NIS2-direktivet
Direktivet om åtgärder för en hög gemensam nivå av säkerhet i nätverks- och informationssystem i unionen (NIS) har nyligen ersattas av ett uppdaterat direktiv om åtgärder för en hög gemensam nivå av cybersäkerhet i unionen (NIS2).(1)Det nuvarande regelverket infördes genom Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (NIS). Direktivet har genomförts genom lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Det nya direktivet omfattar fler aktörer och ställer högre krav på åtgärder än sin föregångare.
Medlemsstaterna har 21 månader på sig från och med att direktivet även antas av rådet att genomföra direktivet i sin nationella lagstiftning. De nationella lagarna kan därför väntas träda i kraft i slutet av 2024. I den här artikeln sammanfattar vi de mest väsentliga nyheterna i det nya direktivet.(2)Artikeln är baserad på den text som antagits av Europaparlamentet (P9_TA(2022)0383). Direktivet publiceras i EU:s officiella tidning först efter att texten även antagits av rådet.
Beroendet av it har blivit synbart
Det är svårt att överdriva vårt samhälles beroende av digital teknik. Som en del i arbetet med att möta hoten som detta medför har EU antagit NIS2. Bakgrunden till regleringen är framför allt tilltagande cyberangrepp mot samhällsviktiga aktörer de senaste åren. Även det försämrade säkerhetspolitiska läget har implikationer för dessa aktörers cybersäkerhet. Vårt beroende av it har blivit synligt för alla.
De mest väsentliga ändringarna
NIS2 kommer att införa ett flertal väsentliga ändringar i det existerande regelverket. Ändringarna syftar till att höja nivån av säkerhet samt att åtgärda problem som identifierats under implementeringen och tillämpningen av NIS. Det finns mycket att säga om NIS2 men följande punkter är de mest väsentliga att känna till.
Fler aktörer och verksamheter omfattas. Det utökade tillämpningsområdet medför att t.ex. telekom, leverantörer av betrodda tjänster, sociala medier och offentlig förvaltning omfattas. I första hand tillämpas direktivet av stora och medelstora aktörer som bedriver verksamhet i vissa utpekade sektorer.(3)Gränsvärdena som ska tillämpas följer av Kommissionens rekommendation (2003/361/EG) om definitionen av mikroföretag samt små och medelstora företag. Utöver dessa kommer även vissa andra aktörer, oberoende av storlek, att omfattas eftersom deras verksamhet anses ha stor betydelse för samhället. Medlemsstaterna kommer inte längre kunna skräddarsy kraven vilket kommer medföra en mer enhetlig tillämpning inom unionen. Den tidigare uppdelningen mellan samhällsviktiga tjänster och digitala tjänster överges.
Mer konsekvent tillämpning. NIS2 väntas leda till mer konsekvent tillämpning i fråga om vilka aktörer som ska omfattas, säkerhetsåtgärder, rapportering av incidenter, tillsyn, sanktioner och medlemsstaternas kompetens.
Högre krav på säkerhetsåtgärder. Direktivet ställer högre krav på aktörernas säkerhetsåtgärder. I det nuvarande regelverket anges det i korta ordalag att ändamålsenliga och proportionerliga tekniska och organisatoriska åtgärder ska vidtas. I NIS2 ställs däremot krav på att vissa konkreta åtgärder ska vidtas. Åtgärderna avser bl.a. hantering av incidenter, säkerhet i leverantörskedjan, säkerhet vid inköp, utveckling och underhåll samt offentliggörande av sårbarheter.
Strömlinjeformad incidentrapportering. Medlemsstaterna ges mindre utrymme att bestämma hur kravet på rapportering av incidenter ska utformas. Rapporteringen av incidenter ska ske i två steg. En initial rapport ska lämnas 24 timmar efter att aktören fått kännedom om en incident. En slutlig rapport ska lämnas senast efter en månad.
Striktare sanktioner. Direktivet föreskriver en minimilista av sanktioner mot bristande efterlevnad. Sanktionerna omfattar bl.a. bindande instruktioner, förelägganden att implementera rekommendationer till följd av en oberoende revision och förelägganden att tillse tillräckliga säkerhetsåtgärder för att efterleva kraven i direktivet. Administrativa sanktionsavgifter på upp till det högsta av 10 miljoner euro eller 2 % av aktörens totala globala omsättning kan också dömas ut.
