Förslag till nytt NIS-direktiv – vad händer nu?

I juli 2016 antog Europaparlamentet och rådet direktivet (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen, det så kallade NIS-direktivet. Direktivet omsattes 2018 i Sverige genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

Den svenska NIS-regleringen innebär i korthet krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga- och vissa digitala tjänster. Dessutom har ett antal myndigheter tillsynsansvar i enlighet med regleringen. 

Under hösten 2020 publicerade kommissionen ett förslag till utveckling av direktivet, sammanfattningsvis kan man säga att:

  • Kommissionen har kommit med ett förslag på ett nytt direktiv som man avser lägga framför parlamentet och rådet så snart som möjligt.
  • Förslaget är ett kraftigt uppdaterat direktiv, med stora ändringar.
  • Man föreslår mer central styrning och mer detaljerad tillsyn.

Varför föreslår kommissionen dessa förändringar nu?

Med en ny cybersäkerhetsstrategi (2020-12-16) på plats och en nyligen beslutad säkerhetsunion (EU 2020/605) så har man ett tydligare ramverk för cybersäkerhet inom unionen.

Med förslaget vill kommissionen öka resiliensen hos bolagen och förmågan till respons på incidenter och attacker, både hos bolagen och inom EU.

Man ser en ökande hotbild mot EU och mot leverantörerna av samhällsviktiga tjänster, samtidigt som de interna beroendena mellan sektorer ökar, något man vill adressera med uppdateringen.

Man vill minska bördan på aktörerna genom en harmonisering av regleringen så att det blir enklare för organisationer som har verksamhet i flera länder att veta vilka regler man har att följa.

Fortfarande är marknadsperspektivet i fokus för regleringen, dvs åtgärderna görs med argumentet att det ska underlätta och stärka den inre marknaden och även EU:s konkurrensmöjligheter globalt.

Nuvarande tillsyn under NIS 1.0 anses till stora delar ineffektiv och medlemsstaterna bedöms av kommissionen inte tilldela tillräckliga resurser.

Vad innehåller förslaget?

  • Att även mindre (men inte små) aktörer ska omfattas av direktivet – men samtidigt att de mindre aktörerna ska få en mindre börda.
  • Lägre tröskel för definitionen ”störning” i tjänsten, dvs när man har en rapporteringsskyldighet och när man måste ha en kontinuitetsplanering.
  • Systemiska risker är tydligare beskrivna, vid sidan av risker för störningar i leverans av den egna tjänsten – dvs tydligare krav på att vissa aktörer måste vidta åtgärder när det finns risk för störningar i andra tjänster eller kaskadeffekter.
  • Nya kategorier av aktörer istället för OES (Operator of Essential Services – leverantör av samhällsviktig tjänst på svenska) - EE och IE Essential Entity och Important Entity. EE behåller i stort samma status som OES, medan IE föreslås bli en instegs-kategori.
  • Högre krav på informationsutbyte om aktörerna och incidenter, till kommissionen.
  • Tydligare krav på kartläggning av ICT-produkter (ICT – informations- och kommunikationsteknik) och de tjänster som behövs för leveransen av den samhällsviktiga tjänsten.
  • Explicita krav på utbildning och övning för ledningen hos aktörerna.
  • Högre sanktionsavgift – administrative fines of a maximum of at least 10 000 000 EUR or up to 2% of the total worldwide annual turnover of the undertaking to which the essential or important entity belongs in the preceding financial year, whichever is higher”.
  • Kommissionen vill kunna komplettera direktivet med så kallade delegerade akter – dvs en typ av förordningar utan medlemsstaternas medverkan.
  • Tillsynsmyndigheter ska kunna upphäva tillstånd för de som inte sköter cybersäkerheten – även stänga av bolag och ledning från samhällsviktiga tjänster.

Vad föreslås för energisektorn?

Tydligare definitioner över vilka som träffas, enligt europeisk lagstiftning.

  • El – elproducenter, marknadsaktörer, övriga deltagare och reserver omfattas över hela EU.
  • Fjärrvärme och fjärrkyla – blir egen undersektor, och föreslås omfattas över hela EU.
  • Olja – ingen större skillnad från idag.
  • Gas – omfattar nu explicit även LNG, marknadsaktörer och biogas.
  • Vätgas – blir en egen undersektor.

Vad händer nu?

Vad som händer nu är i dagsläget inte helt klart. Kommissionen har tagit fram ett förslag som man hoppas kunna lägga fram till rådet och parlamentet så snabbt som möjligt. Men den interna beredningen är inte klar.

Kommissionen har uppgett att man inte kommer att inhämta mer synpunkter genom någon mer öppen konsultation.

Tidigare har kommissionen sagt att man hoppas på beslut innan 31 mars 2021 och då att direktivet ska kunna träda i kraft under juni 2021. Medlemsländerna har därefter 18 månader på sig att genomföra direktivet.

Eftersom den interna beredningen inte är klar kan det tillkomma nya förändringar, och krav på ytterligare förändringar, innan kommissionen lämnar förslaget vidare för beslut. Därefter kan parlamentet och rådet komma att ha synpunkter, önska förändringar eller helt avfärda förslaget.

Energimyndigheten fortsätter att följa utvecklingen.