NIS2

Den snabba digitala transformationen och sammankopplingen av samhället har lett till nya cyberhot som kräver innovativa åtgärder i alla medlemsstater. Incidenterna blir allt fler, mer komplexa och påverkar driften av nätverks- och informationssystem betydligt. Dessa incidenter kan hindra ekonomisk verksamhet på den inre marknaden, orsaka ekonomisk förlust, minska användarnas förtroende och skada ekonomi och samhälle. Det är därför avgörande att cybersäkerheten stärks för att upprätthålla fungerande inre marknader. Cybersäkerhet är dessutom nödvändigt för att kritiska sektorer som nuvarande och framtida energitjänster ska kunna dra full nytta av digitaliseringens fördelar.

Vad är NIS2?

Som en följd av utvecklingen sedan EU antog NIS-direktivet (2016/1148) har en uppdatering gjorts, känt som NIS-2 direktivet (2022/2555), för att uppnå gemensamma åtgärder för en hög cybersäkerhetsnivå inom EU. Lagstiftningen omfattar både samhällskritiska och digitala tjänster samt flera nya sektorer, exempelvis fjärrvärme och fjärrkyla inom energisektorn. NIS2-direktivet förväntas implementeras genom en ny cybersäkerhetslag som föreslås träda i kraft den 1 augusti 2025.

Direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) 

Den nationella utredningen av NIS2-direktivet redovisas i  Nya regler om cybersäkerhet SOU 2024:18 (Statens offentliga utredningar 2024:18) | Sveriges riksdag (riksdagen.se) där en ny lag cybersäkerhetslagen presenteras. Utredningen i sin helhet kan läsas på regeringens webbplats här. Remiss av SOU 2024:64 Motståndskraft i samhällsviktiga tjänster  pågår fram till den 13 januari 2025.

Förordningar och föreskrifter är ännu inte publicerade. Lagrådsremiss kommer under vintern och proposition under våren 2025. Även föreskrivande myndighet ska ta fram föreskrifter. För energisektorn föreslås Energimyndigheten som tillsynsmyndighet. 

Vem omfattas?

NIS2 omfattar bland andra sektorer energisektorn (el, fjärrvärme och fjärrkyla, olja, gas och vätgas) enligt Bilaga 1. Då NIS2-direktivet inkluderar säkerhet i leveranskedjan behöver verksamheter även ställa cybersäkerhets krav  på leverantörer och underleverantörer för att undvika störningar och avbrott i tjänster. Tröskelvärden för verksamheter som omfattas av nya lagen om cybersäkerhet har ännu inte fastställts nationellt i föreskrifter.

Krav för att stärka cybersäkerheten

Genom NIS 2-direktivet införs en rad skyldigheter för väsentliga och viktiga verksamheter inom olika sektorer för att förbättra deras motståndskraft och beredskap för cybersäkerhet. Exempelvis införs krav  att stärka cybersäkerheten genom bättre risk- och incidenthantering samt rapportering. Åtgärder att förbereda redan nu kopplat till artikel 21 i NIS2-direktivet, se nedan. 

Artikel 21: Riskhanteringsåtgärder för cybersäkerhet

De åtgärder som avses ska baseras på en strategi för alla risker som syftar till att skydda nätverks- och informationssystem och den fysiska miljön i dessa system från incidenter, och ska minst omfatta följande:

1. Strategier för riskanalys och informationssystemens säkerhet.
2. Hantering av incidenter.
3. Kontinuitet i verksamheten, t.ex. hantering av säkerhetskopiering och katastrofåterställning, samt krishantering.
4. Säkerhet i försörjningskedjan, inbegripet säkerhetsrelaterade aspekter som rör förhållandet mellan varje verksamhetsutövare och dess direkta leverantörer eller tjänsteleverantörer.
5. Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inklusive hantering och röjande av sårbarheter.
6. Strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet.
7. Grundläggande metoder för it-hygien och utbildning i cybersäkerhet.
8. Riktlinjer och förfaranden för användning av kryptografi och, i förekommande fall, kryptering.
9. Personalsäkerhet, policyer för åtkomstkontroll och tillgångsförvaltning.
10. Användning av lösningar för multifaktorautentisering eller kontinuerlig autentisering, säkrad röst-, video- och textkommunikation samt säkra nödkommunikationssystem inom verksamheten, när så är lämpligt.

Ytterligare information om informationssäkerhet  

• Det här är NIS2-direktivet (msb.se)
• Informations- och cybersäkerhet (energimyndigheten.se)
• Se även Checklista för informationssäkerhet.pdf.