Vad innebär återlösa
Våra konsulter är experter inom sina områden och dedikerade till att leverera skräddarsydda lösningar för att hjälpa ditt företag att växa och lyckas.
Direktivets syfte är att införa åtgärder för att ytterligare stärka och framtidssäkra cybersäkerheten inom EU, samt att harmonisera medlemsländernas krav och tillämplig av direktivet. Nyligen har Europaparlamentet och rådet antagit ett nytt EU-direktiv som handlar om åtgärder för att upprätthålla en hög gemensam nivå av cybersäkerhet i hela unionen, känt som NIS2-direktivet. För att direktivet ska kunna införas i Sverige krävs att det implementeras i nationell lagstiftning.
En särskild utredning som pågått under ett år har den 5 mars föreslagit de nödvändiga anpassningarna av svensk lagstiftning som krävs för att implementera direktivet. SOU Utredning gällande CER-direktivet var planerad att släppas samtidigt som NIS2-utredningen, men kommer först i september. Utredningen föreslår en ny cybersäkerhetslag som ska börja gälla den 1 januari I denna artikel har vi sammanfattat och tolkat resultatet från både direktivet och den svenska utredningen för att presentera vad vi vet nu om vad påverkade organisationer kommer behöva förhålla sig till när direktivet och lagen börjar gälla.
Det ursprungliga NIS-direktivet The Directive on security of network and information systems började gälla och var den första EU-regleringen med syftet att höja informations- och cybersäkerheten i unionen. Bakgrunden till direktivet är den roll som nätverks- och informationssystem har kommit att spela som möjliggörare för viktiga samhällsfunktioner.
NIS2-direktivet - vad innebär det för svenska organisationer?
Beroendet av dessa system gör att incidenter som inträffar i dem riskerar att leda till allvarliga konsekvenser för unionen. Regleringen riktar sig därför mot de som tillhandahåller tjänster som är viktiga för samhället — så kallade leverantörer av samhällsviktiga och digitala tjänster. Så här några år senare kan man konstatera att NIS-direktivet har hjälpt till att höja nivån på informations- och cybersäkerheten i unionen.
Europaparlamentet och Europeiska unionens råd menar dock att trots direktivets många framgångar så har översyn av direktivet visat att det inte är tillräckligt för att effektivt kunna hantera utmaningarna inom cybersäkerhetsområdet.
Vad är ett webbhotell?
Detta är ett av skälen till att EU nu valt att anta direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen — det så kallade NIS2-direktivet. NIS2 kan i mångt och mycket ses som en uppdatering av det ursprungliga NIS-direktivet vilket gör att många av kraven som ställs i NIS-direktivet kvarstår och kompletteras med ytterligare krav. Några av kraven som behöver uppfyllas enligt NIS2 är:.
Jämfört med det första NIS-direktivet innebär NIS2 bland annat högre krav på säkerhet och rapportering, tydligare krav på säkerhet i leveranskedjan och tydligare ansvar för personer i ledningen tillsammans med striktare tillsynsåtgärder. Något som också utökats är vilka som omfattas av direktivet — som delas in i väsentliga och viktiga entiteter. Det är dock inte samtliga organisationer i alla sektorer som listas ovan som omfattas utan huvudregeln är enbart de som betecknas som medelstora företag eller större.
Gränsvärdena för vad som anses vara medelstora företag är 50 personer och en årsomsättning eller balansomslutning på 10 miljoner euro.
Kapitalförsäkring – här är allt du behöver veta 2024 [GUIDE]
Det finns dock flera undantag från storlekskraven som gör att organisationer som inte uppnår dessa ändå kan omfattas. Bland annat om en störning av tjänsten som tillhandahålls kan ha betydande påverkan på människors liv och hälsa, om organisationen är den enda leverantören av tjänsten i en medlemsstat eller om en störning på tjänsten skulle kunna medföra gränsöverskridande systemrisker.
På grund av att NIS2 innehåller krav på säkerhet i leveranskedjan är det inte bara de verksamheter som omfattas som kommer att påverkas utan även deras leverantörer och underleverantörer. På så sätt kommer NIS2 att få betydligt vidare påverkan än enbart på de sektorer som anges i direktivet. Den svenska nationella utredningen ger förslag kring ett antal viktiga frågeställningar och områden som behöver tas ställning till inför att direktivet införlivas i svensk lagstiftning.
Vi har gått igenom utredningen och plockat ut de viktigaste frågeställningarna och vad de kan tänkas innebära för svenska organisationer. Omfattning av regleringen: Cybersäkerhetslagen föreslås omfatta 18 sektorer, vilket är en ökning från sju sektorer i den nuvarande lagstiftningen. Ytterligare en stor skillnad är att kraven ska gälla för hela verksamheten inom dessa sektorer och inte bara för samhällsviktiga och digitala tjänster.
Vilka omfattas av lagen: Bland de omfattade sektorerna finns energi, transport, bankverksamhet, hälso- och sjukvård, digital infrastruktur och fler. Offentlig förvaltning omfattas i stor utsträckning, med undantag för vissa myndigheter med säkerhetskänslig verksamhet eller brottsbekämpning.
Vad rimmar på elsa?
Tillsyn: För varje sektor ska det finnas en tillsynsmyndighet. Förslaget innebär att befintliga tillsynsmyndigheter får utökade ansvarsområden och att fem nya tillsynsmyndigheter föreslås inrättas. Ingripanden och sanktioner: Tillsynsmyndigheterna ska ha möjlighet att ingripa mot överträdelser av lagen med förelägganden, sanktionsavgifter och andra åtgärder.