Sverige som medlemsstat har misslyckats med att implementera NIS2-direktivet i tid. Den kommande Cybersäkerhetslagen väntas inte börja gälla förrän under 2025, sannolikt närmare ett år försenad. Vad innebär då detta i praktiken för verksamhetsutövare i Sverige?
Innan vi kan reda ut det mer noggrant känns det rimligt att diskutera den genomförandeförordning som kom i slutet av förra året. Detta för att det nu blivit mer tydligt vilken kravnivå som faktiskt gäller.
Vad innebär genomförandeförordningen?
Den 18 oktober 2024 publicerade EU-kommissionen en så kallad genomförandeförordning. Den tydliggör NIS2-direktivets krav på riskhanteringsåtgärder och incidentrapporteringskrav för verksamhetsutövare.
Genomförandeförordningen ska betraktas som en bestående kravbild på efterlevnad av NIS2. Den ska säkerställa att NIS2-direktivet tillämpas på samma sätt i alla medlemsstater.
Nytt med genomförandeförordningen är att den tydligare beskriver tekniska och metodologiska krav på de verksamheter som träffas av NIS2. Listan är omfattande och det är nu tydligare att kravbilden är mycket hög. Omfattande krav på bland annat följande områden återfinns:
- miljömässig och fysisk säkerhet
- förvaltning av tillgångar
- åtkomstkontroll
- personalsäkerhet
- kryptografi
- säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem
Post och telestyrelsen har gjort en bedömning kring vad som gäller för olika slags verksamhetsutövare fram till att NIS2-direktivet är implementerat i svensk rätt. Kan läsas om här: Vad gäller innan NIS2-direktivet har genomförts i svensk rätt?
Här kommer DirSys sammanfattning av bedömningen från PTS.
Vilka behöver redan nu följa genomförandeförordningen?
Fem typer av verksamhetsutövare träffas av genomförandeförordningen och behöver följa den per den 7 november 2024. Dessa är leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av marknadsplatser online och leverantörer av sökmotorer.
Vad gäller för övriga verksamhetsutövare som träffas av NIS-lagen och också av NIS2?
Under övergångsperioden (fram till NIS2-direktivet implementerats i svensk rätt) ska nuvarande bestämmelser i NIS-lagen tolkas i ljuset av den nya EU-lagstiftningen (NIS2-direktivet) för dessa verksamhetsutövare. Vad betyder då det?
NIS2 och genomförandeförordningen beskriver kravbilden på ett betydligt mer utförligt och tydligt sätt än föregångaren NIS. I stället för svepande och tämligen intetsägande formuleringar så som att ”du ska bedriva ett riskbaserat, systematiskt och kontinuerligt informationssäkerhetsarbete” finns nu, i och med genomförandeförordningen, i stället en lista med över 100 kravpunkter att uppfylla.
De som träffades av NIS gjorde sannolikt investeringar för att höja sin förmåga inom det här området. DirSys gör bedömningen att dessa verksamhetsutövare behöver fortsätta investera i rejält med resurser för att upprätta den systematik i informationssäkerhetsarbetet som fordras av att efterleva NIS2. Men för att vara tydliga, så länge NIS2 inte är implementerad i svensk rätt gäller den inte för dessa verksamhetsutövare.
Verksamhetsutövare som träffas av NIS2 men ej av NIS
Dessa verksamhetsutövare omfattas inte av skyldigheter i NIS2-direktivet innan det är implementerat i svensk rätt.
Så vad gäller nu, i väntan på Cybersäkerhetslagen?
Oavsett vilken kategori av nämnda verksamhetsutövare ni tillhör kan vi nu fastslå att genomförandeförordningen (NIS2) förr eller senare ska efterlevas. Att nå upp till den nivån, det vill säga att arbetet bedrivs kontinuerligt, metodiskt och långsiktigt, tar tid. DirSys starka rekommendation är att lägga i en högre växel i arbetet med att upprätta systematiken för att klara övergången till de nya reglerna.
Ledningens förståelse och engagemang behövs förstås, och genom att presentera och förklara genomförandeförordningens omfattande kravlista borde chans finns att öka förståelsen från ledningshåll. Detta bör kombineras med att presentera hur ledningsgruppen kan räkna hem säkerhetsinvesteringar, något du kan läsa mer om här
Har du frågor, funderingar eller vill prata vidare kring Cybersäkerhetslagen? Välkommen att kontakta mig, Filip Gårdelöv.
Författare Filip Gårdelöv,
Konsult informationssäkerhet på DirSys AB
Du når mig på [email protected] eller via LinkedIn.
