Sverige får ny cybersäkerhetslag – börjar gälla efter årsskiftet

2022 antog EU det så kallade NIS 2-direktivet som är ett direktiv om åtgärder för en hög EU-gemensam cybersäkerhetsnivå. För att genomföra direktivet i Sverige föreslår regeringen en ny cybersäkerhetslag.   

Lagen innebär att företag som omfattas måste införa en rad åtgärder för att skydda nätverks- och informationssystem samt att de måste rapportera betydande incidenter till MSB (Myndigheten för säkerhet och beredskap) inom 24 timmar. De som inte följer kraven kan bli föremål för tillsyn och sanktioner i form av böter med upp till 10 miljoner kronor eller 2 procent av omsättningen. 

Lagen gäller som huvudregel för företag med minst 50 anställda eller över 10 miljoner euro i omsättning. Men vissa mindre företag kan ändå omfattas om de uppfyller vissa kriterier:  

• Verksamhetsutövaren är den enda leverantören av en tjänst i Sverige som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet,  
• En störning av den tjänst som verksamhetsutövaren tillhandahåller kan ha en betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet eller folkhälsa eller kan medföra betydande systemrisker.  
• Verksamhetsutövaren har särskild betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst eller för andra sektorer som är beroende av verksamhetsutövaren. 
• Verksamhetsutövaren tillhandahåller betrodda tjänster. 

– Det innebär att du som medlemsföretag måste själv bedöma om du omfattas och anmäla dig till Energimyndigheten. Vi på Energiföretagen erbjuder stödmaterial och utbildningar för att hjälpa medlemsföretag att förstå och uppfylla lagens krav, säger Emma Johansson. 

Läs mer om NIS-direktivet här.  

Anmälan till Energiföretagen Sveriges webbinarium om NIS2 hittar du här.