-
Ledningen får ökat ansvar. Aktörens ledning ska godkänna ledningssystemet, övervaka dess tillämpning, genomgå regelbunden utbildning och kunna hållas personligt ansvariga för bristande efterlevnad.
Fler verksamheter omfattas, en ny indelning
Den tidigare uppdelningen mellan leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster överges. Aktörer kommer i stället klassificeras som antingen essentiella eller viktiga.(4) Artiklarna 2 och 3.
Klassificeringen som essentiell eller viktig ska reflektera hur kritisk sektorn är samt aktörens storlek.(5) Skäl 15. Kraven på säkerhetsåtgärder och rapportering av incidenter är desamma för såväl essentiella som viktiga aktörer. Reglerna om tillsyn och sanktioner är däremot striktare för de essentiella aktörerna än för de viktiga.
Essentiella aktörer. Det är i första hand aktörer inom de angivna sektorerna vilka även överskrider gränserna för medelstora företag som utgör essentiella aktörer. Vidare omfattas kvalificerade leverantörer av betrodda tjänster, registrarer för toppdomäner och leverantörer av DNS-tjänster oberoende av dessas storlek. Utöver dessa omfattas även offentlig förvaltning med vissa undantag. Slutligen utgör även aktörer som identifierats efter en nationell riskbaserad bedömning, kritiska entiteter enligt direktivet om kritiska entiteters motståndskraft samt tidigare identifierade leverantörer av samhällsviktiga tjänster essentiella aktörer.
Viktiga aktörer. Aktörer med verksamhet inom de angivna sektorerna men som inte uppfyller kriterierna för att klassificeras som essentiella aktörer utgör viktiga aktörer.
De aktuella sektorerna listas i bilagor till direktivet. Följande övergripande sektorer anges vara högst kritiska (bilaga 1).
Energi
Transport
Bank
Infrastruktur för finansiella marknaden
Hälso- och sjukvård
Dricksvatten
Vattenrening
Digital infrastruktur
Offentlig förvaltning
Rymd
Andra kritiska sektorer (bilaga 2).
Post- och kurirtjänster
Avfallshantering
Tillverkning och distribution av kemikalier
Livsmedelsföretag
Producenter av vissa tekniska produkter
Leverantörer av vissa digitala tjänster
Forskningsorganisationer
Sektorerna i förteckningarna är i sin tur indelade i undersektorer med angivelse av vissa typer av verksamheter.
NIS2 kommer att införa ett flertal väsentliga ändringar i det existerande regelverket. Ändringarna syftar till att höja nivån av säkerhet samt att åtgärda problem som identifierats under implementeringen och tillämpningen av NIS.
Högre krav på säkerhetsåtgärder
NIS2 kommer att ställa högre krav på säkerhetsåtgärder jämfört med kraven i det nuvarande NIS-regelverket som är allmänt hållna. Enligt det nuvarande regelverket ska aktörerna vidta ”ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverks- och informationssystem som de använder”. Genom NIS2 införs i stället en katalog med konkreta säkerhetsåtgärder.(6) Artikel 21.
Riskanalys och policyer
Incidenthantering
Kontinuitet
Säkerhet i leverantörskedjan
Säkerhet vid inköp, utveckling och underhåll
Bedömning av ledningssystemets verkan
Grundläggande cyberhygien
Hantering av kryptografi och kryptering
Personalsäkerhet och kontroll av åtkomst
Inventering av tillgångar
Flerfaktorsautentisering
Säkra verktyg för kommunikation (även vid kris)
Medlemsstaterna ska uppmuntra aktörer att efterleva internationellt eller europeiskt godkända standarder inom området för informationssäkerhet.
Även aktörer som inte omfattas av det nya regelverket kommer att påverkas i den mån dessa är leverantörer till aktörer som omfattas av den nya regleringen, eftersom deras informationssäkerhet då kommer att bli föremål för granskning.
En mer strömlinjeformad incidentrapportering
Vid utvärderingen av det nuvarande regelverket konstaterades det att medlemsstaterna implementerat kravet på rapportering av incidenter på väsentligt olika sätt. För aktörer som är verksamma i mer än en medlemsstat har skillnaderna i lagstiftningen skapat en extra börda.(7) The NIS2 Directive, European Parliamentary Research Service Briefing, PE 689.333, June 2022. I NIS2 ges medlemsstaterna därför mindre utrymme att bestämma hur kravet på rapportering av incidenter ska utformas.
