NIS2-direktivet (Network and Information Systems Directive 2) (NIS2) trädde i kraft den 14 december 2022. Därefter har EU:s medlemsstater haft 21 månader på sig att införliva direktivet i nationell rätt. I Sverige förväntas den nya lagstiftningen börja gälla den 1 januari 2026. Den proposition som enligt tidigare tidplan skulle ha presenterats i maj 2025 har dock ännu inte lagts fram. Förseningen beror på att ett omfattande utredningsarbete fortfarande pågår kring hur det svenska regelverket ska utformas. Flera centrala och komplexa frågor återstår att besvara innan ett färdigt lagförslag kan presenteras och implementeringen slutföras.
Syftet med NIS2-direktivet är att uppnå en hög gemensam nivå på cybersäkerhet – det vill säga nätverks- och informationssäkerhet – inom hela EU. Ett centralt mål är att harmonisera regelverket och minska de rättsliga skillnaderna mellan medlemsstaterna. Jämfört med det tidigare NIS1-direktivet (NIS1) innehåller NIS2 mer detaljerade och skärpta krav, bland annat gällande säkerhetsåtgärder och incidentrapportering. Dessutom utökas tillämpningsområdet avsevärt, då antalet berörda sektorer ökar från sju till arton, vilket innebär att många fler aktörer kommer att omfattas av regleringen.
I Sverige har NIS1-direktivet implementerats genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (”NIS-lagen”). Därtill finns säkerhetsskyddslagen (2018:585) som också ställer krav på robusthet och resiliens, liknande dem som återfinns i NIS-lagen. Till skillnad från NIS-lagen, som har ett unionsrättsligt perspektiv och syftar till att stärka cybersäkerheten inom hela EU, är säkerhetsskyddslagen inriktad på att skydda Sveriges nationella säkerhetsintressen. Den har således ett uttalat nationellt fokus och gäller oberoende av EU-rättsliga harmoniseringssträvanden.
Omfattas mitt företag av NIS2?
För att omfattas av NIS2-direktivet krävs det, som huvudregel, att den juridiska personen uppfyller kriterierna för att klassificeras som ett medelstort företag (250 anställda eller fler och vars årsomsättning överstiger 50 miljoner euro eller vars balansomslutning överstiger 43 miljoner euro på ett år) samt bedriver sådan verksamhet inom någon av de sektorer som anges i bilaga I eller II till direktivet. Bilaga 1 omfattar så kallade högkritiska sektorer och Bilaga II avser andra kritiska sektorer.
Till de högkritiska sektorerna hör energi, transport, bank, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, förvaltning av IKT-tjänster, offentlig förvaltning samt rymden.
De andra kritiska sektorerna inkluderar post- och budtjänster, avfallshantering, tillverkning/produktion/distribution av kemikalier, produktion/bearbetning/distribution av livsmedel, tillverkningsverksamhet, digitala leverantörer samt forskning.
För att fullt ut förstå vilka typer av verksamheter som omfattas krävs en noggrann genomgång av bilagorna till direktivet. Där specificeras sektorerna med hänvisning till andra unionsrättsakter och gällande definitioner enligt dessa.
Som huvudregel klassificeras verksamhetsutövare inom de högkritiska sektorerna som väsentliga entiteter medan verksamhetsutövare inom andra kritiska sektorer kan utgöra antingen väsentliga eller viktiga entiteter. Denna distinktion har betydelse för vilka skyldigheter som gäller enligt direktivet – något som behandlas vidare i den följande delen av artikeln.
Vilka krav ställs på mig som omfattas av NIS2?
Om man kan identifiera sig som en entitet inom NIS2-direktivets tillämpningsområde utgör nästa steg att fastställa vilka konkreta åtgärder som krävs enligt direktivets bestämmelser.
