NIS2-utredningen och ny lag om cybersäkerhet

Den 14 december 2022 antogs två nya EU-direktiv, NIS2-direktivet och CER-direktivet. Utredningen redovisar i detta delbetänkande förslag om införlivning av NIS2-direktivet, och ska i sitt slutbetänkande i september 2024 lämna förslag om implementering av CER-direktivet.

Omfattning inom energisektorn

Den viktigaste skillnaden är att kraven ska gälla för hela verksamheten, inte bara för samhällsviktiga och digitala tjänster.

För enskilda verksamhetsutövare gäller huvudregeln att verksamheten måste sysselsätta minst 50 personer eller ha en årsomsättning som överstiger 10 miljoner euro för att omfattas av lagen. Dock omfattas vissa utpekade enskilda verksamhetsutövare oavsett storlek. Verksamhetsutövare klassificeras som väsentliga inom energisektorn där Myndigheten för samhällsskydd och beredskap (MSB) har möjlighet att peka ut vissa särskilt kritiska mindre verksamheter.

Verksamheter som inte omfattas på grund av storlek kan omfattas om:

1. verksamheten är väsentlig för att upprätthålla kritiska funktioner i samhället och ekonomiska funktioner,
2. en störning kan ha en betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet, folkhälsa eller medföra betydande systemrisker särskilt om det får gränsöverskridande konsekvenser, eller
3. verksamheten är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer som är beroende av denna verksamhet.

Lagen ska gälla i begränsad utsträckning för enskilda verksamhetsutövare som bedriver annan verksamhet tillsammans med säkerhetskänslig verksamhet, där den säkerhetskänsliga delen inte utgör en väsentlig andel. För säkerhetskänslig del av verksamheten gäller endast anmälnings- och uppgiftsskyldighet.

– Det är viktigt med en tydlig cybersäkerhetslag då många störningar kan ge kaskadeffekter i hela samhället. Att skydda kritisk data har de många cyberattackerna mot Sverige visat vikten av. I dagens samhälle är vi beroende av data. Förlorar vi data som är avgörande för leverans av energi, och i återuppbyggnad av ett samhälle som drabbats av krig, minskar vår försvarsförmåga. Det har kriget i Ukraina tydliggjort för utvecklingen av det svenska totalförsvaret, säger Emma Johansson som är säkerhetsansvarig hos Energiföretagen.

Kraven i direktivet kortfattat

Den nya regleringen ställer krav på verksamhetsutövarna. En verksamhetsutövare som omfattas av lagen ska anmäla sig till sin tillsynsmyndighet och lämna uppgifter om bland annat identitet, kontaktuppgift och verksamhet.

Verksamhetsutövare ska vidta riskhanteringsåtgärder för att skydda nätverks- och informationssystem och systemens fysiska miljö mot incidenter. Åtgärderna ska utgå från en riskanalys, vara proportionella i förhållande till risken och ska utvärderas. Det ställs också krav på att verksamhetsutövaren ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete samt krav på att verksamhetens ledning ska genomgå utbildning och att anställda ska erbjudas utbildning.

Dessutom gäller en skyldighet för verksamhetsutövare att rapportera betydande incidenter till MSB i egenskap av CSIRT-enhet (Computer Security Incident Response Team) inom bestämda tidsgränser. Det betyder att en varning ska lämnas inom 24 timmar efter det att verksamhetsutövaren fått kännedom om den betydande incidenten. Vidare ska en incidentanmälan göras inom 72 timmar och en slutrapport inom en månad.

MSB föreslås fortsatt vara CSIRT-enhet och cyberkrishanteringsmyndighet i Sverige. Varje medlemsstat ska även anta en nationell plan för hanteringen av storskaliga cybersäkerhetsincidenter och kriser.

Energimyndighetens tillsyn och sanktioner

Befintlig tillsynsmyndighet, Energimyndigheten, föreslås fortsätta ansvara för energisektorn och utöva tillsyn över att cybersäkerhetslagen och föreskrifter som meddelats i anslutning till lagen följs.

Verksamhetsutövarna ska tillhandahålla tillsynsmyndigheten den information som behövs. Tillsynsmyndigheten får om det finns särskilda skäl ålägga en verksamhetsutövare att på egen bekostnad låta ett oberoende organ utföra en riktad säkerhetsrevision och att redovisa resultatet för tillsynsmyndigheten. Tillsynsmyndigheten får också låta genomföra säkerhetsskanningar hos verksamhetsutövare som omfattas av cybersäkerhetslagen.

Utredningen föreslår att tillsynsmyndigheten ska ingripa mot alla lagöverträdelser. Den ska i vissa särskilda fall ha möjlighet att inte ingripa, till exempel för att inte bryta mot det så kallade dubbelprövningsförbudet. Tillsynsmyndighetens möjligheter att ingripa beror på vilken skyldighet som har överträtts, men består av förelägganden som kan förenas med vite, eller sanktionsavgifter. Sanktionsavgifterna är lägst 5 000 kronor och högst 10 miljoner kronor.

Tillsynsmyndigheten ska även kunna förelägga en verksamhetsutövare att:

1. offentliggöra information om överträdelser av lagens bestämmelser, och
2. informera användare som kan påverkas av ett betydande cyberhot.

Vidare föreslås tillsynsmyndigheten få ansöka hos allmän förvaltningsdomstol om att en person med ledningsansvar hos en väsentlig verksamhetsutövare ska förbjudas att utöva ledningsfunktioner där. Det krävs särskilda omständigheter för ett sådant förbud.

Anmärkning införs som sanktion och ska alltid beslutas vid överträdelser om ingen annan sanktion har använts av tillsynsmyndigheten.

Två webbinarier av Energiföretagen under våren

Under våren (april) erbjuder Energiföretagen två entimmeswebbinarium där Emma Johansson, expert i referensgrupp till utredningen om NIS2- och CER-direktiven, och Anders Åhlgren, sakkunnig i informationssäkerhet, går igenom kommande krav.

Info och anmälan hos Energiföretagen här

Läs här för mer information

Nya regler om cybersäkerhet från regeringens webbplats.

Kommittédirektiv för genomförande av EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och EU:s direktiv om kritiska entiteters motståndskraft.

Tilläggsdirektiv till utredningen om genomförande av EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och EU:s direktiv om kritiska entiteters motståndskraft.