NIS2 och Cybersäkerhetslagen
Uppdaterades 2024-12-05
NIS2 är beslutat av EU med syfte att stärka unionens cybersäkerhet och säkerställa att medlemsstaternas regelverk harmoniserar med varandra. Medlemsstaterna har nu att införliva direktivet i nationell lagstiftning. Sverige avser att göra det genom en ny lag, Cybersäkerhetslagen.
Enligt direktivet ska reglerna finnas på plats redan den 17 oktober 2024. Som svensk företagare måste man dock vänta in den svenska lagstiftningen innan det går att bedöma vilka verksamheter som omfattas och vilka åtgärder som behöver vidtas.
Processen med att ta fram svensk lagstiftning verkar dra ut på tiden och det finns indikationer på att ny lag och tillhörande föreskrifter kommer finnas på plats först efter sommaren 2025. Transportföretagen följer processen noga och informerar löpande sina medlemmar om läget, exempelvis genom Transportföretagens Säkerhets- och Beredskapsnätverk.
Det finns ingen övergångsregel, lagen gäller med full kraft från ovanstående datum (om lagen antas och datumet står fast).
Lagen kommer i sin tur att kompletteras med föreskrifter från ansvariga myndigheter, som i detalj reglerar hur företag berörs och vilka krav som ställs avseende cybersäkerhet. Innan dessa föreskrifter har antagits bör företagen fokusera på sitt ordinarie cybersäkerhetsarbete som sedan vid behov får kompletteras när föreskrifterna finns tillgängliga.
I dagsläget är det oklart hur den nya lagen kommer att se ut i detalj. Transportföretagen följer utvecklingen noga och informerar medlemmarna löpande via nyhetsbrev och webbinar.
Vad innebär lagen?
NIS2 ersätter NIS, som varit rådande i EU sedan 2016. NIS2 medför några tydliga förändringar mot NIS:
- Fler sektorer omfattas än tidigare. Sektorerna delas in i väsentliga respektive viktiga. Inom transportsektorn nämns luft, järnväg, sjöfart och vägtransport som väsentliga sektorer. Som viktig sektor nämns post- och budtjänster samt avfallshantering. Tillsynsåtgärder och sanktioner är hårdare för väsentliga sektorer.
- För de organisationer som omfattas av NIS2 gäller kraven hela verksamheten, inte enbart de delar som tillhandahåller viktiga eller digitala tjänster
- Företagsledningen får ett tydligt ansvar för företagets cybersäkerhetsarbete och tillsynsmyndigheterna får långtgående befogenheter att straffa ledningspersoner som brister i detta ansvar
Vi kan utgå från direktivets föregångare, NIS, för att få en uppfattning om vad den nya lagen kommer att kräva av företagen. Berörda företag ska:
- Avgöra om verksamheten omfattas och då anmäla verksamheten till tillsynsmyndigheten
- Upprätthålla ett systematiskt arbete för informationssäkerhet
- Utbilda ledningen (styrelse) i riskhanteringsåtgärder och erbjuda motsvarande utbildning till personalen
- Rapportera in incidenter
- Vidta lämpliga åtgärder vid en incident
Vilka omfattas?
Grundregeln är att samtliga medelstora och stora företag inom utpekade sektorer omfattas av NIS2. Gränsen för medelstort företag är minst 50 anställda och årsomsättning överstigande 10
miljoner euro (på koncern). Det är företagen själva som ska bedöma om de omfattas och då rapportera detta till tillsynsmyndigheten, inklusive kontaktuppgifter och verksamhet m.m.
Tillsyn
Tillsynsmyndighet för Transportsektorn är Transportstyrelsen. Post- och budtjänster har Post- och Telestyrelsen som tillsynsmyndighet och Avfallshantering har Länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län som tillsynsmyndigheter.
Väsentliga verksamhetsutövare ska omfattas av ett heltäckande tillsynssystem med förhandstillsyn och efterhandstillsyn, medan viktiga verksamhetsutövare ska omfattas av enklare tillsyn, endast i efterhand:
” Tillsynsåtgärder för viktiga verksamhetsutövare får vidtas endast när tillsynsmyndigheten har befogad anledning att anta att cybersäkerhetslagen eller de föreskrifter som har meddelats i anslutning till lagen inte följs.”
Sanktioner
Sanktionsavgifter börjar på 5 000 SEK och går upp till 2 % av global årsomsättning eller 10 miljoner euro (högsta beloppet) för väsentliga sektorer.
För viktiga sektorer är maxbeloppet 1,4 % av global årsomsättning eller 7 miljoner euro (högsta beloppet)
Tillsynsmyndigheten kan även förbjuda ledningspersoner att bedriva ledningsarbete i bolaget vid allvarliga brister i cybersäkerhetsarbetet. Det är i huvudsak bolagets VD, styrelse och dess ersättare som kan bli aktuella för detta. Det är en åtgärd som förmodligen kommer att nyttjas sparsamt och först när andra åtgärder visat sig verkningslösa. Ledningspersonen blir då avregistrerad från Bolagsverkets företagsregister och blir därmed av med sin formella behörighet.