Nya direktiv för ökad cybersäkerhet
Data/TeleI takt med det ökade antalet cyberattacker och det försämrade säkerhetsläget har kraven på ökad cybersäkerhet aktualiserats. Därför kommer nu ett antal EU-direktiv som exempelvis NIS 2 och CER-direktiven att införas i svensk lagstiftning under året.
För någon vecka sedan kom ett delbetänkande med förslag till hur de nya direktiven ska implementeras i svensk lagstiftning. NIS 2 ställer krav på säkerhet i nätverks- och informationssystem. Slutbetänkandet för hur dessa kommer att implementeras ska redovisas senast 16 sept. 2024 samt börja gälla 1 jan 2025
De som omfattas är 18 utpekade sektorer varav sju som redan omfattas av befintlig lagstiftning enl nedan:
- Energi
- Transporter
- Bankverksamhet
- Finansmarknadsinfrastruktur
- Hälso- och sjukvård
- Dricksvatten
- Avloppsvatten
- Digital infrastruktur
- Förvaltning av IKT-tjänster (mellan företag)
- Offentlig förvaltning
- Rymden
- Post- och budtjänster
- Avfallshantering
- Tillverkning, produktion och distribution av kemikalier
- Produktion, bearbetning och distribution av livsmedel
- Tillverkning (medicinska produkter)
- Digitala leverantörer
- Forskning
En annan skillnad är att för de som är verksamma inom någon av dessa sektorer kommer hela verksamheten nu att omfattas, inte bara den sammahälsviktiga och digitala tjänsten. Vidare kommer en mängd myndigheter och samtliga regioner och kommuner att omfattas.
De nya lagarna föreslås träda i kraft den 1 jan 2025. Inom vårt område är det främst digital infrastruktur, dricks- & avloppsvatten samt energi som påverkas.
Framför allt området digital infrastruktur anses som ett högriskområde där man inför en mängd skärpningar.
Förslaget innehåller dels förändringar i befintliga lagar så som lagen om elektroniks kommunikation, LEK och några förordningar dels förslås en helt ny cybersäkerhetslag som bland annat ställer krav på samhällskritisk infrastruktur. Övergripande tillsynsmyndighet föreslås bli MSB, Myndigheten för samhällsskydd och beredskap förutom de lokala länsstyrelserna och några andra myndigheter för respektive sektor.
För er som entreprenör kommer detta att påverka er verksamhet indirekt eftersom flera kunder kommer att få dessa nya lagkrav på sig och bedöms föra vidare de utökade kraven på dina underentreprenörer. I andra fall utgör dessa nya krav möjlighet till nya affärsmöjligheter. I vissa fall kommer även krav på att uppvisa att man följer rutiner avseende cybersäkert att ställas.
Ett sätt att bevisa detta är att certifiera sig enligt ISO 27001 som är en standard som reglerar ledningssystem för informationssäkerhet. Certifiering är en ganska omfattade då det innefattar hela företaget men kan vara väl värt det för att kunna erbjuda tjänster till sina kunder i framtiden.