PTS förtydligande kring rättsläget i väntan på ny cybersäkerhetslag
NIS2-direktivet skulle egentligen vara införd i svensk lag den 18 oktober 2024. Proposition för ny cybersäkerhetsreglering förväntas emellertid att läggas fram under våren 2025. Det innebär att Sverige har en övergångsperiod där en svensk lag inte finns på plats, samtidigt som vissa EU-bestämmelser redan gäller. Post- och telestyrelsen, PTS, har därför publicerat förtydligande information om vad som principiellt gäller under övergångsperioden.
Den 18 oktober 2024 publicerade EU-kommissionen en så kallad genomförandeförordning som specificerar NIS2-direktivets krav på riskhanteringsåtgärder och incidentrapporteringskrav. Dessa regler börjar gälla den 7 november 2024.
PTS har gjort en bedömning kring vad som principiellt gäller för de aktörer som omfattas av NIS2-direktivet och förslaget till cybersäkerhetslag under övergångsperioden, det vill säga från och med den 18 oktober 2024 till och med det datum som den föreslagna svenska cybersäkerhetslagen träder i kraft.
PTS bedömning är att aktörer som inte omfattas av skyldigheter enligt den befintliga svenska NIS-lagen, lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, men som kommer omfattas av den kommande cybersäkerhetslagen, inte omfattas av skyldigheter enligt NIS2-direktivet eller genomförandeförordningen innan den svenska lagen trätt i kraft. Det gäller alltså som utgångspunkt för stadsnäten. Enligt PTS bör dessa aktörer dock fortsätta arbetet med att förbereda sin verksamhet inför att cybersäkerhetslagen träder i kraft, trots att lagen är försenad.
