Tech Blog

NIS 2 och cybersäkerhetslagen – en uppdatering

Vi har tidigare skrivit inlägg på temat NIS 2, se bland annat här och här.

Nu träder NIS 2 i kraft, ett EU-direktiv för att stärka cybersäkerheten inom nätverks- och informationssystem. Samtidigt förbereder Sverige införandet av en ny cybersäkerhetslag, som förväntas träda i kraft under 2025.

Vad är NIS 2?

NIS 2 (Directive on Security of Network and Information Systems) är en uppdatering av det tidigare NIS-direktivet och syftar till att förbättra säkerheten samt uppnå en hög gemensam cybersäkerhetsnivå i hela unionen. Det nya direktivet innebär flera nya krav på företag och offentliga organisationer som verkar inom 18 definierade sektorer, vilka delas in i väsentliga och viktiga sektorer. Bland dessa finns energi, transport, tillverkning och digital infrastruktur.

Några av de viktigaste förändringarna med NIS 2 är:

  • Fler sektorer omfattas: Ännu fler företag och organisationer kommer nu att behöva säkerställa robusta säkerhetsåtgärder.
  • Snabbare incidentrapportering: Incidenter har nu en tidig varning som ska lämnas utan onödigt dröjsmål, men senast inom 24 timmar efter att ha fått kännedom om den.
  • Personligt ansvar för företagsledningar: Ledningsorganen hålls direkt ansvariga för att implementera och underhålla säkerhetsåtgärder.
  • Fokus på leveranskedjan: Säkerheten i hela leveranskedjan, inklusive underleverantörer, blir en allt större prioritet.

Detta är en betydande förändring för många verksamheter som nu måste se över sina cybersäkerhetsstrategier och processer.

Den svenska cybersäkerhetslagen

För att implementera NIS 2 föreslås en ny cybersäkerhetslag i Sverige. Lagen var tänkt att införas i början av 2025 (redan det alltså för sent), men förväntas nu börja gälla först under senare delen av 2025. Lagen bygger på NIS 2-direktivet men har vissa nationella anpassningar. När lagen träder i kraft kommer svenska företag och myndigheter att möta ytterligare krav på hur de skyddar sina digitala och fysiska miljöer.

Utredningen, SOU 2024:18, har lagt fram förslag på nödvändiga anpassningar av svensk lagstiftning. Det finns även flera frågeställningar som behöver tas ställning till inför den svenska lagstiftningen, såsom hur partnerföretag och anknutna företag ska inkluderas i beräkningen av verksamhetens storlek, särskilt i fall där en sådan inkludering kan anses oproportionerlig.

Hur påverkas mindre företag?

Små företag, definierade som de med färre än 50 anställda eller en omsättning under 10 miljoner euro, omfattas vanligtvis inte av den nya lagen. Men som så många andra företag kan de kan fortfarande påverkas indirekt. Detta beror på att större företag och offentliga aktörer som använder små företag som leverantörer eller partners kommer att behöva säkerställa att hela deras leveranskedja uppfyller de nya säkerhetskraven. Så även om småföretag inte direkt omfattas av reglerna, kan de behöva anpassa sig för att fortsätta samarbeta med större aktörer.

Vad bör ni göra nu?

För att säkerställa att er organisation lever upp till kraven från både NIS 2 och den kommande svenska cybersäkerhetslagen är det viktigt att börja förbereda sig nu. Det innebär att göra en grundlig genomgång av de befintliga säkerhetsåtgärderna, utbilda personal och utveckla rutiner för snabb incidentrapportering.

NIS 2 och den svenska cybersäkerhetslagen representerar en ny era för cybersäkerhet i Europa och Sverige. För att ligga i framkant måste företag och organisationer anpassa sig till de ökade kraven, stärka sitt skydd och säkerställa att hela verksamheten, inklusive leverantörskedjor, är förberedd på framtidens säkerhetsutmaningar. Det är många olika åtgärder som behöver vidtas, rutiner, processer och tekniska och informationssäkerhetsmässiga åtgärder behöver ses över. Avtal behöver ses över.

Har du frågor om din verksamhet träffas eller hur verksamheten påverkas av NIS 2 eller den kommande cybersäkerhetslagen, kan Delphi ge vägledning. Med lång erfarenhet av frågor inom cybersäkerhet och informationssäkerhet finns vi tillgängliga för att stödja din organisation i att möta de nya kraven.

 

Denna artikel är skriven av Associate Ara Haydar.