Förslag till nytt NIS-direktiv – vad händer nu?

I juli 2016 antog Europaparlamentet och rådet direktivet (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen, det så kallade NIS-direktivet. Direktivet omsattes 2018 i Sverige genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

Uppdatering 26 november 2021

Den svenska NIS-regleringen innebär i korthet krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga- och vissa digitala tjänster. Dessutom har ett antal myndigheter tillsynsansvar i enlighet med regleringen.

Under hösten 2020 publicerade Kommissionen ett förslag till utveckling av direktivet, sammanfattningsvis kan man säga att:

  • kommissionen har kommit med ett förslag på ett nytt direktiv som man avser lägga framför Parlamentet och Rådet så snart som möjligt
  • förslaget är ett kraftigt uppdaterat direktiv, med stora ändringar
  • man föreslår mer central styrning och mer detaljerad tillsyn.

Varför föreslår Kommissionen dessa förändringar nu?

Med en ny cybersäkerhetsstrategi (2020-12-16) på plats och en nyligen beslutad säkerhetsunion (EU 2020/605) så har man ett tydligare ramverk för cybersäkerhet inom unionen.

Med förslaget vill Kommissionen öka resiliensen hos bolagen och förmågan till respons på incidenter och attacker, både hos bolagen och inom EU.

Man ser en ökande hotbild mot EU och mot leverantörerna av samhällsviktiga tjänster, samtidigt som de interna beroendena mellan sektorer ökar, något man vill adressera med uppdateringen.

Man vill minska bördan på aktörerna genom en harmonisering av regleringen så att det blir enklare för organisationer som har verksamhet i flera länder att veta vilka regler man har att följa.

Fortfarande är marknadsperspektivet i fokus för regleringen, det vill säga åtgärderna görs med argumentet att det ska underlätta och stärka den inre marknaden och även EU:s konkurrensmöjligheter globalt.

Nuvarande tillsyn under NIS 1.0 anses till stora delar ineffektiv och medlemsstaterna bedöms av Kommissionen inte tilldela tillräckliga resurser.

Vad innehåller förslaget från Kommissionen, mer i detalj?

  • Att även mindre (men inte små) aktörer ska omfattas av direktivet – men samtidigt att de mindre aktörerna ska få en mindre börda.
  • Systemiska risker är tydligare beskrivna, vid sidan av risker för störningar i leverans av den egna tjänsten – det vill säga tydligare krav på att vissa aktörer måste vidta åtgärder när det finns risk för störningar i andra tjänster eller kaskadeffekter.
  • Nya kategorier av aktörer istället för OES (Operator of Essential Services – leverantör av samhällsviktig tjänst på svenska) - EE och IE Essential Entity och Important Entity. EE behåller i stort samma status som OES, medan IE föreslås bli en instegs-kategori.
  • Högre krav på informationsutbyte om aktörerna och incidenter, till kommissionen.
  • Tydligare krav på kartläggning av ICT-produkter (ICT – Informations- och Kommunikationsteknik) och de tjänster som behövs för leveransen av den samhällsviktiga tjänsten.
  • Explicita krav på utbildning och övning för ledningen hos aktörerna.
  • Högre sanktionsavgift – "administrative fines of a maximum of at least 10 000 000 EUR or up to 2% of the total worldwide annual turnover of the undertaking to which the essential or important entity belongs in the preceding financial year, whichever is higher”.
  • Mer harmonisering med direktivet för kritiska entiteter resiliens – CER.

Vad föreslås för energisektorn mer specifikt?

Tydligare definitioner över vilka som träffas, enligt europeisk lagstiftning.

  • Tydligare definitioner över vilka som träffas, enligt europeisk lagstiftning. 
  • El – Elproducenter, marknadsaktörer, övriga deltagare och reserver omfattas över hela EU.
  • Fjärrvärme och fjärrkyla blir egen undersektor, och föreslås omfattas över hela EU.    
  • Olja – ingen större skillnad från idag.     
  • Gas – omfattar nu explicit LNG, marknadsaktörer och biogas.     
  • Vätgas blir egen undersektor.

Vad händer nu?

Vad som händer nu är i dagsläget inte helt klart. Kommissionen har tagit fram ett förslag i december 2020 som man lagt fram till Rådet och Parlamentet.

Rådet har nu behandlat frågan sedan maj 2021 och nu verkar det finns ett kompromissförslag med brett stöd som kan lämnas vidare till Parlamentet i närtid.

Om Parlamentet väljer att ändra något kan vi inte veta i förväg. Rimligt är att ett beslut kan vara några månader bort, det vill säga våren 2022.

Medlemsländerna har enligt förslaget därefter 24 månader på sig att genomföra direktivet efter beslut. Men vi vet inte säkert eftersom den interna beredningen inte verkar vara helt klar och det kan dyka upp nya förändringar och krav på ytterligare förändringar innan Energimyndigheten fortsätter att följa utvecklingen.