NIS direktivet – Lagen som påverkar alla organisationer som bedriver samhällsnyttig verksamhet

Vad är NIS direktivet?

NIS (Network and Information Security)trädde i kraft den 1:a augusti 2018 och lagen kallas även för Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. NIS-direktivet är ett EU-direktiv i socialt kritiska sektorer. Direktivet innebär att alla organisationer som bedriver samhällsviktigt verksamhet, såsom vattenförsörjning, elförsörjning, transport, sjukvård, måste påvisa att de strukturerat och kontinuerligt arbetar med säkerheten i sin IT-miljö.

De är indelade i sju olika sektorer:

• Bankverksamhet
• Digital infrastruktur
• Energi
• Finansmarknadsinfrastruktur
• Hälso- och sjukvård
• Leverans och distribution av dricksvatten
• Transport

Syftet med direktivet är att uppnå en hög gemensam nivå av säkerhet i nätverk och informationssystem inom EU. Enligt direktivet skall medlemsstaterna förbereder en nationell strategi för nät-och informationssystems säkerhet, som tar hänsyn till den nationella strategin kring IT-och informationssäkerhet.

Leverantörer av samhällsviktiga och digitala tjänster

Leverantörer av samhällsviktiga och digitala tjänster återfinns i både privat och offentlig verksamhet.

För leverantörer av samhällsviktiga tjänster gäller:

• Tillhandahåller en tjänst som är viktig för att upprätthålla kritisk samhällelig- eller ekonomisk verksamhet inom en av de ovan nämnda sju sektorerna vilka omfattas av NIS-regleringen.
• Tillhandahållandet av tjänsten är beroende av nätverk och informationssystem.
• En incident skulle medföra en betydande störning vid tillhandahållandet av tjänsten.

För leverantörer av digitala tjänster gäller:

• De har sitt huvudsakliga etableringsställe i Sverige.
• De har en årsomsättning som överstiger 10 miljoner euro.
• De har 50 eller fler anställda.

Den verksamhet som identifierat sig som en leverantör av en samhällsviktig tjänst ska anmäla det till berörd tillsynsmyndighet. 

Vad är skillnaden mellan NIS-direktivet och NIS2-direktivet?

NIS2-direktivet bygger på och utvidgar betydligt omfattningen av det ursprungliga Nätverks- och Informationssystemdirektivet (NIS). Här är några av de viktigaste skillnaderna:

1. Omfattning: Det ursprungliga NIS-direktivet fokuserade huvudsakligen på väsentliga tjänster inom sektorer som hälsovård, energi, transport och finans. NIS2 utökar detta till att inkludera fler sektorer som post- och kurirtjänster, offentlig förvaltning, avfallshantering och andra. Detta speglar den förändrade och ökade risken för cyberhot.
2. Säkerhets- och rapporteringskrav: NIS satte allmänna säkerhets- och incidentrapporteringskrav, medan NIS2 inför striktare säkerhets- och rapporteringskrav. Denna förändring speglar behovet av högre standarder på grund av de framåtskridande cyberhoten.
3. Genomförande och straff: NIS2 inför starkare verkställighetsåtgärder, inklusive högre böter och strängare tillsyn för att säkerställa efterlevnad. Detta skiljer sig från NIS, som gav en grund för medlemsstaterna att genomföra efterlevnad, men med variationer i genomförandet.
4. Fokus på leverantörskedjans säkerhet: NIS2 lägger större vikt vid säkerhet i leverantörskedjan, medan NIS hade begränsat fokus på detta område.
5. Utvidgade rapporteringskrav för cybersäkerhetsincidenter: NIS2 skärper kraven på rapportering av cybersäkerhetsincidenter för väsentliga enheter inom kritiska sektorer. Organisationer måste nu snabbt rapportera betydande cyberincidenter och följa specifika riktlinjer som fastställts av direktivet.
6. Ansvar för Företagsledning: NIS2 introducerar personligt ansvar för ”ledningsorgan” i företag som inte följer direktivet, vilket är en markant skillnad från tidigare EU-förordningar och amerikanska cybersäkerhetsregler.

NIS2 direktivet är en statlig utredning som kommer i slutet av januari vilket kommer indikera hur lagen kommer blir, därefter kommer det skickas på remiss för att slutligen klubbas i oktober 2024.

Läs mer om NIS-direktivet på MSB