Eftersom NIS, NIS 2 och CER är EU-direktiv är det upp till varje enskilt medlemsland att bestämma hur det ska genomföras i det egna landet. Hur NIS 2 och CER ska genomföras i Sverige är ännu inte bestämt, men den 5 mars 2024 lämnade en statlig utredning ett delbetänkande kring det. De lagförslag som nu presenterats föreslås börja gälla från och med den 1 januari 2025.
Det är nästintill omöjligt att göra en fulltäckande analys av en 522 sidor lång utredning. Men vad har utredningen kommit fram till? Kan det skönjas några för- och nackdelar med den kommande lagstiftningen för de företag och organisationer som berörs av den? Vad behöver ni göra i den egna verksamheten på grund av detta?
Bråttom, bråttom
NIS 2 innehåller cybersäkerhetskrav riktade till företag och organisationer som bedriver samhällsviktig verksamhet, och som därför har nätverk- och informationssystem som också betraktas som samhällsviktiga. Syftet är alltså att säkerställa kontinuitet så att leveransen av samhällsviktiga varor och tjänster kan tryggas. I NIS 2 anges bland annat vilka krav som ställs, på vem och vad som händer om kraven inte följs.
Den statliga utredningen har tyvärr under arbetets gång delats upp i två delar och det är bara förslag i de delar som avser själva genomförandet av NIS 2 och beröringspunkter med CER som redovisats nu. Resterande delar av utredningen har blivit uppskjutna till den 16 september 2024 och det rör genomförandet av CER, regelverkens koppling till säkerhetsskyddslagstiftningen och vissa sekretessfrågor.
Vad kan man dra för slutsatser så här långt? Jo, framför allt att genomförandet av NIS 2 kommer att bli försenat i Sverige. Det betyder också att det sannolikt kommer bli lite rörigt, i vart fall under 2025 eftersom de tillsynsmyndigheter som ska säkerställa att lagkraven följs knappast kommer hinna justera arbetssätt och föreskrifter i tid. Allt detta är naturligtvis extra olyckligt med tanke på den numera dagliga nyhetsrapporteringen kring överbelastningsattacker och intrång som knappast kan ha undgått någon.
Fördelar med NIS 2 – inte så många, men stora
Den största och viktigaste fördelen är att det här är en högaktuell och nödvändig cybersäkerhetsreglering som är tillämplig på en stor mängd företag och organisationer. Även om man naturligtvis kan ha synpunkter på innehållet så borde de allra flesta kunna hålla med om att det är en välkommen ambitionshöjning.
NIS 2 föreslås genomföras genom en helt ny lag: lagen om cybersäkerhet. Bara namnet på lagen är en enorm pedagogisk förbättring i jämförelse med den nu gällande lag vilken genom NIS implementerats - Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.
Den nu gällande lagen omfattar ett antal sektorer: bankverksamhet, digital infrastruktur, energi, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten och transport. Det finns ju dock en mängd andra sektorer som också bedriver verksamhet som kan betraktas samhällsviktig. Därför är det bra att antalet sektorer nu utökas till att även omfatta avloppsvatten, förvaltning av ITK-tjänster mellan företag, offentlig förvaltning, rymden, post- och budtjänster, avfallshantering, tillverkning, produktion och distribution av kemikalier och livsmedel, digitala leverantörer, forskningsorganisationer och tillverkare av en mängd olika produkter (t.ex. medicintekniska produkter, datorer, elektronikvaror, optik, elapparaturer, motorfordon, släpfordon). Ungefär som tidigare gäller dock bara kraven för verksamhetsutövare som är av en viss storlek, om inte verksamheten klassats som ”väsentlig”.
En annan stor förändring är att lagen om cybersäkerhet omfattar alla system och nätverk som ett företag eller en organisation har. Idag omfattas bara de system och nätverk som behövs för att leverera den samhällsviktiga tjänsten. Den här förändringen innebär en stor fördel eftersom ett angrepp i ett sådant annat nätverk eller system också kan ställa till med stor skada och förmodligen är sämre skyddat och därigenom en mer sannolik måltavla. Den svagaste länken utgör ofta den största risken, vilket man nu verkar ha insett inom EU.
