Ny svensk lag om cybersäkerhet 

Den 5 mars lämnade regeringens utredare sitt delbetänkande Nya regler om cybersäkerhet till regeringen. Utredningen är nu på remiss hos berörda parter för att inhämta deras syn på förslaget innan den nya lagen träder i kraft.  

Syftet med delbetänkandet är att ge förslag på hur NIS2-direktivet ska implementeras i Sverige för att stärka motståndskraften i samhällsviktig verksamhet. Efter avslutad remissrunda vidtar regeringens förberedelser inför den nya lagstiftningen. Lagen föreslås att träda i kraft den 1 januari 2025. 

Därför behövs cybersäkerhetslagen 

Cybersäkerhetshotet är större och allvarligare än någonsin. Därför är det viktigt att EU:s medlemsländer håller nätverk och tjänster skyddade. Den grundläggande skyddsnivån behöver höjas vilket innebär både hårdare och tydligare krav på organisationer att bedriva ett systematiskt informationssäkerhetsarbete.  

Vilka är de nya verksamheterna som berörs? 

EU vill att alla organisationer som fyller viktiga samhällsfunktioner omfattas av NIS2. Det betyder att omfattningen går långt utöver traditionella kritiska infrastrukturorganisationer. 

Exempel på sektorer som omfattas av den nya lagen: 

  • Energi
  • Transporter
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvårdssektorn
  • Dricksvatten
  • Avloppsvatten
  • Digital infrastruktur
  • Förvaltning av IKT-tjänster (mellan företag)
  • Offentlig förvaltning
  • Rymden
  • Post- och budtjänster
  • Avfallshantering
  • Tillverkning, produktion och distribution av kemikalier
  • Produktion, bearbetning och distribution av livsmedel
  • Tillverkning
  • Digitala leverantörer
  • Forskning

Ett storlekskrav för att omfattas finns, med innebörden att verksamheten måste sysselsätta minst 50 personer eller ha en årsomsättning som överstiger 10 miljoner Euro. Det betyder att små företag som utgångspunkt inte kommer beröras. Men det finns alltid undantag. Vissa särskilt utpekade enskilda verksamhetsutövare omfattas oavsett storlek. Tillhör företaget en större organisation, till exempel i form av en koncern, lyder det automatiskt under lagen om koncernen gör det. Undantag kommer kunna begäras och ges i särskilda fall. 

Vad kommer cybersäkerhetslagen kräva? 

Utredningen nöjer sig inte med minikraven som fanns i NIS2-fördraget utan tar det ett steg längre. Hur den slutliga lagen ser ut vet vi inte idag men målet är högt satt och möjligheten för regeringen att stärka kraven finns. Det är en omfattande lag som stärker kravet på verksamheter att ha ett starkare skydd mot cyberhot men även att kunna hantera risker och sårbarheter. 

Exempel på vad cybersäkerhetlagen kommer kräva: 

  • Ett aktivt säkerhetsarbete och sårbarhetsanalyser. 
  • Rapportering av incidenter i ett öppet format. 
  • Kontinuitetshantering och återställning. 

Hur ska vi agera nu? 

Om du verkar i någon av de nämnda områdena kommer du beröras och behöver redan nu börja förbereda dig. Även om du är osäker på om du berörs är vår rekommendation att följa lagstiftningen och förordningen. Gör du det är du säker på att inte göra fel samtidigt som ni stärker ert cyberförsvar och i förlängningen kanske undviker ett intrång med den påverkan på företaget som det har. 

Fronts experter har läst direktivet och utredningen inför lagförslaget. Vill du ha hjälp att komma igång med förberedelserna eller få råd om hur ni bör agera? Vi har expertis och tekniska lösningar för din verksamhet. Kontakta oss idag! 

NIS2-direktivet är en uppdatering av det tidigare direktivet som ställer krav på åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i EU (NIS-direktivet). Utredaren har haft i uppdrag att föreslå nödvändiga anpassningar av svensk rätt för att EU:s NIS2-direktiv ska kunna genomföras. 

Vill du
veta mer?

Richard Pietarila 
Affärsområdeschef, IT

033-23 72 40
richard.pietarila@teamfront.se