2022-11-29

NIS 2 – EU:s nya direktiv för bättre cybersäkerhet har godkänts

Tanken är att många fler aktörer ska beröras och straffet ska bli kännbart för den som bryter mot direktivet.

Nu har både Europaparlamentet och EU-rådet antagit NIS 2-direktivet, som ska förbättra cybersäkerhetsnivån i hela EU. Sverige och andra EU-länder har nu 21 månader på sig att implementera direktivet i lagstiftningen.

Det nya NIS 2-direktivet  ska ersätta de nuvarande nätverks- och informationssäkerhetsreglerna (NIS-direktivet). Tanken är att den offentliga och privata sektorn, och unionen i stort, ska öka sin resiliens och sin kapacitet att hantera incidenter. 

Höga sanktionsavgifter

NIS 2 innebär ökade skyldigheter vad gäller incidenthantering, kryptering och avslöjande av sårbarheter för både många privata och offentliga verksamheter. EU-ländernas tillsynsmyndigheter får utökade möjligheter att utdöma sanktioner om en aktör brister i sitt arbete. Sanktionerna ska som högst bli på 10 miljoner euro eller 2 procent av den totala omsättningen.

Mer omfattande direktiv

Det ursprungliga NIS-direktivet gäller inom: sjukvård, digital infrastruktur, transport, energi, vattenförsörjning, digitala tjänsteleverantörer samt bank- och finansieringsrörelser. Med NIS 2 tillkommer även leverantörer av offentliga elektroniska kommunikationsnät eller kommunikationstjänster, avloppsvatten och avfallshantering, tillverkning av vissa väsentliga produkter (till exempel läkemedel, medicintekniska produkter, och kemikalier), livsmedel och digitala tjänster (till exempel sociala nätverksplattformar och datacentertjänster) inklusive säkerhet.

Allmän regel för identifiering av reglerade entiteter.

Enligt det gamla NIS-direktivet var det medlemsländerna som bestämde vilka entiteter som uppfyllde kriterierna för att anses vara leverantörer av samhällsviktiga tjänster. Genom det nya NIS 2-direktivet införs en  storleksbaserad allmän regel för identifiering av reglerade entiteter. Detta innebär att alla medelstora och stora entiteter som verkar inom de sektorer eller tillhandahåller de tjänster som omfattas av direktivet täcks av dess tillämpningsområde.

Slutligt godkännande av EU-rådet

NIS 2 kommer också att gälla för offentliga förvaltningar på central och regional nivå. Dessutom får medlemsländerna besluta att direktivet ska gälla även för sådana entiteter på lokal nivå.

– Tveklöst förblir cybersäkerhet en central utmaning under de kommande åren. Våra ekonomier och medborgare står inför enorma utmaningar. Vi har nu tagit ännu ett steg för att förbättra vår förmåga att motverka detta hot, säger Ivan Bartoš, Tjeckiens vice premiärminister med ansvar för digitalisering och minister för regional utveckling.

Direktivet antogs av Europaparlamentet den 10 november och har nu fått ett slutligt godkännande av EU-rådet. Medlemsländerna får 21 månader på sig från ikraftträdandet av direktivet för att införliva bestämmelserna i sin nationella lagstiftning.


Taggar


Leverantörer
Ändra marknad
Till toppen av sidan
Stäng