NIS2 - utökade krav på informationssäkerhet inom EU

En ny era av informationssäkerhet och cybersäkerhet tar form inom EU, med införandet av det nya direktivet kring nätverks- och informationssäkerhet (NIS2) vilket kommer att ställa strängare krav på riskanalys och säkerhetsåtgärder. Syftet med direktivet är att stå bättre rustad mot cyberattacker och andra hot som digitaliseringen medför och därför utökas kraven till att omfatta även företag och organisationer med samhällskritiska tjänster. Här redogör vi för vilka verksamheter som berörs och vilka krav som ställs.

NIS2 - vad är det?

NIS2, Network and Information Systems Directive 2, är en vidareutveckling av det tidigare direktivet NIS. Med NIS2 vill EU stärka skyddet kring informationssäkerhet för viktiga samhällsfunktioner i medlemsländerna och inför därmed ett antal förändringar för företag och organisationer som påverkar deras arbete med riskhantering och cybersäkerhet.

Utredningens förslag - cybersäkerhetslagen

Eftersom NIS2 är ett EU-direktiv gäller inte lagstiftningen på nationell nivå, utan kräver att varje medlemsland inkorporerar det i sin egen lagstiftning. För att förbereda sig för införlivandet av NIS2-direktivet i Sverige har en statlig utredning genomförts, kallad SOU 2024:18. Utredningen föreslår att den nuvarande lagen ersätts av en ny lag kallad cybersäkerhetslagen, och förväntas träda i kraft under slutet av 2025 eller början av 2026.

Vilka verksamheter berörs av NIS2?

EU vill att alla organisationer som fyller viktiga samhällsfunktioner omfattas av NIS2. Det betyder att NIS2 även gäller för branscher som energiförsörjning, tillverkningsindustrin, avfallshantering samt tillverkning, produktion och distribution av till exempel livsmedel och kemikalier. Fokus i direktivet är dels på cyberincidenter som kan leda till en risk för organisationer, dels incidenter som kan skada eller hindra samhällsfunktioner. Därmed omfattas långt fler än traditionella kritiska infrastrukturorganisationer.

Inom exempelvis energisektorn begränsades tillämpningsområdet enligt NIS till företag som producerar och levererar energi inom el- och naturgas. Med NIS2 förväntar vi oss att hela leveranskedjan, exempelvis tillverkare av vindkraftverk och operatörer av laddstationer för elfordon, inkluderas.

NIS2 berör således företag och organisationer inom nya sektorer som nu bör vidta lämpliga åtgärder inom områden som hantering av cyberrisker, penetrationstestning och incidenthantering.

NIS2 kommer att omfatta företag och organisationer inom både privat och offentlig sektor, där offentlig förvaltning ingår som en egen sektor. I SOU:s utredning 2024:18 föreslås det att den offentliga förvaltningen ska inkludera i princip alla myndigheter, vilket innebär att både statliga myndigheter, regioner och kommuner kommer att omfattas av de strängare kraven och ansvarsområden som föreslås i direktivet.

De företag och organisationer som omfattas av NIS2 har en personalstyrka på mer än 49 anställda och en årlig omsättning eller balansomslutning som överstiger 10 miljoner euro.

NIS2 - strängare krav för en säkrare digital värld

NIS2-direktivet medför betydande förändringar inom riskhantering och cybersäkerhet. Exempelvis kommer tillämpningskraven skärpas kraftigt. Här är några exempel på krav som ställs:

• Strängare krav på leverantörer och säkerhet i hela leveranskedjan för att säkerställa pålitliga och skyddade system.
• Utökade krav på rapportering av incidenter för att snabbt kunna agera och åtgärda eventuella intrång eller hot.
• Förstärkta säkerhetsåtgärder för att effektivt skydda mot cyberhot och förebygga potentiella attacker.
• Nya krav på utförande av riskbedömningar för att identifiera och hantera sårbarheter i systemen.
• I SOU:s utredning 2024:18 har det utökade ledningsansvaret tydliggjorts. Styrelsen, VD och vice VD förväntas ha ansvar för att övervaka implementeringen av riskhanteringsåtgärder och vidta åtgärder vid brister för att säkerställa organisationens nätverks- och informationssystems säkerhet.

Vidare har hårda sanktioner tillämpats i hela EU mot företag och organisationer som inte fullt ut efterlever NIS2. Bland annat riskerar de som inte följer regelverket omfattande ekonomiska påföljder baserade på företagens globala omsättning.

Stöd i efterlevnad av cybersäkerhetslagen 

På PwC har vi aktivt följt utvecklingen av NIS2-direktivet och stöttat våra kunder i deras efterlevnad mot den kommande cybersäkerhetslagen. Vi har bland annat övervakat direktivets utveckling, genomfört gap-analyser och mognadsbedömningar med anpassade åtgärdsplaner, erbjudit utbildning och kunskap, samt stöttat kunder i deras självbedömningar om de omfattas av direktivet eller inte.

Vi fortsätter att engagera oss i att hjälpa organisationer att navigera genom de komplexiteter som den nya cybersäkerhetslagen innebär och erbjuder skräddarsydda lösningar och stöd för att säkerställa framgångsrik efterlevnad av den kommande lagstiftningen. 

Våra juridiska rådgivare har sammanfattat lagförslaget. Läs mer om hur förslaget påverkar din verksamhet.