:

1. 1,4 % av den totala globala årsomsättningen närmast föregående räkenskapsår; eller

2. 7 miljoner euro.

För offentliga verksamhetsutövare 10 miljoner kronor.

Myndigheten för samhällsskydd och beredskap (MSB) ska som svensk gemensam kontaktpunkt, CSIRT-enhet (Computer Security Incident Response Team) och cyberkrishanteringsmyndighet leda samarbetet där de tillsynsmyndigheter som framgår av listan nedan ingår.

Tillsynsmyndighetens möjligheter att ingripa består av förelägganden, som kan förenas med vite, eller sanktionsavgifter. Sanktionsavgifterna föreslås vara lägst 5 000 kronor och högst följande belopp.

För väsentliga verksamhetsutövare, det högsta av:

1. 2 % av den totala globala årsomsättningen närmast föregående räkenskapsår; eller

2. 10 miljoner euro.

För viktiga verksamhetsutövare, det högsta av:

1. 1,4 % av den totala globala årsomsättningen närmast föregående räkenskapsår; eller

2. 7 miljoner euro.

För offentliga verksamhetsutövare 10 miljoner kronor.

Av listorna "Högkritiska sektorer" och "Andra kritiska sektorer", som återfinns i separata FAQ-delar nedan, framgår den omfattande klassificeringen i olika sektorer. En tolkning av denna klassificering är avgörande för om en verksamhet omfattas eller inte och det finns vissa oklarheter. Det föreslås att tillsynsmyndigheterna får i uppdrag att, med stöd av MSB, utforma vägledning om de oklarheter som kan föreligga i sektorbeskrivningarna till stöd för den enskilde verksamhetsutövaren:

”Detta arbete behöver med hänsyn till frågornas vikt slutföras skyndsamt. Därutöver kommer det förstås att ankomma på tillsynsmyndigheten att vidta åtgärder mot verksamhetsutövare som omfattas av bilagorna, men inte uppfyller sin anmälningsskyldighet. Sammantaget betyder det anförda enligt utredningens bedömning att det inledningsvis till dess vägledning är på plats från tillsynsmyndighet i enstaka fall kan framstå som oklart för verksamhetsutövaren om NIS2-direktivets skyldigheter gäller.”

Fondias erfarenhet är att tillsynsmyndigheternas vägledning kan vara begränsad och innefatta hänvisningar till svåröverskådliga EU-rättsakter. Kontakta oss gärna om ni behöver hjälp med att förstå vad NIS2-direktivet och förslaget till ny cybersäkerhetslag innebär för er verksamhet.

Av listorna "Högkritiska sektorer" och "Andra kritiska sektorer", som återfinns i separata FAQ-delar nedan, framgår den omfattande klassificeringen i olika sektorer. En tolkning av denna klassificering är avgörande för om en verksamhet omfattas eller inte och det finns vissa oklarheter. Det föreslås att tillsynsmyndigheterna får i uppdrag att, med stöd av MSB, utforma vägledning om de oklarheter som kan föreligga i sektorbeskrivningarna till stöd för den enskilde verksamhetsutövaren:

”Detta arbete behöver med hänsyn till frågornas vikt slutföras skyndsamt. Därutöver kommer det förstås att ankomma på tillsynsmyndigheten att vidta åtgärder mot verksamhetsutövare som omfattas av bilagorna, men inte uppfyller sin anmälningsskyldighet. Sammantaget betyder det anförda enligt utredningens bedömning att det inledningsvis till dess vägledning är på plats från tillsynsmyndighet i enstaka fall kan framstå som oklart för verksamhetsutövaren om NIS2-direktivets skyldigheter gäller.”

Fondias erfarenhet är att tillsynsmyndigheternas vägledning kan vara begränsad och innefatta hänvisningar till svåröverskådliga EU-rättsakter. Kontakta oss gärna om ni behöver hjälp med att förstå vad NIS2-direktivet och förslaget till ny cybersäkerhetslag innebär för er verksamhet.

Se "Vägledning" ovan.