Den kommande lagen omfattar alltså en väldigt stor mängd företag och organisationer, men betydligt hårdare krav ställs för de verksamheter som klassificerats som ”väsentliga”. Vilka ingår i kategorin? Det är verksamheter som upprätthåller ”kritiska” funktioner i samhället samt ekonomiska funktioner. En störning i en ”väsentlig” verksamhet ska typiskt sett medföra betydande påverkan på människors liv och hälsa, allmän säkerhet, folkhälsa eller innebära betydande systemrisker. Vad som är att betrakta som en ”väsentlig” verksamhet i det här sammanhanget kommer det finnas vägledning kring via EU-kommissionens genomförandeakter. MSB kommer också meddela föreskrifter kring det. Dessutom måste tillsynsmyndigheterna upprätta listor kring vilka verksamheter inom respektive sektor som klassats som ”väsentliga” respektive ”viktiga”. Allt detta kommer innebära en stor förbättring vad gäller förutsägbarheten jämfört med idag.
En av de stora nyheterna med NIS 2 är fokuset på ledningens ansvar och krav på att dessa ska utbildas kring cybersäkerhet. Det kommer alltså inte längre vara möjligt att ”ducka” för dessa frågor för personer i ledande ställning, vilket borde vara ett välkommet krav i vart fall bland övriga medarbetare.
Genom lagen om cybersäkerhet införs betydligt hårdare bestämmelser kring tillsyn och sanktioner. Viten kan uppgå till 10 miljoner EUR, eller två procent av årsomsättningen. Lagen ger tillsynsmyndigheterna en mängd olika verktyg att använda när företag eller organisationer inte lever upp till kraven. Som exempel kan nämnas möjligheten att ansöka om förbud mot en viss person i ledande ställning att utöva ledningsfunktion. Visst finns det en del att invända mot att låta ett antal myndigheter få långtgående möjligheter att använda sig av tvång och sanktioner, men samtidigt finns det fördelar med en variation av sådana åtgärder, särskilt när de är förenade med tydliga lagregler kring vilka överväganden som ska göras innan de får användas.
Allt är inte nytt jämfört med den nu gällande lagen, vilket har sina pedagogiska poänger. Lagen ålägger verksamhetsutövare att vidta ”tekniska, driftsrelaterade och organisatoriska riskhanteringsåtgärder” som regelbundet ska utvärderas. I stort samma ordning som gäller idag alltså, fast skarpare. Det poängteras att åtgärderna i fråga ska utgå från ett ”allriskperspektiv”. Ungefär som tidigare gäller alltså att risker ska identifieras, bedömas och sen ska det vidtas lämpliga åtgärder som står i proportion till de identifierade riskerna, och sedan ska alltihopa följas upp. Och om ni tänker ”pust vad jobbigt!” så är den arbetsprocessen enklare än vad man kan tro när den väl är igång (speciellt med kunniga juristkonsulter på plats).
Nackdelar med NIS 2 – utöver de som redan nämnts
Den kanske mest iögonfallande nackdelen är att utredningen föreslår att det nuvarande systemet för tillsyn ska behållas. Det innebär att MSB ska vara sammanhållande myndighet och ett antal andra myndigheter ska ha ansvar för tillsynen inom de olika sektorerna. I och med utökningen av antalet sektorer utökas också antalet tillsynsmyndigheter, som sammanlagt kommer bli elva till antalet. I utredningen poängteras att man på grund av tidsbrist inte har kunnat analysera den nuvarande tillsynens effektivitet och att man därför har fått nöja sig med att konstatera att tillsyn har bedrivits. Att bygga ut det nuvarande tillsynssystemet utan någon egentlig utvärdering och till exempel inte låta expertmyndigheten MSB ha exklusiv rätt att meddela mer detaljerade föreskrifter kring kravställningen kan mycket väl visa sig vara en stor nackdel för de företag och organisationer som omfattas av lagstiftningen.
