>
Start Aktuellt

Relaterade personer

David Klose

Simon Wilkens

Relaterade verksamhetsområden

Cybersäkerhet och integritet

11 december 2024 · Artikel

Är din verksamhet redo för framtidens cybersäkerhetskrav (NIS2)?

MSB rapporterade under våren att antalet IT-incidenter i Sverige ökade kraftigt under 2023, med en markant ökning av just cyberangrepp. Den snabba digitala omställningen och ökade sammankopplingen har gjort nätverks- och informationssystem centrala i våra liv. Samtidigt har det medfört en bredare hotbild och nya utmaningar – något som kräver innovativa lösningar. För att möta dessa utmaningar har EU infört NIS2-direktivet, som genom cybersäkerhetslagen börjar gälla under 2025 och omfattar de flesta offentliga aktörer och många företag. Vad innebär regelverket, och vilka huvudaspekter bör verksamheter fokusera på för att säkerställa efterlevnad och stärkt cybersäkerhet?

Vad är NIS2/cybersäkerhetslagen?

NIS2 antogs 2022 och utvidgar det tidigare NIS-direktivets säkerhetskrav till fler sektorer. De nya reglerna syftar till att förbättra den inre marknadens funktion genom att fastställa åtgärder för att uppnå en hög gemensam cybersäkerhetsnivå inom unionen.

Det finns två väsentliga skillnader mellan den nuvarande lagstiftningen och det föreslagna regelverket. Cybersäkerhetslagen föreslås, som nämnt ovan, omfatta betydligt fler aktörer, med en utökning från sju till 18 sektorer. Dessutom kommer kraven att gälla för hela verksamheten, inte bara för samhällsviktiga och digitala tjänster. Dessa förändringar innebär flera betydande justeringar som verksamheter måste förbereda sig för.

Vilka verksamheter omfattas?

Cybersäkerhetslagen delar upp sektorerna i väsentliga och viktiga verksamhetsutövare. Reglerna är i huvudsak lika för båda typerna av verksamheter, men sanktioner och tillsyn skiljer sig åt beroende på verksamhetens klassificering. Exempel på nya sektorer som berörs av den nya lagen är:

  • Avloppsvatten
  • Bankverksamhet
  • Digital infrastruktur 
  • Energi
  • Forskning
  • Förvaltning av IKT-tjänster (mellan företag)
  • Hälso- och sjukvårdssektorn
  • Offentlig förvaltning
  • Post- och budtjänster
  • Rymden

Den som bedriver verksamhet inom någon av sektorerna omfattas som utgångspunkt av kraven i cybersäkerhetsregleringen, vilket gäller för såväl offentliga som enskilda verksamhetsutövare.

I och med att den offentliga förvaltningen är en helt egen sektor omfattas nästan hela den offentliga sektorn av lagens krav. Undantagna från lagen är bland annat regeringen och domstolar samt ett antal myndigheter som huvudsakligen bedriver säkerhetskänslig verksamhet eller brottsbekämpning.

För enskilda verksamhetsutövare finns generellt sett ett storlekskrav, vilket innebär att verksamheten måste ha minst 50 anställda eller en årsomsättning som överstiger 10 miljoner euro för att omfattas av lagen. Detta innebär att små företag vanligtvis inte påverkas. Dock omfattas myndigheter, med vissa undantag, samt vissa särskilt utpekade enskilda verksamhetsutövare av lagen oavsett storlek.

Vid bedömningen av storlek mäts antalet anställda samt omsättning eller balansomslutning. Det är inte enbart det enskilda bolagets storlek som ska beaktas, utan även så kallade anknutna företag och partnerföretag ska räknas in. Definitionen av anknutna företag liknar aktiebolagslagens definition av koncern. Partnerföretag är företag som inte är anknutna, men som har minst 25 procent kapital- eller röstandel i ett annat företag, eller omvänt. Detta innebär att företag som inte uppfyller storlekskravet som enskild juridisk person kan göra det genom sitt samband med exempelvis ett moderbolag.

Vilka krav ställs på verksamhetsutövare?

Regelverket ställer flera krav på verksamhetsutövare. Kraven är delvis nya eller förtydligade jämfört med nuvarande lagstiftning. 

Några av de viktigaste kraven som verksamheter måste följa är:

  • Verksamhetsutövaren måste anmäla sig till sin tillsynsmyndighet, vilken varierar beroende på verksamhet, och lämna uppgifter om bland annat identitet kontaktuppgift och verksamhet. 
  • Verksamhetsutövaren ska även vidta proportionella riskhanteringsåtgärder baserat på en riskanalys. Vid bedömningen av åtgärdernas proportionalitet ska särskild hänsyn tas till riskexponering, sannolikheten för att incidenter inträffar och dess allvarlighetsgrad, inbegripet konsekvenser. 
  • Ledningen ska genomgå utbildning och övriga anställda ska erbjudas utbildning.
  • Verksamhetsutövare måste bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. 
  • Cybersäkerhetslagen pekar ut särskilda delar som åtgärderna ska innefatta, bland annat kontinuitetshantering, säkerhet i leveranskedjan och personalsäkerhet.
  • Betydande incidenter ska rapporteras till MSB inom 24 timmar efter det att verksamhetsutövaren fått kännedom om incidenten. En incidentanmälan ska göras inom 72 timmar och en slutrapport inom en månad. 

