Tillbaka

25.02.07 / Nyhet

NIS2 och cybersäkerhetslagen – utökade cybersäkerhetskrav för svenska verksamheter

NIS2-direktivet är ett avgörande och omfattande initiativ från EU för att stärka kritisk infrastruktur mot den ständigt växande hotbilden runt om i Europa. Cybersäkerhet är numera en viktig prioritering för att upprätthålla förtroendet hos allmänheten och kunder, samt för att skydda kritisk information. Arbetet handlar med andra ord inte längre enbart om förebyggande åtgärder, utan även om att säkra konkurrensfördelar och stärka det egna varumärket. 

Det nya direktivet innebär dock en utmaning för svenska verksamheter eftersom det kräver ett betydligt mer omfattande cybersäkerhetsarbete samt en undersökningsplikt i sin leverantörskedja. Med andra ord innebär direktivet inte enbart att verksamheter behöver utvärdera sitt eget cybersäkerhetsarbete, utan verksamheter som omfattas behöver även utvärdera sina direkta leverantörer utifrån hur kritiska de är för verksamheten samt inkludera lämpliga krav på riskhanteringsåtgärder i sina leverantörsavtal. 

Vilka omfattas?

Jämfört med det tidigare NIS-direktivet, omfattar NIS2-direktivet nu fler verksamheter och utökar antalet sektorer från 7 till 18. Sektorerna som omfattas inkluderar bland annat digital infrastruktur, digitala leverantörer, hälso- och sjukvård, transporter, energi samt produktion, bearbetning och distribution av livsmedel. Det ska också tilläggas att i princip hela den svenska offentliga sektorn kommer att omfattas av kraven under direktivet. Utöver verksamheterna som träffas direkt kommer även andra bolag som ingår i leverantörskedjan att omfattas indirekt mot bakgrund av kravet på att garantera säkerhet i leverantörskedjan. 

NIS2-direktivet föreslås implementeras i svensk nationell lagstiftning genom den så kallade cybersäkerhetslagen, som föreslås träda i kraft under år 2025. Enligt MSB kan lagen träda i kraft i Sverige som tidigast under sommaren 2025. 

Krav under NIS2 

Vad innebär då NIS2-direktivet i praktiken? Direktivet delar in verksamheter i två olika kategorier – väsentliga och viktiga verksamhetsutövare. Kraven som ställs är i huvudsak identiska, men det finns skillnader i reglerna för tillsyn och sanktioner. Övergripande slås fast att verksamheter som omfattas av direktivet ska vidta lämpliga och proportionella åtgärder i förhållande till risken för att säkerställa en hög cybersäkerhetsnivå i sina nätverk och informationssystem. Med andra ord krävs ett gediget och djupgående kartläggningsarbete av verksamhetens nätverk och informationssystem samt en riskanalys av dessa för att identifiera hot och risk. 

Till skillnad från det tidigare NIS-direktivet omfattar NIS2-direktivet dessutom hela verksamheten, vilket innebär att samtliga nätverk och informationssystem som verksamheten använder sig av ska kartläggas och analyseras utifrån ett riskbaserat arbetssätt. 

Direktivet listar även explicit vissa särskilda säkerhetsåtgärder som ska vidtas som inkluderar bland annat;

  • rutiner för incidenthantering, 
  • säkerhet i leveranskedjan, bland annat genom att ställa krav på riskhanteringsåtgärder för cybersäkerhet i avtal med leverantörer, 
  • personalsäkerhet, samt strategier för åtkomstkontroll och tillgångsförvaltning, 
  • säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem inklusive hantering av sårbarheter och sårbarhetsinformation, 
  • utbildning för ledningen, vilket också ska erbjudas till anställda.  

Vad händer vid överträdelser av NIS2?

Verksamhetens ledning har det yttersta ansvaret för att säkerställa en hög cybersäkerhet. Ledningen ska säkerställa att adekvata cybersäkerhetsåtgärder vidtas, övervaka vidtagna åtgärder och genomgå utbildning för att uppnå tillräcklig kunskap om cybersäkerhet och relevanta risker. Om kraven inte efterlevs kan ledningsförbud införas för personer i företaget som har ett ledningsansvar om verksamheten klassas som en väsentlig verksamhetsutövare. Det är även noterbart att sanktionsavgiften har höjts genom NIS2-direktivets ikraftträdande upp till max 10 miljoner EUR eller upp till 2% av den totala global årsomsättningen. Storleken på sanktionsavgift kommer dock att variera beroende på om verksamheten klassas som väsentlig eller viktig. 

MAQS Advokatbyrå följer noga utvecklingen av den svenska implementeringen av NIS2-direktivet liksom andra regelverk inom specialistområdet som vi kallar Digital Governance. Du kan läsa mer om Digital Governance här. Kontakta oss om ni önskar höra mer eller har behov av rådgivning och hjälp med efterlevnad av de nya reglerna.

Kontakta oss / registrera dig för nyheter och events
 

Relaterade områden

Kontaktpersoner

Mikael Satama Granberg

Mikael Satama Granberg

Advokat/Partner

+46 732 36 55 75

Moa Svantesson

Moa Svantesson

Biträdande jurist/Associate

+46 723 63 74 64