2016 antog Europaparlamentet och rådet ett direktiv om åtgärder för en högre gemensam nivå av säkerhet i nätverks- och informationssystem i hela unionen, det så kallade NIS-direktivet. Det införlivades sedan i Sverige 2018 genom lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster.

Genom det nya direktivet ska informationssäkerheten för samhällsviktiga tjänster öka. Syftet är att adressera den ökande hotbilden mot EU och de ökande interna beroendena mellan sektorer och landsgränser inom unionen. På sås ätt ska den inre marknadens motståndskraft och förmåga till respons på incidenter och attacker öka.

Så påverkas svenska företag och myndigheter av NIS2

Samtliga av EU:s medlemsländer har fram till oktober 2024 på sig att införliva NIS2 i sin nationella lagstiftning, vilket givetvis även gäller Sverige. Det innebär att vi förmodligen redan inom ett år kommer se förslag på ny svensk lagstiftning. Mer konkret kommer det innebära nya och hårdare krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga- och vissa digitala tjänster. Dessutom har ett antal svenska myndigheter tillsynsansvar i enlighet med regleringen.

Vad är nytt med NIS2?

NIS2 kommer omfatta långt fler områden och anläggningar än sin föregångare. När det kommer till själva regelverket som finns det en rad punkter som sticker ut. Bland annat innebär det nya direktivet en ökad tillsyn och hårdare tillsynsåtgärder. Vilka bland annat innefattar kraftiga böter till dem som inte efterföljer reglerna. Styrande organ (till exempel styrelser) kan dessutom hållas personligt ansvariga om inte reglerna efterföljs.

De nya kraven och reglerna innefattar bland annat:

• Nya krav på leverantörer och leverantörskedjesäkerhet
• Nya krav på genomförande av riskbedömning
• Nya krav på säkerhetsåtgärder för cybersäkerhet
• Nya krav vid incidentrapportering

Tjänstesektorer som tillkommit

• Avloppsvatten
• Offentlig förvaltning
• Rymdverksamhet

Tjänstesektorer som fortsatt omfattas

• Bankverksamhet
• Digital infrastruktur
• Energi
• Elektricitet, fjärrvärme/fjärrkyla, olja, gas, vätgas
• Finansmarknadsinfrastruktur
• Hälso- och sjukvård
• Leverans och distribution av dricksvatten
• Transport

Delbetänkande med förslag till hur NIS2 ska implementeras i svensk lagstiftning

Den 5 mars kom ett delbetänkande med förslag till hur NIS2 ska implementeras i svensk lagstiftning. Slutbetänkandet för hur dessa slutgiltigt kommer att implementeras ska redovisas senast 16 september 2024 samt börja gälla 1 januari 2025.

Ett av områdena som omfattas av NIS2 direktivet och anses som högkritiska sektorer är digital infrastruktur där man listar följande aktörer:

• Leverantörer av internetknutpunkter (IXP)
• Leverantörer av DNS-tjänster (rotservrar undantagna)
• Registreringsenheter för toppdomäner
• Leverantörer av molntjänster
• Leverantörer av datacentraltjänster
• Leverantörer av nätverk för leverans av innehåll
• Tillhandahållare av betrodda tjänster)
• Tillhandahållare av allmänna elektroniska kommunikationsnät
• Tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster

Vilka omfattas?

För att omfattas av NIS ska företaget betraktas som medelstort eller större:

• Mikroföretag <10 personer sysselsatta <2M€
• Små företag <50 <10M €
• Medelstora företag <250 personer <50M€

Men oavsett företagsstorlek omfattas man om man är verksam inom någon av följande sektorer:

• Allmänna elektroniska kommunikationsnät- och tjänster
• Betrodda tjänster
• Registreringsenheter för toppdomäner och leverantörer av DNS-tjänster
• Om aktören är den enda i en medlemsstat och den är kritisk
• Vissa offentliga förvaltningsentiteter

Begreppet allmänna kommunikationsnät definieras artikel 2.8 i direktiv (EU) 2018/197211 som: ”System för överföring, oberoende av om det bygger på en permanent infrastruktur eller en centralt administrerad kapacitet eller inte, och i tillämpliga fall utrustning för koppling eller dirigering samt andra resurser, inbegripet nätelement som inte är aktiva, som medger överföring av signaler via tråd, via radio, på optisk väg eller via andra elektromagnetiska överföringsmedier, däribland satellitnät, fasta nät (kretskopplade och paketkopplade, inbegripet internet) och mobilnät, elnätssystem i den utsträckning dessa används för signalöverföring, nät för radio- och tv-utsändning samt kabel-tv-nät, oberoende av vilken typ av information som överförs,”

Väsentliga och viktiga entiteter ska vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem.

Krav om man omfattas

Om man omfattas av kraven i NIS2 (enligt ovan) så ska man även vidta lämpliga och proportionerliga tekniska, drifts och organisatoriska åtgärder för att hantera risker. Dessa åtgärder ska minst omfatta:

• Strategier för riskanalys och informationssystemens säkerhet
• Rutin för Incidenthantering
• Driftskontinuitet som exempelvis hantering av säkerhetskopiering
• Säkerhet i leveranskedjan
• Säkerhet vid förvärv
• Strategier och förfaranden för att bedöma riskhanteringsåtgärderna
• Grundläggande praxis för cyberhygien och utbildning av personal
• Strategier för användning av krypto
• Personalsäkerhet, strategier för åtkomstkontroll
• Användning av multifaktorautentisering och säkrade kommunikationer

Begreppet incident definieras i artikel 6.6 NIS 2-direktivet som en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem.

Incidentrapportering & sanktioner

Genomgående gäller att incidenter ska rapporteras och beroende på arten av incident finns olika tidsfönster man har på sig att skicka in en rapport från 6h upp till 3v. Det vill säga att man måste ha en färdig rutin för detta för att kunna hinna med.

Vid brist eller felaktigt uppfyllande av krav i NIS2 kan varningar, ålägganden eller sanktionsavgifter påföras om högst €10M eller 2 % av omsättningen för väsentliga entiteter samt högst €7M eller 1,4 % av omsättningen för viktiga entiteter.