SEKTOR | TYP AV ENTITET

1.Energi |

a) Elektricitet: Elföretag, systemansvariga för distributions- eller överföringssystem, producenter, elmarknads- eller marknadsaktörer och laddningsoperatörer

b) Fjärrvärme/-kyla: Operatörer

c) Olja: Operatörer av oljeledningar eller anläggningar för oljeproduktion och centrala anläggningar för oljeproduktion

d) Gas: Gashandelsföretag eller gashandlare, systemansvariga för distributions-, överförings- eller lagringssystemet, systemansvariga för LNG-anläggning, naturgasföretag och operatörer av raffinaderier och bearbetningsanläggningar för naturgas

e) Vätgas: Operatörer av anläggningar för produktion, lagring och överföring

2. Transporter |

a) Lufttransporter: Lufttrafikföretag, flygplatsens ledningsenheter, operatörer inom trafikstyrning och -ledning

b) Järnvägstransport: Infrastrukturförvaltare och järnvägsföretag

c) Sjöfart: Transportföretag som bedriver person- och godstrafik, ledningsenheter för hamnar och operatörer av sjötrafikinformationstjänst (VTS)

d) Vägtransport: Vägmyndigheter och operatörer av intelligenta transportsystem

3. Bankverksamhet |

Kreditinstitut

4. Finansmarknadsinfrastruktur |

Operatörer av handelsplatser och centrala motparter

5. Hälso- och sjukvård |

Vårdgivare, EU-referenslaboratorier och entiteter som bedriver forskning och utveckling avseende läkemedel eller tillverkar medicintekniska produkter vilka anses vara kritiska vid ett hot mot folkhälsan

6. Dricksvatten |

Leverantörer och distributörer av dricksvatten, för vilka sådan distribution utgör en väsentlig del av deras allmänna verksamhet

7. Avloppsvatten |

Företag som till väsentlig del samlar ihop, släpper ut och renar avloppsvatten från tätbebyggelse, hushållsspillvatten eller industrispillvatten

8. Digital infrastruktur |

Leverantörer av internetknutpunkter, DNS-tjänster (med undantag för operatörer av rotnamnsservrar), molntjänster, datacentraltjänster och nätverk för leverans av innehåll, registreringenheter för toppdomäner samt tillhandahållare av betrodda tjänster, allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster

9. Förvaltning av IKT-tjänster (mellan företag) |

Leverantörer av hanterade tjänster (managed services) och hanterade säkerhetstjänster

10. Offentlig förvaltning |

Offentliga förvaltningsentiteter hos nationella regeringar och på regional nivå

11. Rymden |

Operatörer av markbaserad infrastruktur som stöder tillhandahållandet av rymdbaserade tjänster, undantaget tillhandahållare av allmänna elektroniska kommunikationsnät

För mer fullständig information och definitioner, se bilaga 3 till SOU 2024:18 (NIS2-direktivet, bilaga I).

Se "Vägledning" ovan.

SEKTOR | TYP AV ENTITET

1.Energi |

a) Elektricitet: Elföretag, systemansvariga för distributions- eller överföringssystem, producenter, elmarknads- eller marknadsaktörer och laddningsoperatörer

b) Fjärrvärme/-kyla: Operatörer

c) Olja: Operatörer av oljeledningar eller anläggningar för oljeproduktion och centrala anläggningar för oljeproduktion

d) Gas: Gashandelsföretag eller gashandlare, systemansvariga för distributions-, överförings- eller lagringssystemet, systemansvariga för LNG-anläggning, naturgasföretag och operatörer av raffinaderier och bearbetningsanläggningar för naturgas

e) Vätgas: Operatörer av anläggningar för produktion, lagring och överföring

2. Transporter |

a) Lufttransporter: Lufttrafikföretag, flygplatsens ledningsenheter, operatörer inom trafikstyrning och -ledning

b) Järnvägstransport: Infrastrukturförvaltare och järnvägsföretag

c) Sjöfart: Transportföretag som bedriver person- och godstrafik, ledningsenheter för hamnar och operatörer av sjötrafikinformationstjänst (VTS)

d) Vägtransport: Vägmyndigheter och operatörer av intelligenta transportsystem

3. Bankverksamhet |

Kreditinstitut

4. Finansmarknadsinfrastruktur |

Operatörer av handelsplatser och centrala motparter

5. Hälso- och sjukvård |

Vårdgivare, EU-referenslaboratorier och entiteter som bedriver forskning och utveckling avseende läkemedel eller tillverkar medicintekniska produkter vilka anses vara kritiska vid ett hot mot folkhälsan

