Information om Cybersäkerhetslagen och NIS2-direktivet
Det är viktigt för företag och företagare att känna till viktig Information om den nya svenska Cybersäkerhetslagen och NIS2-direktivet. EU skärper nu kraven på företag för att stärka samhällets cybersäkerhet och förhindra cyberattacker. Särskilt fokus ligger på samhällsviktiga verksamheter. Den nya svenska Cybersäkerhetslagen kommer förmodligen att träda i kraft i den 1 januari 2025.
Det är viktigt att tänka på att även mindre företag kan bli påverkade av den nya Cybersäkerhetslagen. Cybersäkerhetslagen ställer bland annat högre krav på att digitala system ska vara skyddade mot cyberangrepp. Den kräver även att företag som tillhandahåller samhällsviktiga tjänster ska minska sårbarheter och öka motståndskraften mot cyberhot.
Mer information om den nya svenska Cybersäkerhetslagen och NIS2-direktivet
Denna nya och skärpta lagstiftning för cybersäkerhet är baserad på EU:s NIS2-direktiv. Den nya lagen kommer att ersätta den svenska nuvarande ”lagen om informationssäkerhet för samhällsviktiga och digitala tjänster”.
”NIS” står för “The Directive on Security of Network and Information Systems”. På svenska är direktivet kallat för ”Direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela Unionen”.
Syftet med det nya NIS2-direktivet är främst att skydda infrastruktur och organisationer mot cyberhot. Vidare är syftet att uppnå en hög gemensam säkerhetsnivå ska inom hela EU. I Sverige kommer direktivet att bli införlivat i lagen genom införandet av den nya cybersäkerhetslagen. Den aktör som är omfattad av NIS2-direktivet och den nya cybersäkerhetslagen är kallad för ”Verksamhetsutövare”.
Vilka företag, verksamheter och organisationer måste följa den nya svenska Cybersäkerhetslagen och NIS2-direktivet?
Den nya cybersäkerhetslagen omfattar betydligt fler privata företag och offentliga aktörer: totalt 18 sektorer, istället för 7 sektorer som gäller idag. För varje sektor kommer en eller flera tillsynsmyndigheter att ansvara för tillsyn och vägledning, samt utfärdande av föreskrifter som reglerar kraven i respektive sektor. Den svenska Myndigheten för samhällsskydd och beredskap (MSB) har ett samordningsansvar på nationell nivå i Sverige gentemot verksamhetsutövare och tillsynsmyndigheter, och är kontaktpunkt på EU-nivå för samarbete med övriga medlemsstater. Vidare har MSB i uppdrag att även ta fram föreskrifter gällande vissa gemensamma aspekter av kraven som verksamhetsutövare ska följa.
Dessutom kommer cybersäkerhetslagen att gälla för hela verksamheten, och inte endast för samhällsviktiga och digitala tjänster. Det handlar bland annat om aktörer inom sektorerna för produktion av livsmedel, digitala leverantörer (marknadsplatser online, sökmotorer, plattformar för sociala nätverkstjänster), digital infrastruktur (tex. moltjänster, datacenter, allmänna elektroniska kommunikationsnät, DNS-tjänster), post- och budtjänster, transporter, hälso- och sjukvård, tillverkning av elektronikvaror, bankverksamhet m.fl.
De krav som NIS2-direktivet ställer på säkerhet gäller inom hela leveranskedjan. Detta innebär att en leverantör till en aktör som är omfattad av NIS2-direktivet också indirekt kan komma att bli omfattad i praktiken av ökade krav på leverans av cybersäkerhet och informationssäkerhet.
Vilka är kraven enligt den nya svenska cybersäkerhetslagen och NIS2-direktivet?
Cybersäkerhet handlar om att skydda digitala system, nätverk och program från digitala attacker, skador och obehörig tillgång. De nya kraven innefattar bland annat skyldighet och tydligare krav på att genomföra verksamhetsanalyser, riskanalyser och GAP-analys, samt följa strikta säkerhetsrutiner. Aktörer som är omfattade av lagen måste även vidta olika tekniska och organisatoriska säkerhetsåtgärder för att skydda sina nätverks- och informationssystem och dess fysiska miljöer. Vidare innebär den nya lagen nya rapporteringsskyldigheter till tillsynsmyndigheter och ökade krav på ledningens deltagande i organisationens arbete med cybersäkerhet.