Krav på cybersäkerhetsåtgärder
Artikel 21.2 i NIS2-direktivet anges tio specifika riskhanteringsåtgärder som samtliga omfattande entiteter som minimum ska vidtas. Dessa är:
- Policyer (”strategier”) för riskanalys och informationssystemsäkerhet,
- Incidenthantering,
- Kontinuitetsplanering (”driftskontinuitet”), exv. hantering av säkerhetskopiering och krishantering,
- Säkerhet i leveranskedjan,
- Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inbegripen hantering av sårbarheter samt sårbarhetsinformation,
- Policyer (”strategier”) och metoder (”förfaranden”) för att utvärdera effekten av vidtagna riskhanteringsåtgärder,
- Grundläggande cyberhygien och utbildning i cybersäkerhet,
- Policyer (”strategier”) och processer (”förfaranden”) för användning av kryptografi – och när lämpligt kryptering,
- Personalsäkerhet, åtkomstkontrollspolicyer och resursförvaltning (”tillgångsförvaltning”),
- Användning av flerfaktors- och kontinuerlig autentisering (”multifaktorautentisering”) samt säkrad kommunikations- och nödkommunikationssytem.
I nuläget saknas detaljerad vägledning för en bättre förståelse för kraven avseende respektive riskhanteringsåtgärd. I väntan på vägledning på EU-nivå kan viss vägledning hämtas från nationella föreskrifter, särskilt från Myndigheten för samhällsskydd och beredskap (MSB). Exempelvis innehåller MSBFS 2018:8 om informationssäkerhet för leverantörer av samhällsviktiga tjänster och MSBFS 2020:7 om säkerhetsåtgärder i informationssystem för statliga myndigheter praktisk vägledning kring hur verksamheter kan arbeta med informationssäkerhet i form av processer, policyer och rutiner.
Enligt 5 § MSBFS 2018:8 ska leverantörer bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete med stöd av standarderna ISO 27001 och ISO 27002. Även om det fortfarande saknas exakt vägledning om vad detta innebär i förhållande till NIS2 kan verksamheter som redan arbetar strukturerat med dessa standarder förväntas ha ett försprång i anpassningen till det nya regelverket.
Vidare anges i 2 § 2018:8 att informationssäkerhetsarbetet även ska omfatta den hantering av nätverk och informationssystem som utkontrakteras till en extern aktör. Denna bestämmelse avser alltså säkerheten i leverantörskedjan. Vad man särskilt bör tänka på gällande denna bestämmelse är att parterna på avtalsrättslig väg bör reglera frågor såsom uppföljning av cybersäkerhetsåtgärder, ansvarsfördelning i det systematiska säkerhetsarbetet samt rutiner för incidentrapportering etc.
Krav på rapportering av cyberincidenter och cyberhot
Enligt artikel 23.1 i NIS2-direktivet är både viktiga och väsentliga entiteter skyldiga att utan onödigt dröjsmål rapportera betydande incidenter till sin CSIRT-enhet (Computer Security Incident Response Team) eller till behörig myndighet. I Sverige har denna funktion hittills utförts av CERT-SE, som är en del av Myndigheten för samhällsskydd och beredskap (MSB).
Syftet med rapporteringsskyldigheterna är att begränsa den potentiella spridningen av betydande incidenter, att göra det möjligt för berörd entitet att söka bistånd och att dra lärdomar inför framtida incidenter.
Vad är det då som måste rapporteras? Begreppet ”incident” definieras i artikel 6.6 i NIS2-direktivet som en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem.
För att det ska finnas en skyldighet att rapportera om incidenten så räcker det dock inte med att den uppstått, utan incidenten måste även kunna klassificeras som ”betydande”. Enligt artikel 23.3 i NIS2-direktivet anses en incident vara betydande om:
a) den har orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna eller ekonomiska förluster för den berörda entiteten,
b) den har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.
Indikatorer såsom i vilken utsträckning tjänstens funktion påverkas, hur länge incidenten pågår eller hur många tjänstemottagare som drabbas kan spela en viktig roll när man fastställer om tjänstens driftsstörning är allvarlig.
Vid en betydande incident ska berörd entitet enligt artikel 23.4 i NIS2-direktivet rapportera till myndighet i tre olika steg:
- Tidig varning
Den tidiga varningen ska lämnas utan onödigt dröjsmål och under alla omständigheter inom 24 timmar och bör endast innehålla den information som är nödvändig för att göra myndigheten medveten om den betydande incidenten samt ge den berörda entiteten möjligheten att söka bistånd.
- Incidentanmälan
Incidentanmälan ska lämnas utan onödigt dröjsmål och under alla omständigheter inom 72 timmar i syfte att uppdatera den information som lämnats via den tidiga varningen och göra en inledande bedömning av den betydande incidenten, inbegripet dess allvarlighetsgrad och konsekvenser samt, i förekommande fall, angreppsindikatorer.
