Förslag till nytt NIS-direktiv – vad händer nu?

I juli 2016 antog Europaparlamentet och rådet direktivet (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen, det så kallade NIS-direktivet. Direktivet omsattes 2018 i Sverige genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

NIS-regleringen

Den svenska NIS-regleringen innebär i korthet krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga- och vissa digitala tjänster. Dessutom har ett antal myndigheter tillsynsansvar i enlighet med regleringen.

Under hösten 2020 publicerade Kommissionen ett förslag till utveckling av direktivet, sammanfattningsvis kan man säga att:

  • kommissionen har kommit med ett förslag på ett nytt direktiv som man avser lägga framför Parlamentet och Rådet så snart som möjligt
  • förslaget är ett kraftigt uppdaterat direktiv, med stora ändringar
  • man föreslår mer central styrning och mer detaljerad tillsyn.

Varför föreslår Kommissionen dessa förändringar nu?

Med en ny cybersäkerhetsstrategi (2020-12-16) på plats och en nyligen beslutad säkerhetsunion (EU 2020/605) så har man ett tydligare ramverk för cybersäkerhet inom unionen.

Med förslaget vill Kommissionen öka resiliensen hos bolagen och förmågan till respons på incidenter och attacker, både hos bolagen och inom EU. Man ser en ökande hotbild mot EU och mot leverantörerna av samhällsviktiga tjänster, samtidigt som de interna beroendena mellan sektorer ökar, något man vill adressera med uppdateringen.

Man vill minska bördan på aktörerna genom en harmonisering av regleringen så att det blir enklare för organisationer som har verksamhet i flera länder att veta vilka regler man har att följa.

Fortfarande är marknadsperspektivet i fokus för regleringen, det vill säga åtgärderna görs med argumentet att det ska underlätta och stärka den inre marknaden och även EU:s konkurrensmöjligheter globalt. Nuvarande tillsyn under NIS 1.0 anses till stora delar ineffektiv och medlemsstaterna bedöms av Kommissionen inte tilldela tillräckliga resurser.

Proposal for directive on measures for high common level of cybersecurity across the Union, European Commission

Förslaget finns på svenska: EUR-Lex - 52020PC0823 (europa.eu)

Vad föreslås för energisektorn mer specifikt?

Tydligare definitioner över vilka som träffas, enligt europeisk lagstiftning.

  • Tydligare definitioner över vilka som träffas, enligt europeisk lagstiftning. 
  • El – Elproducenter, marknadsaktörer, övriga deltagare och reserver omfattas över hela EU.
  • Fjärrvärme och fjärrkyla blir egen undersektor, och föreslås omfattas över hela EU.    
  • Olja – ingen större skillnad från idag.
  • Gas – omfattar nu explicit LNG, marknadsaktörer och biogas.
  • Vätgas blir egen undersektor.

Vad händer nu?

Den politiska överenskommelsen som uppnåtts av Europaparlamentet och rådet är nu föremål för formellt godkännande av de två medlagstiftarna. När det formella beslutet har offentliggjorts i Official Journal kommer direktivet att träda i kraft 20 dagar efter offentliggörandet. Medlemsländerna har därefter 21 månader på sig att införliva direktivet i nationell lagstiftning.

Strengthening EU-wide cybersecurity and resilience – provisional agreement by the Council and the European Parliament - Consilium (europa.eu)