Den 11 december utfärdade regeringen den nya cybersäkerhetslagen och beslutade om en ny cybersäkerhetsförordning som genomför EU:s NIS2-direktiv. Lagen trädde i kraft den 15 januari och kommer att omfatta merparten av den offentliga sektorn samt många privata aktörer.
Den snabba digitala omställningen har gjort nätverks- och informationssystem till en central del av vårt dagliga liv, men också skapat nya cybersäkerhetshot. Myndigheten för civilt försvars årsredovisning av IT-incidentrapporter för 2024, som presenterades i våras, visar att IT-incidenter fortsatt är ett allvarligt problem för svenska organisationer. Hotbilden har dock förändrats jämfört med 2023 – färre överbelastningsangrepp men fler leveranskedjeincidenter, samt fortsatt många incidenter orsakade av misstag och systemfel.
Vad är NIS2 och cybersäkerhetslagen?
NIS2 antogs 2022 och utvidgar det tidigare NIS-direktivets säkerhetskrav till fler sektorer. De nya reglerna syftar till att förbättra den inre marknadens funktion genom att fastställa åtgärder för att uppnå en hög gemensam cybersäkerhetsnivå inom unionen.
Förutom att omfatta betydligt fler aktörer gäller lagkraven för hela verksamheten och inte enbart för samhällsviktiga och digitala tjänster.
Vilka verksamheter omfattas?
Cybersäkerhetslagen delar in sektorerna i väsentliga och viktiga verksamhetsutövare. Reglerna är i huvudsak lika, men skiljer sig åt när det gäller sanktioner och tillsyn. Nya sektorer som omfattas är bland annat bankverksamhet, digital infrastruktur och offentlig förvaltning.
Den som bedriver verksamhet inom någon av de utpekade sektorerna omfattas som utgångspunkt av kraven i cybersäkerhetsregleringen. Detta gäller såväl offentliga som enskilda verksamhetsutövare. Nästan hela den offentliga sektorn omfattas av lagens krav. Undantagna är dock bland annat regeringen, domstolar samt vissa myndigheter som huvudsakligen bedriver säkerhetskänslig verksamhet eller brottsbekämpning.
För enskilda verksamhetsutövare gäller generellt ett storlekskrav om minst 50 anställda eller en årsomsättning över 10 miljoner euro. Myndigheter och vissa särskilt utpekade verksamheter omfattas dock oavsett storlek. Vid bedömningen av storlek ska även anknutna företag och partnerföretag räknas in, vilket innebär att företag kan omfattas genom sitt samband med exempelvis ett moderbolag.
Vilka krav ställs på verksamhetsutövare?
Regelverket ställer flera nya eller förtydligade krav på verksamhetsutövare. Några av de viktigaste kraven är följande:
• Verksamhetsutövaren ska anmäla sig till ansvarig tillsynsmyndighet med uppgifter om identitet, kontaktuppgifter och verksamhet.
• Proportionella riskhanteringsåtgärder ska vidtas baserat på riskanalys, med hänsyn till riskexponering, sannolikhet och allvarlighetsgrad.
• Ett systematiskt och riskbaserat informationssäkerhetsarbete ska bedrivas och omfatta hela verksamheten – inte enbart samhällsviktiga och digitala tjänster.
Tillsyn och sanktioner
Olika tillsynsmyndigheter ansvarar för övervakningen beroende på verksamhetstyp, exempelvis Inspektionen för vård och omsorg för hälso- och sjukvård samt Finansinspektionen för bankverksamhet och finansmarknadsinfrastruktur.
För väsentliga verksamhetsutövare ska tillsynsmyndigheten utöva kontinuerlig tillsyn. För viktiga verksamhetsutövare får tillsynsåtgärder vidtas endast om det finns befogad anledning att anta att regelverket inte följs.
Sanktionsavgifter för överträdelser kan uppgå till 10 miljoner euro eller 2 procent av den globala årsomsättningen för väsentliga verksamhetsutövare, samt till 7 miljoner euro eller 1,4 procent för viktiga verksamhetsutövare. För offentliga verksamhetsutövare är sanktionsavgiften högst 10 miljoner kronor.
Praktiska steg för att förbereda verksamheten
Cybersäkerhetslagen ställer omfattande krav på verksamheter – från informationssäkerhetsarbete och avtalshantering till leveranskedjekontroll och incidenthantering. Det är därför viktigt att säkerställa bland annat följande:
• Riskhanteringsåtgärder: Olika regelverk ställer olika krav. Skyddsåtgärder bör därför anpassas till den högsta tillämpliga nivån.
• Dokumentation: Dokumentera vidtagna åtgärder och hur incidenter hanteras, samt följ upp arbetet löpande.
• Styrning och ansvar: Säkerställ att ledningen styr och följer upp informationssäkerhetsarbetet.
• Leverantörskedjan: Granska leverantörer och avtal noggrant. Lagen skärper kraven på kontroll av leverantörer och underleverantörer, och varje verksamhetsutövare ansvarar för säkerheten genom hela leveranskedjan.
Genom att vidta lämpliga riskhanteringsåtgärder, utbilda personal och arbeta systematiskt med informationssäkerhet kan verksamheter minska sin sårbarhet och uppfylla de nya kraven.
Om du har frågor om regelverket eller vill diskutera hur din verksamhet påverkas är du välkommen att kontakta Moll Wendéns specialistgrupp inom cybersäkerhet.