När det gäller anmälningskravet är utgångspunkten att alla företag som omfattas av lagen skyldiga att anmäla sin verksamhet till Myndigheten för civilt försvar (MCF, tidigare MSB). Det kan man som företag göra med start den 2 februari när anmälningsportalen öppnas. På MCF:s hemsida kan man redan idag ladda ner information om vilka uppgifter som behövs i anmälan, så att man kan förbereda sig.
– Den har diskuterats länge och turerna har varit många men nu är den alltså här, vilket innebär att många medlemmar i Teknikföretagen nu får krav kring bland annat riskanalyser och olika säkerhetsåtgärder, säger My Bergdahl, näringspolitisk expert inom standardisering och digital handel.
Någon närmare vägledning om vilka företag som omfattas ger dock inte MCF, utan det är något som varje företag själv måste bedöma utifrån hur lagen är formulerad. I cybersäkerhetslagen anges att företag inom en rad olika sektorer, häribland tillverkningssektorn, omfattas. Som huvudregel omfattas medelstora och stora företag av kraven medan små och mikroföretag alltså inte gör det, men det finns undantag.
My Bergdahl, näringspolitisk expert inom standardisering och digital handel. Fotograf: Viktor Fremling.
De närmare kraven vad gäller de övriga skyldigheterna (bl.a. säkerhetsåtgärder och incidentrapportering) kommer att tydliggöras i föreskrifter. Enligt preliminära besked från MCF kommer föreskrifterna att vara på plats i april (säkerhetsåtgärder) respektive försommar (incidentrapportering).
Således är det fortsatt mycket som är oklart om vad och när man som företag behöver agera kopplat till den nya lagen, men det kommer förhoppningsvis att klarna successivt.
– Mitt råd är att hålla koll på myndigheternas webbsidor och kanske framför allt på MCF:s samlingssida för NIS2, så att du som företag inte missar något, avslutar My Bergdahl.
Läs mer här
Mer om NIS-direktivet
Ny lag om cybersäkerhet från 1 januari 2025
