Det här är NIS2-direktivet
NIS2-direktivet syftar till att uppnå en hög gemensam cybersäkerhetsnivå i hela unionen. Jämfört med NIS ställs tydligare krav på bland annat riskanalyser och olika säkerhetsåtgärder. Många fler organisationer kommer också att omfattas. NIS2-direktivet kommer att genomföras i Sverige genom en lag som börjar gälla tidigast under sommaren 2025.
NIS2 ställer tydligare krav på bland annat riskanalyser och olika säkerhetsåtgärder. Direktivet ställer även ökade krav på ledningens deltagande i organisationens cybersäkerhetsarbete. NIS2 innebär också att betydligt fler sektorer omfattas av lagstiftningen jämfört med NIS. Av den anledningen tillkommer fler tillsynsmyndigheter. Sanktionsavgifterna blir även högre än idag i det fall kraven inte efterlevs.
NIS2-direktivet beslutades av EU i december 2022 och ersätter det NIS-direktiv som började gälla 2018 genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS).
NIS2-direktivet ska införas i svensk lagstiftning. Just nu pågår en process för att utreda frågor kring regler, men vi saknar fortfarande exakta svar.
En statlig utredning, SOU 2024:18, har lämnat förslag på hur regleringen ska utformas, berörda aktörer har också fått möjlighet att lämna synpunkter på förslaget genom en remiss. Regeringskansliet väntas lämna proposition under våren 2025.
Ansvarsfördelning för NIS2
Den som omfattas av NIS2 kallas verksamhetsutövare. Verksamhetsutövarna finns i 18 olika sektorer. De exakta kriterierna för vilka som ska omfattas i Sverige är inte klara ännu.
För varje sektor ansvarar en eller flera tillsynsmyndigheter för vägledning och tillsyn. Tillsynsmyndigheterna har också rätt att utfärda föreskrifter som reglerar kraven i respektive sektor.
MSB har ett samordningsansvar, på nationell nivå i Sverige gentemot tillsynsmyndigheter och verksamhetsutövare, och på EU-nivå som kontaktpunkt för samarbete med andra medlemsstater. MSB har också i uppdrag att utfärda föreskrifter när det gäller vissa gemensamma aspekter av kravställningen för dem som omfattas. Enligt utredningens förslag kommer MSB att ha en liknande roll för NIS2.
Uppgifter om ni omfattas av NIS2
Den som är verksamhetsutövare enligt NIS2 har i huvudsak följande uppgifter:
- Identifiera att man omfattas och anmäla sig.
- Etablera/upprätthålla ett systematiskt arbete med informationssäkerhet, införa lämpliga säkerhetsåtgärder och utbilda ledning såväl som personal.
- Rapportera in incidenter som medför eller kan medföra betydande störningar.
Verksamhetsutövaren berörs också av tillsyn från tillsynsmyndigheten för den sektor eller de sektorer där man omfattas.
Läs mer om NIS2 för verksamheter
Frågor och svar om NIS-regleringen
Webbinarium med frågor och svar
Den 18 juni genomfördes ett webbinarium med några av de vanligaste frågorna MSB får till sig, där Martin Snygg, handläggare vid enheten för strategi och samordning på MSB, svarade på vad vi vet, vad vi inte vet och hur man kan förbereda sig inför det som komma skall.
Frågestunden börjar en minut in i filmen. Se det i efterhand här (textad version):
CER
Samtidigt som beslutet om NIS2-direktivet kom fattades även beslut om direktivet om kritiska entiteters motståndskraft, CER. I direktivet ställs krav på all annan verksamhet som måste kunna upprätthållas vid olika typer av störningar. Det kan handla om skydd av fysisk säkerhet som exempelvis lokaler och anläggningar och att rätt personer har åtkomst till dessa.
Läs mer på MSB:s sida om CER-direktivet
Kontakt
Vid frågor till MSB om NIS2/CER-direktiven mejla gärna till NIS2-CER@msb.se.