Sammanfattning av Cybersäkerhetslagen
Inledning
Den svenska regeringen beslutade i februari 2023 att anpassa svensk lagstiftning efter EU Nis2- och CER-direktiv för att stärka cybersäkerheten i hela landet. Utredningen leddes av juristen Annette Norman och inkluderade ett team av sakkunniga och experter från olika myndigheter och sektorer.
Bakgrund och syfte
Nis2-direktivet, som antogs av Europaparlamentet och rådet i december 2022, syftar till att förbättra cybersäkerheten inom EU genom att ersätta det tidigare Nis-direktivet från 2016. CER-direktivet fokuserar på att stärka motståndskraften hos kritiska enheter mot både fysiska och digitala hot.
Viktiga förändringar och krav
- Utökning av sektorer:
- Antalet sektorer som omfattas utökas från sju till arton. Nya sektorer inkluderar post- och kurirtjänster, avfallshantering, kemikalier, livsmedel, och rymden. Se hela listan lite längre ned.
- Krav för verksamhetsutövare:
- Alla verksamhetsutövare inom dessa sektorer måste följa nya säkerhetskrav som inkluderar riskhantering, systematiskt informationssäkerhetsarbete och incidentrapportering.
- Kraven gäller för hela verksamheten, inte bara för samhällsviktiga och digitala tjänster.
- Offentlig förvaltning:
- Nästan hela den offentliga sektorn omfattas av lagen, inklusive statliga myndigheter, regioner och kommuner.
- Storlekskrav:
- Verksamheter med minst 50 anställda eller en årlig omsättning över 10 miljoner euro omfattas av lagen. Vissa mindre, men kritiska verksamheter, kan också inkluderas.
Tillsyn och Sanktioner
- Tillsynsmyndigheter:
- Varje sektor har en tillsynsmyndighet som övervakar efterlevnad. Befintliga myndigheter får utökade ansvarsområden och fem nya tillsynsmyndigheter tillsätts.
- MSB fortsätter att vara gemensam kontaktpunkt och CSIRT-enhet samt utse cyberkrishanteringsmyndighet.
- Sanktioner:
- Tillsynsmyndigheter kan ingripa med förelägganden och sanktionsavgifter vid överträdelser. Nya maxgränser för sanktionsavgifter föreslås: upp till 10 miljoner euro eller två procent av den globala årsomsättningen.
Ekonomiska konsekvenser
- För tillsynsmyndigheter:
- Utökade resurser krävs för att kunna identifiera verksamhetsutövare, utfärda nya föreskrifter och vägledningar samt upprätthålla tillsyn.
- För verksamhetsutövare:
- Kostnader för att uppfylla säkerhetskraven, men även stöd genom regleringen och potential för kostnadsbesparingar genom förebyggande arbete.
Implementering
Förslagen föreslås träda i kraft den 1 januari 2025.
Väsentliga entiteter:
- Energi
- Transporter
- Bankverksamhet
- Finansmarknadsinfrastruktur
- Hälso- och sjukvård
- Leverans och distribution av dricksvatten
- Digital infrastruktur
Viktiga entiteter:
- Avloppsvatten
- Förvaltning av IKT-tjänster
- Offentlig förvaltning
- Rymden
- Post och budtjänster
- Avfallshantering
- Tillverkning, produktion och distribution av kemikalier
- Produktion, bearbetning och distribution av livsmedel
- Tillverkning
- Digitala leverantörer
- Forskning
Sammanfattning
Den nya cybersäkerhetslagen syftar till att säkerställa en högre nivå av säkerhet och motståndskraft mot cyberhot genom utökade krav på ett större antal sektorer och verksamheter. Detta inkluderar strängare regler för riskhantering, incidentrapportering och utbildning samt omfattande tillsyn och sanktioner vid bristande efterlevnad.
Dokumentet ger en detaljerad plan för hur Sverige ska anpassa sig till NIS2- och CER-direktiven för att förbättra landets övergripande cybersäkerhetsnivå.