NIS2 är ett direktiv från EU med lagstiftning om cybersäkerhet. Syftet med direktivet är att uppnå en gemensam cybersäkerhetsnivå i hela unionen. I samband med detta innebär det att det ställs krav på att verksamheter ska omfattas av direktivet och följa de krav som ställs vad gäller säkerhetsåtgärder och riskhantering. Direktivet har implementerats i cybersäkerhetslagen och förväntas träda i kraft den 1 januari 2025. Nedan följer en redogörelse för vad som gäller för dig som driver en verksamhet.
För många företag och verksamheter innebär direktivet att man måste införa strikta säkerhetsåtgärder för att skydda nätverks- och informationssystem. Direktivet är viktigt eftersom det tar hänsyn till ökade cyberhot och incidenter som kan påverka både verksamhetens drift och samhällets funktioner.
Till skillnad från det tidigare direktivet, som enbart omfattade vissa digitala tjänster, gäller NIS2 för hela verksamheten hos en "verksamhetsutövare". Detta innebär att om en del av din verksamhet omfattas av NIS2-direktivet, gäller reglerna för hela organisationen. Verksamhetsutövare kan vara både fysiska och juridiska personer, inklusive enskilda firmor, och sektorer som energi, transporter, bankverksamhet, sjukvård och offentlig förvaltning är specifikt utpekade.
Den nya cybersäkerhetslagen ersätter lagen om informationssäkerhet för digitala och samhällsviktiga tjänster och genomför NIS2-direktivet i svensk lagstiftning. Lagen innehåller också krav som går utöver direktivet, exempelvis hårdare sanktioner och tydligare ansvarsfördelning inom ledningsfunktioner. Det finns ingen övergångsperiod, vilket innebär att alla verksamheter som omfattas av lagen måste vara redo från och med den 1 januari 2025.
Företagets ledning, såsom styrelse, VD och vice VD, har ett tydligt ansvar för att övervaka och följa upp cybersäkerhetsarbetet. De ska se till att riskhanteringsåtgärder implementeras och följs upp. Ledningen ska också utbildas i cybersäkerhetsfrågor, och det finns möjligheter att ledande befattningshavare kan förbjudas från att inneha sin position om de brister i ansvaret.
Ja, vissa verksamheter är undantagna från NIS2-direktivet. Det gäller främst statliga myndigheter som bedriver säkerhetskänslig verksamhet eller brottsbekämpning. Dessutom kan mindre verksamheter, som inte når upp till storlekskravet på 50 anställda och en omsättning på minst 10 miljoner euro, undantas – om de inte är av särskild betydelse för samhället på regional eller nationell nivå.
En annan viktig del av den nya lagen är incidentrapportering. Om ni upplever en betydande incident – som allvarlig driftstörning eller ekonomisk skada – måste ni rapportera detta till Myndigheten för samhällsskydd och beredskap (MSB) inom 24 timmar efter att ni blivit medvetna om incidenten. Fullständig rapportering ska lämnas inom 72 timmar och en slutrapport ska skickas in inom en månad.
Sanktionsavgifterna är betydligt högre än tidigare. En verksamhetsutövare kan drabbas av avgifter på upp till 2 procent av sin globala årsomsättning, eller 10 miljoner euro. För myndigheter är maxbeloppet satt till 10 miljoner kronor. Tillsynsmyndigheterna har dessutom befogenheter att offentliggöra överträdelser och vidta åtgärder mot ledningspersoner.
För att förbereda er behöver ni först göra en bedömning av om er verksamhet omfattas av lagen. Därefter bör ni identifiera de risker som er verksamhet står inför och utveckla lämpliga säkerhetsåtgärder. Se till att både ledningen och övriga anställda utbildas i cybersäkerhetsfrågor och att ni har rutiner för att hantera och rapportera incidenter.
NIS2-direktivet införs för att stärka cybersäkerheten och gäller hela verksamheter inom vissa sektorer, som energi, sjukvård och offentlig förvaltning.
Företagsledningen har ansvar att följa upp och implementera riskhanteringsåtgärder samt utbildas i cybersäkerhetsfrågor.
Incidenter måste rapporteras till MSB inom 24 timmar, och sanktionsavgifter kan bli så höga som 2 % av global årsomsättning eller 10 miljoner euro.
Verksamheter bör förbereda sig genom att bedöma risker, utbilda personal och utveckla rutiner för incidenthantering innan lagen träder i kraft 1 januari 2025.