Senast en månad efter inlämningen av incidentanmälan ska slutrapport lämnas som ska innehålla en mer detaljerad beskrivning av incidenten, inkluderat dess allvarlighetsgrad och konsekvenser.
Även delrapporter om relevanta statusuppdateringar kan komma att behövas inges på begäran.
Om så är lämpligt ska berörd entitet utan onödigt dröjsmål även meddela mottagarna av deras tjänster om sådana betydande incidenter sannolikt inverkar negativt på tillhandahållandet av tjänsterna. Berörd entitet ska dessutom i vissa fall utan onödigt dröjsmål underrätta mottagarna om betydande cyberhot i enlighet med artikel 23.2 NIS2-direktivet.
I artikel 6.10 NIS2-direktivet definieras ”cyberhot” på samma sätt som i artikel 2.8 i förordning (EU) 2019/881 (Cybersäkerhetsakten) som en potentiell omständighet, händelse eller handling som kan skada, störa eller på annat negativt sätt påverka nätverks- och informationssystem, användare dessa system och andra personer. ”Betydande cyberhot” definieras i artikel 6.11 NIS2-direktivet som ett cyberhot som, på grund av dess tekniska egenskaper, kan antas ha potential att ha en allvarlig påverkan på en entitets nätverks- och informationssystem eller användarna av entitetens tjänster genom att vålla betydande materiell eller immateriell skada.
Den huvudsakliga skillnaden mellan en incident och ett cyberhot är att ett cyberhot inte förutsätter att någon skada faktiskt har uppstått, utan att det endast föreligger ett hot om att en sådan skada ska inträffa.
Som jag nu nämnt så finns det två olika typer av rapporteringsskyldighet:
1. skyldigheten att rapportera till MSB samt
2. skyldigheten att underrätta sina tjänstemottagare.
Myndighetsrapportering är endast tillämplig vid betydande incidenter medan mottagarrapportering kan vara tillämplig både vid betydande incidenter och betydande cyberhot.
Alltså, både vid betydande incidenter och betydande cyberhot kan det bli aktuellt att utan onödigt dröjsmål underrätta mottagaren av tjänsten, men vem är då mottagare? Då detta begrepp inte definieras i NIS2-direktivet måste en bedömning göras i varje enskilt fall. Formuleringen ”som sannolikt inverkar på tillhandahållandet av tjänsten” i artikel 23.1 i NIS2-direktivet bör tolkas som att underrättelsen vid betydande incidenter ska göras till alla tjänstemottagare i alla led i kedjan. Underrättelsen vid betydande incidenter bör således omfatta en vidare krets av mottagare än den krets av mottagare som ska underrättas vid betydande cyberhot då formuleringen ovan skiljer sig åt jämfört med formuleringen ”de mottagare av deras tjänster som kan påverkas” i andra punkten artikel 23 NIS2-direktivet. Vi saknar dock vidare vägledning i hur formuleringarna ska tolkas men hänsyn ska även tas till den berörda entitetens faktiska möjlighet att uppfylla sin skyldighet att underrätta mottagarna av deras tjänster.
Ytterligare ett krav för att vara skyldig att underrätta mottagare av sina tjänster om betydande incident är att sådan underrättelse är lämplig. En bedömning ska göras i varje enskilt fall. I dagsläget saknas det dock både definition och vägledning av vad som ska anses vara lämpligt och hur bedömningen ska göras.
Vad underrättelsen av betydande incident ska innehålla förklaras inte vidare i NIS2-direktivet. Däremot klargörs att underrättelsen av betydande cyberhot ska innehålla eventuella åtgärder eller avhjälpande arrangemang som mottagarna kan vidta för att begränsa de risker som följer av ett betydande cyberhot.
Vad händer om jag som företag inte efterlever kraven som åligger mig enligt NIS2-direktivet?