Det är viktigt att notera att dessa krav gäller för hela verksamheten, inte bara för samhällsviktiga och digitala tjänster som tidigare.

Tillsyn och sanktioner

Beroende på vilken typ av verksamhet som bedrivs, finns det olika tillsynsmyndigheter som ansvarar för övervakningen. Exempelvis utövar Inspektionen för vård och omsorg (”IVO”) tillsyn över hälso- och sjukvårdssektorn och Länsstyrelsen över sektorn offentlig förvaltning.

Vidare, tillsynen varierar beroende på om verksamheten klassificeras som väsentlig eller viktig. För väsentliga verksamhetsutövare ska den ansvariga tillsynsmyndigheten utöva kontinuerlig tillsyn för att säkerställa att cybersäkerhetslagen och tillhörande föreskrifter efterlevs. För viktiga verksamhetsutövare får den behöriga tillsynsmyndigheten endast vidta tillsynsåtgärder när det finns befogad anledning att anta att regelverket inte följs.

Vad gäller sanktioner föreslår utredningen att cybersäkerhetslagen ska ge tillsynsmyndigheterna möjlighet att utfärda sanktionsavgifter på upp till 10 miljoner euro eller 2 % av den totala globala årsomsättningen för väsentliga verksamhetsutövare. För viktiga verksamhetsutövare föreslås sanktionsavgifter på högst 7 miljoner euro eller 1,4 % av den totala globala årsomsättningen. Sanktionsavgiften för offentliga verksamhetsutövare föreslås vara högst 10 miljoner kronor.

Praktiska steg för att förbereda sin verksamhet

Som tidigare nämnt ställer cybersäkerhetslagen krav på aktivt informationssäkerhetsarbete, men även på hur verksamheter arbetar med avtal, kontroll av leveranskedjan och incidenthantering. Här är därför några viktiga punkter att ha i åtanke:

  • Lämpliga riskhanteringsåtgärder: Olika regler ställer olika krav; lägg skyddet på högsta tillämpliga nivå. 
  • Dokumentation: Dokumentera vad som görs och hur incidenter hanteras. Glöm inte att följa upp!
  • Top-down approach: Säkerställ att ledningen styr och kontrollerar informationssäkerhetsarbetet.
  • Leverantörskedjan: Analysera både leverantörer och avtal noggrant. Det kommer att ställas krav på att cybersäkerhet ska inkluderas i leverantörsavtalen, vilket innebär att både befintliga och nya avtal måste granskas och anpassas för att uppfylla dessa krav. Notera att varje verksamhetsutövare ansvarar för ett led i leveranskedjan.

Skydda och säkerställ förtroende!

Med införandet av NIS2-direktivet genom cybersäkerhetslagen, som utvidgar säkerhetskraven till fler sektorer och omfattar hela verksamheter, blir det avgörande för företag och organisationer att vara väl förberedda. Genom att implementera riskhanteringsåtgärder, utbilda personal och säkerställa en systematisk informationssäkerhet kan verksamheter skydda sig mot hot och upprätthålla förtroendet hos kunder och samarbetspartners. Att vara proaktiv och följa de nya kraven är avgörande för att stå stark i en digitaliserad värld. 

Relaterat

9 april 2025 · Artikel, Nyhet

EU:s sextonde sanktionspaket och ny lag om internationella sanktioner – Kraven på företagen ökar

På treårsdagen av Rysslands fullskaliga invasion av Ukraina antog EU sitt sextonde sanktionspaket mot Ryssland. Under de tre år som gått har omfattande sanktioner och utökade exportkontroller införts. Skärpta straff…
9 april 2025 · Artikel, Nyhet

Strandskyddet reformeras – vad innebär det för dig?

Regeringen har presenterat proposition 2024/25:102, som innebär stora förändringar i strandskyddsreglerna. Framför allt föreslås att det generella strandskyddet slopas vid små insjöar och smala vattendrag, vilket kan få betydande konsekvenser…
9 april 2025 · Artikel, Nyhet

Byggherrens ansvar för arbetsmiljön – vad du behöver veta om de nya reglerna

Från och med den 1 januari 2025 gäller nya arbetsmiljöföreskrifter, AFS 2023:3. Dessa regler skärper byggherrens ansvar och tydliggör arbetsmiljökraven under hela byggprocessen. Här går vi igenom de viktigaste förändringarna…

För att du ska kunna ta del av hemsidans funktioner och information använder vi cookies. En cookie är en textfil som sparas på din enhet. Vi använder endast de cookies som är absolut nödvändiga för att hemsidan ska fungera korrekt och det går inte att stänga av dem. Om du vill ha mer information kan du läsa mer här: Cookie policy

Moll Wendén Advokatbyrå
Stortorget 8 SE-211 34 Malmö Sweden
+46 40 665 65 00 / info@mollwenden.se

Org. nr 556648-7939
Momsnummer SE556648793901


Prenumerera på nyhetsbrev

Registrera dig här

Alla rättigheter förbehållna Moll Wendén Advokatbyrå AB