6. Dricksvatten |

Leverantörer och distributörer av dricksvatten, för vilka sådan distribution utgör en väsentlig del av deras allmänna verksamhet

7. Avloppsvatten |

Företag som till väsentlig del samlar ihop, släpper ut och renar avloppsvatten från tätbebyggelse, hushållsspillvatten eller industrispillvatten

8. Digital infrastruktur |

Leverantörer av internetknutpunkter, DNS-tjänster (med undantag för operatörer av rotnamnsservrar), molntjänster, datacentraltjänster och nätverk för leverans av innehåll, registreringenheter för toppdomäner samt tillhandahållare av betrodda tjänster, allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster

9. Förvaltning av IKT-tjänster (mellan företag) |

Leverantörer av hanterade tjänster (managed services) och hanterade säkerhetstjänster

10. Offentlig förvaltning |

Offentliga förvaltningsentiteter hos nationella regeringar och på regional nivå

11. Rymden |

Operatörer av markbaserad infrastruktur som stöder tillhandahållandet av rymdbaserade tjänster, undantaget tillhandahållare av allmänna elektroniska kommunikationsnät

För mer fullständig information och definitioner, se bilaga 3 till SOU 2024:18 (NIS2-direktivet, bilaga I).

Se "Vägledning" ovan.

SEKTOR | TYP AV ENTITET

1.Post- och budtjänster |

Tillhandahållare av post- och budtjänster

2. Avfallshantering |

Verksamhetsutövare vars huvudsakliga verksamhet är avfallshantering

3. Tillverkning, produktion och distribution av kemikalier |

Företag som tillverkar och distribuerar, eller producerar varor genom att använda, vissa ämnen och blandningar

4. Produktion, bearbetning och distribution av livsmedel |

Livsmedelsföretag som bedriver grossisthandel eller industriell produktion och bearbetning

5. Tillverkning |

a) Medicintekniska produkter: Vissa entiteter som tillverkar medicintekniska produkter

b) Datorer, elektronikvaror och optik, c) Elapparatur, d) Övriga maskiner, e) Motorfordon, släpfordon och påhängsvagnar samt f) Andra transportmedel: b) – f) Företag som bedriver någon ekonomisk verksamhet som avses i avsnitt C, huvudgrupper 26-30, i EU:s näringsgrensstandard NACE Rev. 2.

6. Digitala leverantörer |

Leverantörer av marknadsplatser online, sökmotorer eller plattformar för sociala nätverkstjänster

7. Forskning |

Forskningsorganisationer

För mer fullständig information och definitioner, se bilaga 3 till SOU 2024:18 (NIS2-direktivet, bilaga II).

Se "Vägledning" ovan.

SEKTOR | TYP AV ENTITET

1.Post- och budtjänster |

Tillhandahållare av post- och budtjänster

2. Avfallshantering |

Verksamhetsutövare vars huvudsakliga verksamhet är avfallshantering

3. Tillverkning, produktion och distribution av kemikalier |

Företag som tillverkar och distribuerar, eller producerar varor genom att använda, vissa ämnen och blandningar

4. Produktion, bearbetning och distribution av livsmedel |

Livsmedelsföretag som bedriver grossisthandel eller industriell produktion och bearbetning

5. Tillverkning |

a) Medicintekniska produkter: Vissa entiteter som tillverkar medicintekniska produkter

b) Datorer, elektronikvaror och optik, c) Elapparatur, d) Övriga maskiner, e) Motorfordon, släpfordon och påhängsvagnar samt f) Andra transportmedel: b) – f) Företag som bedriver någon ekonomisk verksamhet som avses i avsnitt C, huvudgrupper 26-30, i EU:s näringsgrensstandard NACE Rev. 2.

6. Digitala leverantörer |

Leverantörer av marknadsplatser online, sökmotorer eller plattformar för sociala nätverkstjänster

7. Forskning |

Forskningsorganisationer

För mer fullständig information och definitioner, se bilaga 3 till SOU 2024:18 (NIS2-direktivet, bilaga II).