Cybersäkerhetslagen – ny svensk lag för införlivningen av NIS2. Vilka förtydliganden har gjorts kring vilka som omfattas av lagen? Och vilka krav ställs på dig som verksamhetsutövare? Det tar vi reda på i dagens blogginlägg.
Bakgrund till nya Cybersäkerhetslagen
De senaste åren har det skett en stor förändring när det kommer till hur hotaktörer arbetar. På grund av den digitala utvecklingen utnyttjar de nu organisationers brister för att komma åt eller förstöra viktig information.
För att skapa en mer enhetlig nivå för information- och cybersäkerhet över medlemsstaterna har därför EU tagit fram NIS2-direktivet. Direktivet införlivas i svensk rätt genom den nya cybersäkerhetslagen.
Vad är Cybersäkerhetslagen?
EU:s nya direktiv, NIS2-direktivet införlivas nu i svensk rätt. Den 5:e mars föreslogs i ett delbetänkande att NIS2 ska införlivas genom en ny svensk lag, Cybersäkerhetslagen. Den nya lagen ersätter den tidigare NIS-lagen och ambitionen är att den ska träda i kraft efter våren 2025.
Delbetänkandet har förtydligat vissa frågetecken kring hur NIS2 kommer att införlivas i svensk rätt. Vi går igenom några av de viktigaste punkterna här nedan.
Hela organisationen omfattas
Cybersäkerhetslagen utökar antalet sektorer som omfattas från sju till 18, vilket innebär att fler aktörer nu kommer att omfattas.
En stor fråga inför den nya lagen har varit om hela verksamheten kommer omfattas eller inte. Tidigare omfattades endast samhällsviktiga och digitala tjänster. Men eftersom nätverks- och informationssystem ofta är sammankopplade inom hela verksamheten, påverkar incidenter inom en del av verksamheten andra delar. Detta har lett till gränsdragningsproblem om bara en del av verksamheten ska omfattas. Därför gäller Cybersäkerhetslagen för hela verksamheten.
Tydliggörande om vilka som omfattas av Cybersäkerhetslagen
Många har väntat på ett förtydligande kring hur NIS2 kommer beröra offentlig sektor i Sverige. I förslaget till Cybersäkerhetslagen klargörs det nu att nästan hela den offentliga sektorn omfattas. Det innebär att myndigheter, regioner och kommuner omfattas. Utredningen klargör även att lärosäten med examenstillstånd ska omfattas av cybersäkerhetslagen.
Det finns dock några undantag. Dessa är regeringen, Riksrevisionen, Riksdagens ombudsmän, Sveriges Riksbank, Riksdagsförvaltningen, domstolar, regionfullmäktige i varje region och kommunfullmäktige.
Krav på systematiskt informationssäkerhetsarbete
Det finns även en egen bestämmelse som säger att verksamhetsutövaren ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete. Detta innebär att organisationer behöver skydda uppgifter som lagras, behandlas, hämtas eller överförs. De ska skydda dessa uppgifter utifrån aspekterna tillgänglighet, autenticitet, riktighet och konfidentialitet. Arbetet ska bedrivas långsiktigt, kontinuerligt och metodiskt, och det ska vara tydligt vem som ansvarar för vad.
För att förbättra säkerheten i er informationshantering kan ni till exempel genomföra en verksamhetsanalys, riskanalys eller GAP-analys.
Praktisk vägledning för att efterleva Cybersäkerhetslagen
Funderar du på om ni är redo för Cybersäkerhetslagen? I vår NIS2-guide har vi sammanfattat vad som behöver finnas på plats för att efterleva lagkravet över tid. Ladda ner guiden här och ta del av insikterna.