Om en verksamhetsutövares bryter mot lagen, kan höga sanktionsavgifter bli utfärdade av tillsynsmyndigheterna. För så kallade ”väsentliga verksamhetsutövare” kan sanktionsavgiften uppgå till 2 % av aktörens totala global årsomsättning, eller 10 000 000 euro (det högsta av alternativen).
Vad behöver företag som omfattas av den nya svenska cybersäkerhetslagen och NIS2-direktivet göra?
Verksamhetsutövare som är omfattade av den nya cybersäkerhetslagen måste framförallt göra följande:
– Identifiera att verksamheten är omfattad av reglerna samt anmäla detta till tillsynsmyndigheten.
– Implementera och upprätthålla ett arbete med informationssäkerhet som är systematiskt.
– Införa olika lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda mot cyberhot.
– Utbilda personalen och ledningen i cybersäkerhet.
– Dokumentera och rapportera inträffade incidenter till tillsynsmyndigheten som medför eller kan medföra betydande störningar.
Företag som behandlar personuppgifter måste även följa EU:s dataskyddsförordning, även kallat för GDPR. Enligt GDPR innebär detta bland annat att företag måste ha interna rutiner för att hantera personuppgiftsincidenter. Personuppgiftsincidenter är en säkerhetsincident, som i vissa fall även måste bli rapporterad till tillsynsmyndigheten. I Sverige är det Integritetskyddsmyndigheten (IMY) som är tillsynsmyndigheten för GDPR-relaterade ärenden. Det finns även mycket mer som är viktigt att tänka på gällande GDPR.
På Digitala Juristernas webbplats www.AvtalGDPR.se kan du läsa mer information om GDPR. Du kan även hitta mer information om de avtal och dokument företag behöver ha enligt GDPR. Digitala Juristerna skriver och granska avtal till fasta priser enligt prislistan på deras hemsida. Där kan du även se innehållet i de olika GDPR-paketen som de säljer till företag. Ett GDPR-paket innehåller mycket av det som lagen kräver att företag har. Bland annat ett integritetsmeddelande (artiklarna 13-14 GDPR), cookiemeddelande (Lagen om elektronisk kommunikation, registerförteckning (Artikel 30 GDPR) och mycket mer.
Mer information om den nya svenska cybersäkerhetslagen och NIS2-direktivet, hjälpverktyg och underlag
Om du är osäker på ifall ditt företag omfattas av den nya cybersäkerhetslagen, kan du besöka de tillsynsmyndigheter (en eller flera) er verksamhet omfattas av.
Exempelvis har Post- och Telestyrelsen (PTS) skapat en e-tjänst, som riktar sig till verksamhetsutövare som faller under PTS sektorsansvar. Detta verktyg stöttar sådana aktörer i att bedöma om de omfattas av den nya cybersäkerhetslagen. Klicka här för att besöka PTS e-tjänst om Cybersäkerhetslagen.
Vidare kan du besöka ”SSF:s säkerhetskollen” för att få en mer konkret guidning och checklistor för att se om din verksamhet behöver en certifiering för att uppvisa att de nya lagkraven uppnås. Klicka här för att besöka SSF:s Säkerhetskollen.
MSB har även publicerat sitt webinarium med frågor och svar om NIS2-direktivet och den nya svenska cybersäkerhetslagen på sin webbplats. Klicka här för att se MSB Webinatium om cybersäkerhetslagen och NIS2-direktivet.
Du kan även kostnadsfritt ladda ner normen ”SSF 1101 Cybersäkerhet” från SSF:s webbplats. Den ger organisationer vägledning till att uppnå grundläggande cybersäkerhet. Ni kan bland annat minska sårbarheten för cyberattacker, skydda era kunders genom att följa normen.
Om du vill läsa hela NIS2-direktivet, kan du klicka här.
