Den 28 november 2022 antog Europeiska unionens råd ”NIS 2-direktivet” vilket ersätter det nuvarande NIS-direktivet, som införlivats i svensk rätt genom lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Syftet med det nya NIS-direktivet är att öka cybersäkerheten för kritisk infrastruktur för att hantera en växande risk för cyberhot, bland annat genom ökade skyldigheter gällande kryptering och incidenthantering. NIS 2-direktivet innebär att flera tjänster och verksamheter än tidigare kommer att omfattas av krav på strukturerat säkerhetsarbete och att medlemsländerna på ett mer harmoniserat sätt ska arbeta med informationssäkerhet.
Ett av syftena med NIS 2-direktivet är att harmonisera medlemsländernas cybersäkerhetskrav och cybersäkerhetsåtgärder. För att uppnå detta införs mekanismer för att effektivisera samarbetet mellan berörda myndigheter i varje medlemsland.
Genom NIS 2-direktivet inrättas även Europeiska kontaktnätverket för cyberrisker, som ska möjliggöra samordning av hantering av större cyberincidenter.
För de verksamheter som träffas av reglerna ställs nu högre krav på rapportering och säkerhet, bland annat avseende flerfaktorsautentisering och kryptering. Tiden för att rapportera cyberincidenter till myndighet ändras också från 72 timmar till 24 timmar.
NIS 2-direktvet innefattar en storleksbaserad generell regel för identifiering av vilka entiteter som träffas av reglerna, vilket är nytt i förhållande till det första NIS-direktivet, där medlemsländerna själva bestämde vilka entiteter som uppfyllde kriterierna för att anses vara en leverantör av samhällsviktiga tjänster.
Utöver de tjänster och verksamheter som omfattas av NIS-direktivet sedan tidigare kommer nu t.ex. även följande sektorer att omfattas.
NIS 2-direktivet eliminerar också skillnaden mellan samhällsviktiga tjänster och digitala tjänster i NIS-direktivet, i stället klassificeras entiteterna utifrån deras betydelse, vilket påverkar tillsynen över verksamheterna.
NIS 2-direktivet ställer även krav på säkerhet i leverantörskedjorna. Genom NIS 2-direktivets utökning av tillämpningsområdet kommer antalet verksamheter som omfattas av kraven att öka kraftigt.
NIS 2-direktivet är inte tillämpligt på entiteter med verksamhet inom försvar eller nationell säkerhet (vilka i stället omfattas av säkerhetsskyddslagen (2018:585), allmän säkerhet och brottsbekämpning. Inte heller omfattas rättsväsende, centralbanker eller parlament. Bestämmelserna kommer dock att gälla för offentliga förvaltningar på central och regional nivå.
Medlemsstaterna har 21 månader på sig att införliva NIS 2-direktivets bestämmelser i nationella lagstiftning, efter att direktivet trätt i kraft (vilket sker 20 dagar efter publicering i EU:s officiella tidning, vilket förväntas ske inom kort).
Även om det kommer att dröja innan direktivet införlivats i svensk rätt finns det anledning att redan nu börja se över huruvida de nya kraven påverkar företagets verksamhet. Cederquist följer utvecklingen av den svenska lagstiftningsprocessen och ni är välkomna att kontakta oss om ni är intresserade av att veta mer om vilka krav som kan komma att ställas på ert företag.