Så väntas NIS2-regleringen se ut

Enligt NIS2- och CER-utredningens (SOU 2024:18) förslag ska dessa regler tas fram:

Cybersäkerhetslagen

Genom lagen införs NIS2-direktivets krav i Sverige, här formaliseras bland annat vilka som omfattas och vad de har för skyldigheter. Lagen beslutas av riksdagen. Tills denna lag trätt i kraft gäller NIS1-reglerna i Sverige.

Cybersäkerhetsförordningen

I förordningen, som beslutas av regeringen, framgår bland annat vilka myndigheter som ska vara tillsynsmyndigheter och vilka som får mandat att utfärda föreskrifter där lagen anger sådan möjlighet.

Föreskrifter

På vissa ställen i lagen anges att den myndighet som regeringen utser får utfärda föreskrifter. Föreskrifter används för att förtydliga kraven, att fastställa kriterier eller göra andra preciseringar som behövs för tillämpningen. Följande föreskrifter ingår i utredningens förslag:

1. Föreskrifter om anmälningsskyldigheten
   Verksamhetsutövare som omfattas av NIS2 ska anmäla sig till den myndighet som regeringen utser. Föreskrifterna ska detaljera vad som ska anges i anmälan och hur anmälan ska göras.
2. Föreskrifter om vilka enskilda verksamheter som bedöms vara särskilt kritiska och därför ska omfattas av lagen trots att storlekskravet inte är uppfyllt (identifiering)
   Det av EU satta storlekskravet kan innebära att vissa verksamhetsutövare faller utanför, som i Sverige bedöms som så viktiga att de borde omfattas. Detta kan göras genom att specificera andra kriterier i dessa föreskrifter.
3. Föreskrifter om riskhanteringsåtgärder, systematiskt och riskbaserat informationssäkerhetsarbete, samt utbildning.
   Föreskrifter som förtydligar vad lagkraven betyder för verksamhetsutövarna, vad de behöver göra för att säkerställa sin informations- och cybersäkerhet.
4. Föreskrifter om incidentrapportering
   Dessa föreskrifter specificerar dels vad som ska anses utgöra en betydande incident och således vara rapporteringspliktig enlig NIS2, dels hur incidenter ska rapporteras.

Enligt förslaget ansvarar flera olika myndigheter för att ta fram föreskrifter. När förordningen är beslutad vet vi vilka myndigheter som får mandat att föreskriva om vad.

Tidsplanen är ännu så länge osäker, föreskrifterna kan färdigställas först efter att den nya lagen med tillhörande förordning beslutats (när myndigheterna fått föreskriftsmandat).

Mer information om tidsplanen

Genomförandeförordning

I vissa sektorer är verksamheten svår att hänföra till ett specifikt land. Därför har EU beslutat att kraven för sådana verksamhetsutövare ska vara gemensamma, istället för att utfärdas i respektive medlemsstat. De gemensamma kraven anges i en genomförandeförordning på EU-nivå. Genomförandeförordningen gäller i EU från och med den 7 november, information för verksamhetsutövare som berörs av den finns hos PTS.

Annan reglering

Samtidigt som beslutet om NIS2-direktivet kom fattades även beslut om direktivet om kritiska entiteters motståndskraft, CER. CER-direktivet ställer krav på åtgärder för att stärka motståndskraften i viss samhällsviktig verksamhet, men är inte inriktat på säkerheten i nätverk och informationssystem som NIS2-direktivet är.

CER-direktivet på EU:s webbplats Utredningens slutbetänkande om genomförande av CER-direktivet i Sverige på regeringens webbplatsFör den finansiella sektorn kommer också ny EU-reglering, DORA-förordningen.

DORA-förordningen på Finansinspektionens webbplats Liksom i NIS1 är verksamhet som omfattas av säkerhetsskydd undantagen från delar av kraven i NIS2.

Säkerhetsskydd på Säkerhetspolisens webbplats

Visa större bild

Stäng bild

Finansieras av Europeiska unionen. Synpunkter och åsikter som uttrycks är dock endast författarens/författarnas och återspeglar inte nödvändigtvis Europeiska unionens åsikter. Europeiska unionen kan inte hållas ansvarig för dem.