NIS-direktivet ses över – fler sektorer omfattas

SolarWinds, Addtech, Maersk, Serviceföretaget ISS, SVT och Norsk Hydro är bara några exempel på företag som nyligen drabbats av cyberattacker. Dagligen drabbas företag, organisationer och offentliga verksamheter och kostnaderna för att hantera dessa attacker och de skador dessa åstadkommer ökar kraftigt. Även antalet cyberattacker ökar lavinartat och ändrar ständigt karaktär.

– Alltför många underskattar risken att drabbas av en cyberattack och de skadeeffekter en sådan kan åstadkomma. Energisektorn, som alla andra, måste ta dessa frågor på största allvar och stärka sin beredskap ytterligare, säger Emma Johansson, ansvarig för säkerhetsfrågor på Energiföretagen Sverige.

NIS 2 presenterat

Den 16 december 2020 presenterade kommissionen det nu aktuella förslaget om reviderat NIS-direktiv. Förslaget utgör en del i ett paket av åtgärder som syftar till att ytterligare förbättra resiliensen både i den digitala och fysiska infrastrukturen hos den offentliga och privata sektorn, behöriga myndigheter och unionen i dess helhet. Resiliens betyder ordagrant förmågan att återhämta sig eller motstå olika störningar.

Som ett led i EU:s nya cybersäkerhetsstrategi för ett digitalt decennium (The EU’s Cybersecurity Strategy for the Digital Decade) har EU-kommissionen även antagit ett förslag till direktiv om motståndskraft hos kritiska enheter.

– Detta är i linje med kommissionens prioriteringar om att skapa ett Europa rustat för den digitala tidsåldern (Europe fit for the digital age), som ska se till att den digitala omställningen fungerar för både enskilda och företag, fortsätter Emma Johansson.

Kretsen som berörs av NIS utökas

Nytt kring NIS-direktivet är främst: 

1) Fler sektorer omfattas

• El – Elproducenter, marknadsaktörer, övriga deltagare och reserver omfattas
• Fjärrvärme och fjärrkyla blir egen undersektor
• Vätgas blir egen undersektor
• Olja – ingen större skillnad från idag
• Gas – omfattar nu explicit LNG, marknadsaktörer och bio

2) Krav på utbildning och övning för ledningen hos aktörerna

3) Högre sanktionsavgift vid bristande informationssäkerhet

Syftet med det nya förslaget är att tillämpa enhetlig strategi för att identifiera kritiska entiteter och samtidigt ta hänsyn till särdrag på nationell nivå. Det kan gälla olika nivåer av riskexponering och ömsesidigt beroende mellan sektorer och över gränser.

För åtgärder som görs mot det ökade cybersäkerhetshotet är det av vikt att de står i proportion till behovet och att det ger ett tydligt mervärde. Krav för att uppnå ökad skyddsnivå ska stå i proportion till ökade risker. Kostnaderna för ett systematiskt säkerhetsarbete lär öka även om kostnaderna är små jämfört med ekonomi- och samhällsförluster som en cybersäkerhetsincident kan få.

Branschens mål är att öka kunskap och förmåga att upptäcka incidenter och attacker, samt att vidta effektiva och proaktiva skyddsåtgärder i verksamheten.

Vad händer nu?

Kommissionens förslag till reviderat NIS-direktiv ska i nästa steg förhandlas med ministerrådet och Europaparlamentet. I skrivande stund går det inte att säga när förhandlingarna startar eller hur länge de beräknas pågå. När förhandlingarna avslutats mellan institutionerna i Bryssel har medlemsstaterna 18 månader på sig att genomföra förändringarna i nationella regelverk. Energiföretagen följer förhandlingarna i EU och försöker vid behov påverka utfallet. Mer information följer, när vi vet mer.

Läs mer om NIS 2 på EU-kommissionens webbplats

Läs mer om NIS på Energimyndighetens webbplats