Utökade möjligheter att påföra sanktioner för bristande efterlevnad är ju bara en fördel om tillsynsmyndigheterna har rätt kompetens och resurser att utföra de uppgifterna på ett rättssäkert sätt. Det finns en stor risk för orättvisor och olikheter i åtgärder om vissa tillsynsmyndigheter utför en effektiv tillsyn och andra inte. Som redan antytts finns också en risk för splittrad kravställning när alla dessa myndigheter ska utfärda sina egna mer detaljerade föreskrifter kring de säkerhetsåtgärder som verksamhetsutövarna ska vidta.
Som nämnts inledningsvis lämnade utredningen ett antal viktiga frågor till slutbetänkandet i september. Till exempel gäller det till viss del analysen kring hur cybersäkerhetsregelverket ska förhålla sig till säkerhetsskyddslagstiftningen. Trots det föreslås ändå ett antal bestämmelser kring just den gränsdragningen. Dessa kan i sin tur leda till att vissa verksamheter drabbas av dubbla krav och att osäkerheten kring om en verksamhet omfattas av lagen om cybersäkerhet eller säkerhetsskyddslagen, eller delvis båda, kommer att bestå för närvarande.
Så, vad innebär det här för oss som verksamhetsutövare / leverantörer?
En stor utmaning med den rejäla utökningen av antalet sektorer är naturligtvis att många företag kommer att behöva undersöka huruvida de omfattas av den nya lagen om cybersäkerhet och på vilket sätt. Det utforskande arbetet behöver göras redan nu, för det finns en anmälningsskyldighet för de som omfattas av lagen och – som sagt - kännbara sanktioner vid utebliven anmälan eller om cybersäkerheten inte uppnår ställda krav. Ett bra cybersäkerhetsarbete vill väl egentligen alla ha? Det kräver dock ordning och reda – vilket i sin tur innebär bra dokumentation. Då kan nämligen åtgärder sättas in förebyggande och/eller snabbare vid incidenter och det är också en grundläggande förutsättning för att tillsynsmyndigheterna ska kunna konstatera att verksamheten lever upp till ställda krav. Om det inte redan pågår ett aktivt cybersäkerhetsarbete så är det alltså där man måste starta, och det är bråttom.
Det finns många fördelar med att ha en mogen security risk management på plats. Förutom att det kan sänka kostnader avsevärt så kan det till och med – i och med den kommande lagen - vara skillnaden mellan ett företag som frodas och växer och ett som går omkull. Även för de redan ambitiösa brådskar det att försäkra sig om att man fortfarande kommer att ligga i framkant framöver.
NIS 2 ställer inte krav på att verksamheten ska vara certifierad i enlighet med en viss standard, som ISO 27001. Precis som i NIS ”uppmuntras” dock användningen av sådana standarder. Och det finns en god anledning till det; ett standardiserat arbetssätt kring cybersäkerhet ger alltid ett bra resultat. Det är naturligtvis aldrig för sent att påbörja eller accelerera den resan.
Så vad händer nu med utredningen? Den har med blixtens hastighet skickats ut för synpunkter till vad som måste vara rekordmånga remissinstanser: 213 stycken! Svarstiden är också väldigt kort, då alla svar ska vara inne den 28 maj 2024. Tänk på att det inte bara är remissinstanser som får ha synpunkter på lagförslag genom att besvara en remiss, vem som helst får göra det!
Den enda egentliga icke-nyheten är alltså att det nu verkligen är hög tid för alla som kommer att omfattas av lagen om cybersäkerhet att genomföra en analys av konsekvenserna för den egna verksamheten. Har du behov av stöd kring det? Då kan du vända dig till Forefront! Vi på Forefront Legal Services och Security Management kan hjälpa till med det och med allt annat som rör cybersäkerhet. Läs mer om Forefront Legal Services nedan.
Lena Forsmark,
Senior IT-jurist och konsult