Vad innebär NIS2 och förslaget till ny cybersäkerhetslag?
Identifiera och anmäla till tillsynsmyndighet
De organisationer som omfattas av NIS2 kallas verksamhetsutövare och finns inom 18 olika sektorer. En av sektorerna, där stadsnäten med största sannolikhet kommer att ingå, är digital infrastruktur. Verksamhetsutövarna delas in i två kategorier – väsentliga och viktiga. Kraven som ställs på de två kategorierna är liknande men reglerna för tillsyn och sanktioner skiljer sig åt.
Enligt NIS2 ska aktörer själva identifiera om de omfattas och i så fall anmäla sig till tillsynsmyndigheten. Hur anmälan kommer att gå till är inte fastställt ännu.
Post- och telestyrelsen, PTS, har tagit fram en e-tjänst som stöttar företag i att bedöma om de kommer att omfattas av den nya cybersäkerhetslagen. Klicka här för att komma till e-tjänsten.
Tillsynsmyndigheternas uppdrag
För varje sektor ansvarar en eller flera tillsynsmyndigheter för vägledning och tillsyn. Det är ännu inte fastställt vilken tillsynsmyndighet sektorn digital infrastruktur kommer att tillhöra.
Tillsynsmyndigheterna ansvarar för att se till att den kommande cybersäkerhetslagen följs av verksamhetsutövarna inom sektorn, vilket bland annat innebär att de ska se till att verksamhetsutövarna uppfyller kraven för säkerhetsåtgärder och incidentrapportering. Tillsynen ska även fungera som ett stöd för verksamhetsutövaren i det egna säkerhetsarbetet. Därtill har tillsynsmyndigheterna i uppdrag att ingripa mot verksamhetsutövare om de inte uppfyller kraven, vilket kan resultera i ekonomiska påföljder i form av sanktionsavgifter.
Upprätta och bedriva ett systematiskt och riskbaserat säkerhetsarbete
NIS2 ställer krav på att verksamhetsutövarna bland annat genomför riskanalyser samt säkerställer säkerhets- och riskhanteringsåtgärder. Detta uppnås genom ett systematiskt arbete med både drift- och informationssäkerhet, vilket bland annat innebär att anpassa skyddet utifrån organisationens behov samt att utbilda all personal, framför allt organisationens ledning.
Rapportera in betydande incidenter
Verksamhetsutövare ska rapportera in alla incidenter som medför eller kan medföra betydande störningar till en nationell kontaktpunkt, även kallat CSIRT-enhet. I den kommande lagstiftningen kommer det att fastställas vem eller vilka myndigheter som får den rollen i Sverige. Inom ramen för tidigare NIS-direktiv är det Myndigheten för samhällsskydd och beredskap, MSB, som tar emot incidentrapporter. CSIRT-enheten ska skapa en samlad bild av incidentläget, varna andra och eventuellt inleda samordnande insatser.
Enligt MSB ska verksamhetsutövare rapportera in:
en varning (även kallad notifiering) inom 24 timmar efter av incidenten har upptäckts,
en incidentanmälan med inledande bedömning inom 72 timmar efter att incidenten upptäckts,
en slutrapport inom en månad, där omständigheterna beskrivs närmare med bland annat konsekvenser, sannolik orsak och vilka åtgärder som vidtagits.
en lägesrapport inom en månad i det fall incidenten fortfarande pågår. En slutrapport ska då i stället lämnas in en månad efter att incidenten är avslutad.
Enligt NIS2-utredningens förslag ska incidentrapporteringen göras till MSB, som i sin tur vidarebefordrar rapporterna till respektive tillsynsmyndighet. Kriterier för vad som menas med betydande incident och hur rapporteringen ska gå till är ännu inte fastställt.
