Riskhantering: Nytt utkast av NIS 2-direktivet

Publicerat av: Kalle Lindholm ·

NIS 2-direktivet utgör basen för riskhanteringsåtgärder och rapporteringskrav på cyberområdet i alla sektorer som omfattas av direktivet, såsom energisektorn. Syftet med det reviderade direktivet är förbättra resiliensen och incidenthanteringskapaciteten genom att harmonisera de olika medlemsländernas cybersäkerhetskrav och tillämpning av cybersäkerhetsåtgärder. Det nya NIS 2-direktivet ska ersätta nuvarande nät- och informationsregler i NIS-direktivet.

Nytt i NIS 2-direktivet är nya sektorer och verksamheter som omfattas, som exempelvis fjärrvärme och fjärrkyla. Nya cybersäkerhetsskyldigheter och korrigerande åtgärder införs samt högre sanktioner föreskrivs för att säkerställa efterlevnad.

Förändringar i förslaget

Med det nya NIS 2-direktivet införs en storleksbaserad regel. Extra bestämmelser finns för att säkerställa proportionalitet, en högre nivå av riskhantering och tydliga kritikalitetskriterier för fastställande av vilka entiteter som ska omfattas av direktivet.

En frivillig peer learning-mekanism ska öka det ömsesidiga förtroendet och leda till att fler lärdomar dras av god praxis och erfarenheter. Det ska i sin tur bidra till att uppnå en hög gemensam cybersäkerhetsnivå.

Rapporteringsskyldigheterna har förenklats för att undvika överrapportering och onödiga bördor för de entiteter som omfattas av dessa.

Genom direktivet inrättas formellt Europeiska kontaktnätverket för cyberkriser (EU-CyCLONe), som ska bidra till en samordnad hantering av storskaliga cyberincidenter.

Texten i NIS 2-direktivet har anpassats till direktivet om kritiska enheters resiliens (CER-direktivet), i syfte att skapa rättslig klarhet och säkerställa samstämmighet i direktiven.

Läs utkast till direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen – rådets allmänna riktlinje här.

Övergripande synpunkter från Energiföretagen Sverige

Under våren skickade Energiföretagen Sverige och ESG in synpunkter på föreslagna NIS-2 direktivet till Regeringskansliet och hur de påverkar energisektorn baserat på följande huvudprinciper:

  • Antalet anställda som utgångspunkt för krav är alltför trubbigt och skjuter bredvid målet – funktionalitet i energisystemet bör styra. Uppdelningen bör ske med tydliga tröskelvärden som är baserade på den samhällskritiska funktionen och möjlig störning av tjänst snarare än bolagets storlek. Även en uppdelning inom en sektor/energityp bör vara möjlig så att inte alla energileveranser nödvändigtvis hamnar på samma kravnivå, utan att det finns möjlighet att använda kritikaliteten hos den enskilda leveransen att avgöra kravnivån.
  • Extremt stora risker med att samla information om sårbarheter i ett EU-gemensamt register – vi ser orimligheter i förslaget att lämna ut känsliga uppgifter och att skydda konfidentiella uppgifter i ett gemensamt europeiskt register.
  • I nya förslaget finns det mer långtgående krav på incidentrapportering än nuvarande – detta måste vara hanterbart för såväl stora bolag likväl som små energiföretag. Kraven på rapportering kommer att kräva ökade resurser, därför är det viktigt att rapporteringskravet läggs på en rimlig nivå.
  • Förhållandet mellan svenska säkerhetsskyddslagen samt andra legala säkerhetskrav och NIS 2 behöver klargöras av myndigheterna – vi får inte hamna i samma otydlighet som idag huruvida legala krav ska implementeras och dels efterlevas i verksamheterna eller inte. Det ansvaret bör inte läggas på verksamheterna själva.
  • Delegerade akter försvårar nationellt politiskt ansvarstagande – det är viktigt med stark nationell styrning och rätt resurssatta svenska myndigheter för energisektorn.

Nästa steg

Den allmänna riktlinje som man enats om innebär att rådets ordförandeskap kan inleda förhandlingar med Europaparlamentet. Den slutliga texten måste godkännas av både rådet och Europaparlamentet. Medlemsländerna får två år på sig från ikraftträdandet av direktivet för att införliva bestämmelserna i den nationella lagstiftningen.

Snabbfakta i korthet: Vad innebär de nya kraven?

  • Mindre (men inte små/micro-) aktörer ska med
  • Lägre tröskel för ”störning” i tjänsten
  • Systematiska risker tydligare beskrivna, vid sidan av tjänsten
  • Identifiering av IT-produkter och tjänster som behövs för leveransen
  • Krav på leverantörssäkerhet – inkluderar leveranskedjan
  • Användning av kryptering (behovsanpassat)
  • Högre krav på säkerhet och rapportering – minimikrav måste uppfyllas
  • Mer informationsutbyte om aktörerna och incidenter
  • Krav på utbildning och övning för ledningen
  • Ansvar för ledningen vid bristande efterlevnad
  • Högre sanktionsavgift, som GDPR: 10 Miljoner Euro eller 2 procent av den totala omsättningen
  • Tillsynsmyndigheter ska kunna upphäva tillstånd för dem som inte sköter cybersäkerheten – även stänga av bolag och ledning
 

Kontakta mig om du vill veta mer

Emma Johansson

Emma Johansson

Ansvarig säkerhetsfrågor
Enhet: Energisystem
Telefon: 08-677 25 05
E-post: emma.johansson@energiforetagen.se