Nyhet

NIS2 och Cybersäkerhetslagen

Start / Nyhetslista / NIS2 och Cybersäkerhetslagen
Nyhet

NIS2 är beslutat av EU med syfte att stärka unionens cybersäkerhet och säkerställa att medlemsstaternas regelverk harmoniserar med varandra. Medlemsstaterna har nu att införliva direktivet i nationell lagstiftning. Sverige avser att göra det genom en ny lag, Cybersäkerhetslagen. Lagen föreslås träda i kraft den 1 januari 2025.

Det finns ingen övergångsregel, lagen gäller med full kraft från ovanstående datum (om lagen antas och datumet står fast).

I dagsläget är det oklart hur den nya lagen kommer att se ut i detalj. Slutbetänkandet ska komma i september 2024. Sverige ska därefter ha reglerna på plats senast den 17 oktober 2024.

Vad innebär lagen?

NIS2 ersätter NIS, som varit rådande i EU sedan 2016. NIS2 medför några tydliga förändringar mot NIS:

  • Fler sektorer omfattas än tidigare. Sektorerna delas in i väsentliga respektive viktiga. Inom transportsektorn nämns luft, järnväg, sjöfart och vägtransport som väsentliga sektorer. Som viktig sektor nämns post- och budtjänster samt avfallshantering. Tillsynsåtgärder och sanktioner är hårdare för väsentliga sektorer.
  • För de organisationer som omfattas av NIS2 gäller kraven hela verksamheten, inte enbart de delar som tillhandahåller viktiga eller digitala tjänster
  • Företagsledningen får ett tydligt ansvar för företagets cybersäkerhetsarbete och tillsynsmyndigheterna får långtgående befogenheter att straffa ledningspersoner som brister i detta ansvar

Vi kan utgå från direktivets föregångare, NIS, för att få en uppfattning om vad den nya lagen kommer att kräva av företagen. Berörda företag ska:

  • Avgöra om verksamheten omfattas och då anmäla verksamheten till tillsynsmyndigheten
  • Upprätthålla ett systematiskt arbete för informationssäkerhet
  • Utbilda ledningen (styrelse) i riskhanteringsåtgärder och erbjuda motsvarande utbildning till personalen
  • Rapportera in incidenter
  • Vidta lämpliga åtgärder vid en incident

Vilka omfattas?

Grundregeln är att samtliga medelstora och stora företag inom utpekade sektorer omfattas av NIS2. Gränsen för medelstort företag är minst 50 anställda och årsomsättning överstigande 10

miljoner euro (på koncern). Det är företagen själva som ska bedöma om de omfattas och då rapportera detta till tillsynsmyndigheten, inklusive kontaktuppgifter och verksamhet m.m.

Cybersäk.png

Tillsyn

Tillsynsmyndighet för Transportsektorn är Transportstyrelsen. Post- och budtjänster har Post- och Telestyrelsen som tillsynsmyndighet och Avfallshantering har Länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län som tillsynsmyndigheter.

Väsentliga verksamhetsutövare ska omfattas av ett heltäckande tillsynssystem med förhandstillsyn och efterhandstillsyn, medan viktiga verksamhetsutövare ska omfattas av enklare tillsyn, endast i efterhand:

” Tillsynsåtgärder för viktiga verksamhetsutövare får vidtas endast när tillsynsmyndigheten har befogad anledning att anta att cybersäkerhetslagen eller de föreskrifter som har meddelats i anslutning till lagen inte följs.”

Sanktioner

Sanktionsavgifter börjar på 5 000 SEK och går upp till 2 % av global årsomsättning eller 10 miljoner euro (högsta beloppet) för väsentliga sektorer.

För viktiga sektorer är maxbeloppet 1,4 % av global årsomsättning eller 7 miljoner euro (högsta beloppet)

Tillsynsmyndigheten kan även förbjuda ledningspersoner att bedriva ledningsarbete i bolaget vid allvarliga brister i cybersäkerhetsarbetet. Det är i huvudsak bolagets VD, styrelse och dess ersättare som kan bli aktuella för detta. Det är en åtgärd som förmodligen kommer att nyttjas sparsamt och först när andra åtgärder visat sig verkningslösa. Ledningspersonen blir då avregistrerad från Bolagsverkets företagsregister och blir därmed av med sin formella behörighet.