De nya bestämmelserna kommer tillämpas i Sverige från och med oktober 2024. Teknikföretagen vill därför att regeringen snabbt tillsätter en utredning för att den ska hinna göra en ordentlig analys av situationen och identifiera de lagändringar som behöver genomföras. Det är viktigt att företrädare för berörda branscher och sektorer får möjlighet att bidra med sin expert- och sakkunskap.
NIS2, eller som det numera heter, direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, är efter två år färdigförhandlad och har publicerats i EU:s officiella tidning. Formellt träder direktivet i kraft redan den 16 januari i år, dock har medlemsstaterna till och med den 17 oktober 2024 på sig att genomföra bestämmelserna i den nationell lagstiftning. Det är också först därefter som det nya direktivet börjar tillämpas på företagen, men eftersom det handlar om helt nya krav som berör många nya företag kan det ändå finnas skäl att redan nu försöka sätta sig in i vad som kommer.
Vad är nytt?
NIS2 innehåller en hel del nyheter jämfört med sin företrädare som bland annat innebär att:
- Fler sektorer[1] klassas som väsentliga och viktiga för samhällets funktionalitet (exempelvis tillverkning av bl.a; medicintekniska produkter; datorer och elektronik; motorfordon och andra transportmedel; samt kemikalie- och livsmedelsproduktion)
- Tämligen höga bötesbelopp införs för de som inte lever upp till kraven (tydligt inspirerade av det som gäller för GDPR)
- Förkortade tidsfrister för rapportering av incidenter (24 timmar i stället för 72 timmar)
- Utökade krav på företag inom de utpekade sektorerna att vidta åtgärder för att hantera risker inklusive i leverantörskedjan, vid förvärv och att ha strategier för användning av kryptering
Vad händer nu?
De nya reglerna börjar tillämpas den 18 oktober 2024 i alla medlemsstater och för att det ska kunna ske behöver den svenska lagstiftningen ses över och uppdateras.
Vad gör Teknikföretagen?
Teknikföretagen har kontinuerlig kontakt med Regeringskansliet och avser adressera frågan om NIS2. Eftersom det är många nya aktörer som berörs samtidigt som direktivet innebär ett flertal ändringar i sak vill Teknikföretagen att regeringen snarast tillsätter en utredning. Genom en utredning ges möjlighet att genomföra en ordentlig analys av situationen och också säkerställa att berörda aktörer ges möjlighet att bidra i arbetet med sin expert- och sakkunskap.
Läs hela direktivet
[1] De sektorer som omfattas av direktivet är i) högkritiska sektorer; energi; transporter; bankverksamhet; finansmarknadsinfrastruktur; hälso- och sjukvårdssektorn; dricksvatten; avloppsvatten; digital infrastruktur; förvaltning av IKT-tjänster (mellan företag); offentlig förvaltning samt rymden och ii) andra kritiska sektorer; post- och budtjänster; avfallshantering; tillverkning, produktion och distribution av kemikalier; produktion, bearbetning och distribution av livsmedel; tillverkning; digitala leverantörer samt forskning.
