Kontakta oss Kurser och seminarier Webbshop Avtal 2023 In English
Nyhet 11 jan. 2023

NIS2 i hamn – ställer nya cybersäkerhetskrav för många teknikföretag

Det nyligen överenskomna NIS2-direktivet innebär nya cybersäkerhetskrav för många företag inom flera olika sektorer. Det handlar bland annat om krav på att rapportera incidenter, men också på åtgärder för att hantera risker i leverantörskedjan och vid förvärv.

De nya bestämmelserna kommer tillämpas i Sverige från och med oktober 2024. Teknikföretagen vill därför att regeringen snabbt tillsätter en utredning för att den ska hinna göra en ordentlig analys av situationen och identifiera de lagändringar som behöver genomföras. Det är viktigt att företrädare för berörda branscher och sektorer får möjlighet att bidra med sin expert- och sakkunskap.

NIS2, eller som det numera heter, direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, är efter två år färdigförhandlad och har publicerats i EU:s officiella tidning. Formellt träder direktivet i kraft redan den 16 januari i år, dock har medlemsstaterna till och med den 17 oktober 2024 på sig att genomföra bestämmelserna i den nationell lagstiftning. Det är också först därefter som det nya direktivet börjar tillämpas på företagen, men eftersom det handlar om helt nya krav som berör många nya företag kan det ändå finnas skäl att redan nu försöka sätta sig in i vad som kommer.

Vad är nytt?
NIS2 innehåller en hel del nyheter jämfört med sin företrädare som bland annat innebär att:

  • Fler sektorer[1] klassas som väsentliga och viktiga för samhällets funktionalitet (exempelvis tillverkning av bl.a; medicintekniska produkter; datorer och elektronik; motorfordon och andra transportmedel; samt kemikalie- och livsmedelsproduktion)
  • Tämligen höga bötesbelopp införs för de som inte lever upp till kraven (tydligt inspirerade av det som gäller för GDPR)
  • Förkortade tidsfrister för rapportering av incidenter (24 timmar i stället för 72 timmar)
  • Utökade krav på företag inom de utpekade sektorerna att vidta åtgärder för att hantera risker inklusive i leverantörskedjan, vid förvärv och att ha strategier för användning av kryptering


Vad händer nu?

De nya reglerna börjar tillämpas den 18 oktober 2024 i alla medlemsstater och för att det ska kunna ske behöver den svenska lagstiftningen ses över och uppdateras. 

Vad gör Teknikföretagen?

Teknikföretagen har kontinuerlig kontakt med Regeringskansliet och avser adressera frågan om NIS2. Eftersom det är många nya aktörer som berörs samtidigt som direktivet innebär ett flertal ändringar i sak vill Teknikföretagen att regeringen snarast tillsätter en utredning. Genom en utredning ges möjlighet att genomföra en ordentlig analys av situationen och också säkerställa att berörda aktörer ges möjlighet att bidra i arbetet med sin expert- och sakkunskap.

Mer på Internet https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM%3A2020%3A823%3AFIN

Läs hela direktivet

 

[1] De sektorer som omfattas av direktivet är i) högkritiska sektorer; energi; transporter; bankverksamhet; finansmarknadsinfrastruktur; hälso- och sjukvårdssektorn; dricksvatten; avloppsvatten; digital infrastruktur; förvaltning av IKT-tjänster (mellan företag); offentlig förvaltning samt rymden och ii) andra kritiska sektorer; post- och budtjänster; avfallshantering; tillverkning, produktion och distribution av kemikalier; produktion, bearbetning och distribution av livsmedel; tillverkning; digitala leverantörer samt forskning.