För att säkerställa att NIS2-direktivet ska få genomslag och tillämpas enhetligt inom hela EU innehåller direktivet detaljerade krav på hur medlemsstaterna ska organisera tillsynen över de entiteter som omfattas. Tillsynen ska utföras av behöriga myndigheter som varje medlemsstat är skyldiga att utse. Vilka svenska myndigheter som kommer att ansvara för tillsyn över respektive sektorer och entitetstyper är i skrivande stund ännu inte slutgiltigt fastställt. Det står dock klart att direktivet skiljer mellan väsentliga och viktiga entiteter vad gäller tillsynens omfattning och former. Enligt artikel 32 i NIS2-direktivet får tillsynsmyndigheterna utöva mer ingripande kontroll av väsentliga entiteter, inklusive möjligheten att genomföra oannonserade platsrevisioner (ad hoc-revisioner). För viktiga entiteter är tillsynsmöjligheterna mer begränsade då det exempelvis inte är möjligt att utföra ad-hoc revisioner enligt artikel 33 i NIS2-direktivet. Det är viktigt att notera att de uppräknade tillsynsbefogenheterna i artiklarna 32 och 33 inte är uttömmande, utan utgör minimikrav. Medlemsstaterna kan alltså införa ytterligare befogenheter eller verktyg för tillsyn.
För att säkerställa efterlevnad innehåller NIS2-direktivet också krav på att tillsynsmyndigheterna ska ha möjlighet att vidta effektiva sanktioner vid överträdelser. Enligt artikel 32 i NIS2-direktivet kan dessa innefatta varningar och förelägganden samt påförande av administrativa sanktionsavgifter. De administrativa sanktionerna ska vara effektiva, proportionella och avskräckande. De administrativa sanktionsavgifterna vid bristande regelefterlevnad för väsentliga enheter kan komma att uppgå till högst 10 000 000 EUR eller 2 % av den totala globala årsomsättningen, och för viktiga enheter 7 000 000 EUR eller högst 1,4 % av den totala globala årsomsättningen beroende på omständigheterna i det enskilda fallet i enlighet med artikel 34.4 och 34.5 i NIS2-direktivet.
Som tidigare nämnts gör NIS2-direktivet en tydlig åtskillnad mellan väsentliga och viktiga entiteter, vilket framför allt märks i omfattningen av tillsyn och sanktionsmöjligheter. Väsentliga entiteter omfattas av en strängare reglering, vilket avspeglas i mer omfattande tillsynsbefogenheter för myndigheterna och högre sanktionsnivåer vid bristande efterlevnad.
En särskilt långtgående sanktionsmöjlighet riktas mot individnivå. Utöver administrativa åtgärder och sanktionsavgifter mot den juridiska personen, möjliggör artikel 32.5 b i NIS2-direktivet att sanktioner kan riktas direkt mot dess legala ställföreträdare. Om en väsentlig entitet underlåter att vidta tidigare förelagda åtgärder inom föreskriven tid, får den behöriga myndigheten begära att en domstol meddelar ett tillfälligt förbud för varje fysisk person som på nivån för verkställande direktör har ledningsansvar i den väsentliga entiteten att utöva ledningsfunktion i den aktuella enheten. Det saknas dock en närmare definition av vad som avses med begreppet legal ställföreträdare, vilket kan skapa osäkerhet kring dess exakta innebörd men det vi vet i skrivande stund är att behörig myndighet kan komma att besluta att personer inte får utföra sitt ledningsuppdrag i de fall tidigare begärda åtgärder inte har vidtagits. Det personliga ansvaret är en långtgående sanktion och bör användas först när samtliga övriga tillsynsåtgärder visat sig verkningslösa.
Avslutande reflektion
Genom tydliga krav på säkerhetsåtgärder, rapporteringsskyldighet och skärpt tillsyn stärker NIS2-direktivet den gemensamma motståndskraften mot cyberhot i ett alltmer digitaliserat samhälle. För svenska verksamheter som omfattas av NIS2-regleringen innebär detta både ett utökat ansvar och ett krav på att granska och justera sina interna processer, styrdokument och leverantörsavtal. Det är avgörande att redan nu vidta åtgärder för att säkerställa efterlevnad av NIS2-direktivet, inte minst med tanke på de kännbara sanktioner som kan bli aktuella vid bristande regelefterlevnad, både för juridiska personer och för fysiska personer.
Behöver ni hjälp att komma igång eller uppdatera er verksamhet kring detta? Tveka inte på att höra av er.
Freja Partner genom
Zandra Larsen, jurist och dataskyddssamordnare