Rapporteringen av incidenter ska ske i två steg. En första rapport ska lämnas 24 timmar efter att aktören varseblivit om en incident. En slutlig rapport ska lämnas senast en månad efter samma tidpunkt. Utöver detta specificeras åtskilliga andra detaljer kring förfarandet.(8)Artikel 23. Den ökade enhetligheten kommer sannolikt att vara välkommen bland de aktörer som bedriver verksamhet i flera medlemsstater och behöver rapportera incidenter.
Även aktörer som inte omfattas av det nya regelverket kommer att påverkas i den mån dessa är leverantörer till aktörer som omfattas av den nya regleringen, eftersom deras informationssäkerhet då kommer att bli föremål för granskning.
Ledningen får ökat ansvar
En väsentlig förändring i NIS2 är att ledningarna för de omfattade aktörerna får ett klart större ansvar. De åläggs att godkänna säkerhetsåtgärderna som krävs enligt regelverket samt att övervaka implementeringen av dessa. Vidare ska de kunna hållas personligen ansvariga för aktörens bristande efterlevnad.(9)Artikel 20.1 och artikel 32.6. Direktivet harmoniserar inte formen för ansvaret. Det är därför upp till medlemsstaterna att välja huruvida sanktionen är straffrättslig eller administrativ.(10)Skäl 131-132.
Förändringen avseende just ledningens ansvar är sannolikt av stor betydelse för informationssäkerheten inom unionen. Det kan givetvis diskuteras huruvida ”piskan eller moroten” är det lämpligaste verktyget för att uppnå ”egentlig” säkerhet och inte enbart formell efterlevnad. Oavsett hur det förhåller sig med det kan reglerna om ansvar förväntas att åtminstone föra frågan om informationssäkerhet ännu högre upp på agendan.
Direktivet harmoniserar inte formen för ansvaret. Det är därför upp till medlemsstaterna att välja huruvida sanktionen är straffrättslig eller administrativ.
Ledningen har en särskilt betydelsefull roll när det gäller informationssäkerhet. Ingen organisation kan komma vidare i sina ansträngningar utan att ledningen ger den sitt stöd. Samtidigt gäller givetvis det omvända. Ett engagemang från ledningen kan dock ofta frigöra drivkrafter inom organisationer som vill bidra till ett mer försvarbart förhållningssätt till det som hotar informationssäkerheten.
Beslut om en organisations aptit och tolerans för risker när det gäller informationssäkerhet är självklart en fråga för ledningen, inte enbart för it-avdelningen. Den omständigheten att ledningar i många organisationer engagerar sig först sedan de själva har en insats i leken kanske är av mindre betydelse så länge arbetet påbörjas över huvud taget.
Medskick
Förändringarna i direktivet förväntas kunna implementeras i nationell lagstiftning i slutet av 2024. Den som tror sig kunna omfattas av det nya regelverket får med sig följande medskick.
Omfattas vi? Kontrollera i första hand huruvida er organisation bedriver verksamhet inom någon av de angivna sektorerna. Bedöm även om er organisations överskrider gränsvärdena för medelstora företag. Kom dock ihåg att vissa aktörer omfattas oberoende av storlek. Ta hjälp om ni är osäkra.
-
Vad behöver vi göra? Om ni omfattas, börja planera tidigt för att lyckas uppnå efterlevnad till en försvarbar kostnad.
Inled samtal i ledningen för att föra frågan på agendan så tidigt som möjligt.
Avsätt tid och resurser för att planera arbetet och identifiera behov av resurser.
Planera budget för att ta höjd för implementering av åtgärder och en eventuell ny organisation.
Påbörja rekrytering av kompetenta medarbetare och konsulter.
Utvärdera risker och åtgärder löpande.
Noter
- Det nuvarande regelverket infördes genom Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (NIS). Direktivet har genomförts genom lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.
- Artikeln är baserad på den text som antagits av Europaparlamentet (P9_TA(2022)0383). Direktivet publiceras i EU:s officiella tidning först efter att texten även antagits av rådet.
- Gränsvärdena som ska tillämpas följer av Kommissionens rekommendation (2003/361/EG) om definitionen av mikroföretag samt små och medelstora företag.
- Artiklarna 2 och 3.
- Skäl 15.
- Artikel 21.
- The NIS2 Directive, European Parliamentary Research Service Briefing, PE 689.333, June 2022.
- Artikel 23.
- Artikel 20.1 och artikel 32.6.
- Skäl 131-132.