Nya cybersäkerhetskrav för samhällsviktiga företag 

EU-kommissionen arbetar sedan 2020 med ett antal initiativ för att stärka cybersäkerheten i det alltmer digitaliserade och uppkopplade Europa. I december 2020 lanserades Cybersäkerhetsstrategin för det Digitala decenniet. Tanken med NIS2 är att nå ett bättre skydd av nätverk och öka investeringarna i cybersäkerhet för att hindra hackares intrång i verksamheter som hör till samhällets kritiska och viktiga funktioner.

Det slutförhandlade NIS2 är en uppgradering av gällande direktiv och kommer att ställa nya krav på ”kritiska” och ”viktiga” leverantörer inom kritiska sektorer. En stor förändring jämfört med nu gällande NIS-direktivet är att många fler verksamheter omfattas av säkerhetskrav.

Cyberattacker ska flaggas inom 24 timmar och rapporteras inom 72 timmar till tillsynsmyndighet. Direktivet innehåller också krav på framtagande av cybersäkerhetsplaner, granskning av leverantörers säkerhet och användning av krypteringsteknik. ”Kritiska” organisationer kommer riskera böter på upp till 2 procent av omsättningen, medan för ”viktiga” organisationer kommer beloppet att vara 1,4 procent.

Medlemsstaternas offentliga förvaltningar klassas nu som kritiska och huvudregeln blir att viktiga offentliga tjänster måste följa samma regler som införs för övriga kritiska sektorer.

Det färdigförhandlade direktivet behöver nu formellt godkännande från EU:s medlemsländer och Europaparlamentet. Därefter ska Sverige och övriga medlemsstater genomföra direktivet i nationell lagstiftning inom har 21 månader.