Ett uppdaterat NIS-direktiv – vad innebär NIS 2?

I juli 2016 antog Europaparlamentet och rådet direktivet (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen, det så kallade NIS-direktivet. Direktivet införlivades 2018 i Sverige genom lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

NIS-regleringen

Den svenska NIS-regleringen innebär i korthet krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga- och vissa digitala tjänster. Sju samhällsviktiga sektorer omfattas av lagen och i Sverige har vi sex olika myndigheter som har tillsynsansvar över sektorerna.

Under slutet av 2020 publicerade Kommissionen ett förslag till utveckling av NIS-direktivet – NIS 2. Uppdateringen följer av översynen som genomförts enligt artikel 23 i NIS-direktivet. Artikeln innebär att direktivet ska ses över regelbundet.

Cybersäkerhet i EU

Med en ny cybersäkerhetsstrategi (2020-12-16) på plats och en nyligen beslutad säkerhetsunion (EU 2020/605) så finns ett tydligare ramverk för cybersäkerhet inom unionen. En prioriterad åtgärd i den nya cybersäkerhetsstrategin var översynen av NIS-direktivet.

Av översynen identifierades bland annat att nuvarande tillsyn under NIS-direktivet till stora delar är ineffektiv och att införandet av bestämmelserna nationellt har varit splittrat mellan medlemsstaterna. NIS 2 innebär därför mycket mer detaljerade krav som avser att harmonisera införlivandet av reglerna.

NIS 2 adresserar den ökande hotbilden mot EU och de ökande interna beroendena mellan sektorer och landsgränser. Direktivet avser att öka den inre marknadens resiliens samt förmåga till respons på incidenter och attacker.

Fortfarande är marknadsperspektivet i fokus för regleringen, det vill säga åtgärderna görs med argumentet att det ska underlätta och stärka den inre marknaden och även EU:s konkurrens-möjligheter globalt.

Vad föreslås i NIS 2?

NIS 2 avser att öka harmoniseringen mellan medlemsländer för att öka cybersäkerheten inom hela unionen men även för att minska bördan på aktörer som har verksamhet i flera länder. Förslaget föreskriver i korthet:

  • minimikrav för säkerhetsåtgärder,
  • ökade och mer specificerade rapporteringsskyldigheter,
  • ökade rättsmedel och sanktioner för tillsyn av direktivet,
  • mer effektivt samarbete mellan myndigheter och mekanismer för informationsdelning mellan myndigheter, medlemsstater och entiteter,
  • inrättandet av EU-CyCLONe som ska hantera storskaliga cybersäkerhetsincidenter,
  • inrättandet av ett europeiskt sårbarhetsregister.

Förslaget innebär även en utökning av tillämpningsområdet samt tydligare definitioner av vilka entiteter som omfattas av direktivet. Entiteter delas inte längre in i leverantörer av samhällsviktiga tjänster och digitala tjänster utan i stället i väsentliga respektive viktiga entiteter. Entiteter som tillhör energisektorn med tillhörande delsektorer utgör väsentliga entiteter. Nytt för energisektorn kan i dagsläget sägas vara att:

  • Fjärrvärme och fjärrkyla inkluderas som egen delsektor.
  • Vätgas inkluderas som egen delsektor.
  • El – elproducenter, nominerade elmarknadsoperatörer, marknadsaktörer och laddningsoperatörer inkluderas.
  • Olja – centrala lagringsenheter (CSE) inkluderas.

Vad händer nu?

Under slutet av 2022 har Europaparlamentet och EU-rådet kommit med sitt slutliga godkännande av NIS 2. Det formella beslutet offentliggjordes i Europeiska unionens officiella tidning den 27 december 2022 och direktivet träder i kraft 20 dagar därefter. När direktivet trätt i kraft har medlemsländerna 21 månader på sig att införliva NIS 2 i nationell lagstiftning (tills den 17 oktober 2024).

NIS 2-direktivet: EUR-Lex - 32022L2555 - EN - EUR-Lex (europa.eu)