EU antog 2022 ett direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå inom EU, det så kallade NIS 2-direktivet[1]. I syfte att genomföra direktivet i svensk rätt överlämnade regeringen i dagarna propositionen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag (prop. 2025/26:28) till riksdagen. Däremot kommer inget förslag om genomförandet av CER-direktivet[2] nu, utan en svensk reglering i den delen bereds vidare inom Regeringskansliet.
Den nya lagen innebär i korthet att offentliga och enskilda verksamhetsutövare inom vissa utpekade sektorer bl.a. ska vidta åtgärder för att skydda sina nätverks- och informationssystem samt rapportera betydande incidenter. Den nya lagen innehåller också regler om tillsyn och ingripandemöjligheter för verksamhetsutövare som inte följer lagens bestämmelser. Därutöver föreslås ändringar i andra lagar som rör elektronisk kommunikation, toppdomäner och sekretess. Den nya lagen och övriga lagändringar föreslås träda i kraft den 15 januari 2026.
Vilka myndigheter som ska vara tillsynsmyndigheter, gemensam kontaktpunkt, cyberkrishanteringsmyndighet m.m. kommer att beslutas av regeringen.
Kort om NIS 2
NIS 2 omfattar fler sektorer än NIS, 18 istället för 7. Sektorerna är uppdelade i högkritiska och andra kritiska sektorer. NIS 2-direktivet är tillämpligt på offentliga eller privata entiteter av den typ som avses i direktivets bilaga 1 eller 2, som uppfyller ett visst storlekskrav och som tillhandahåller sina tjänster eller bedriver sin verksamhet i unionen.
Entiteter som omfattas av direktivet ska antingen anses vara väsentliga eller viktiga. Indelningen påverkar bl.a. vilka tillsynsåtgärder som kan komma i fråga. Medlemsstaterna ska senast den 17 april 2025 upprätta en förteckning över väsentliga och viktiga entiteter och regelbundet uppdatera den.
Genom NIS 2-direktivet har kraven skärpts på vilka åtgärder berörda aktörer ska vidta för att bl.a. hantera risker och förhindra incidenter kopplade till nätverks- och informationssystem som de använder. Dessutom har mer precisa rapporteringsskyldigheter införts.
I syfte att harmonisera sanktionssystemen i medlemsstaterna innehåller NIS 2-direktivet även bestämmelser om tillsyns- och efterlevnadskontrollåtgärder samt sanktioner.
Medlemsstaterna ska utse en eller flera behöriga myndigheter och en nationell gemensam kontaktpunkt.
NIS 2-direktivet ställer upp strängare krav på strategiskt och operativt samarbete mellan medlemsstaterna än NIS-direktivet gjorde.
Vad innebär den föreslagna cybersäkerhetslagen?
Den föreslagna lagen innebär bland annat följande:
- De som omfattas av lagen ska benämnas verksamhetsutövare och delas in i enskilda verksamhetsutövare respektive offentliga verksamhetsutövare.
- Hela verksamheten hos en verksamhetsutövare ska som utgångspunkt omfattas av lagen.
- Lagen pekar ut vilka som ska tillämpa den. Det är en ganska vid krets av verksamhetsutövare som tillhandahåller en viss typ av tjänst, är av en viss storlek och/eller verksamhetsutövare som omfattas av bilaga 1 eller 2 till NIS 2-direktivet i övrigt och är etablerad i Sverige.
- Lagen ska inte gälla för en statlig myndighet som till övervägande del bedriver säkerhetskänslig verksamhet eller brottsbekämpande verksamhet. För verksamhetsutövare som till någon del bedriver säkerhetskänslig eller brottsbekämpande verksamhet ska skyldigheterna enligt lagen, frånsett skyldigheten att utse företrädare och anmälningsskyldigheten, inte gälla i förhållande till den säkerhetskänsliga verksamheten eller brottsbekämpande verksamheten.
- Verksamhetsutövare ska så snart det kan ske anmäla sig till den myndighet som regeringen bestämmer.
- Verksamhetsutövare ska vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att skydda nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster och systemens fysiska miljö mot incidenter (säkerhetsåtgärder). Vad säkerhetsåtgärderna som minimum ska innefatta specificeras i lagen.
- De personer som ingår i ledningen för en verksamhetsutövare ska genomgå utbildning om säkerhetsåtgärder.
- Verksamhetsutövare ska upplysa den myndighet som regeringen bestämmer om en betydande incident så snart det kan ske, dock senast 24 timmar efter det att verksamhetsutövaren har fått kännedom om den betydande incidenten. Det ställs också krav på incidentanmälan och slutrapportering.
- Om det är lämpligt ska verksamhetsutövare så snart det kan ske även informera mottagarna av deras tjänster om en betydande incident som sannolikt inverkar negativt på tillhandahållandet av tjänsterna samt om betydande cyberhot.
- En tillsynsmyndighet ska ingripa om en verksamhetsutövare har åsidosatt sina skyldigheter. Ett ingripande kan omfatta beslut om föreläggande, ev. i kombination med vite, ansökan om förbud att inneha ledningsfunktion, beslut om sanktionsavgift, eller om det inte finns skäl att ingripa mot en överträdelse på något annat sätt, genom en anmärkning.
- Sanktionsavgiften för enskilda verksamhetsutövare som är väsentliga ska bestämmas till lägst 5 000 kronor och högst till det högsta av 2 procent av verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår eller ett belopp i kronor motsvarande 10 000 000 euro. För verksamhetsutövare som betecknas som viktiga är sanktionsavgiften något lägre. För offentliga verksamhetsutövare ska avgiften bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.
- En tillsynsmyndighets beslut enligt lagen ska få överklagas till allmän förvaltningsdomstol.
- En tillsynsmyndighet ska få utföra riktade säkerhetsrevisioner och säkerhetsskanningar av den som står under tillsyn.
- Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter på vissa områden.
___
[1] Europaparlamentet och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet),
[2] Europaparlamentets och rådets direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG.
Vill du veta mer?
Vill du veta mer om hur den nya cybersäkerhetslagen kan påverka din verksamhet?
Kontakta oss så hjälper vi gärna till!
