Utan större medial uppmärksamhet trädde det nya EU-direktivet NIS 2.0 i kraft i början av januari 2023 med nya åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem inom hela EU. Senast den 17 oktober 2024 ska medlemsländerna ha införlivat NIS 2.0 i sin nationella lagstiftning.
– Det nya direktivet skärper kraven på cybersäkerhet och omfattar nu även verksamheter med fjärrvärme och fjärrkyla. Den största förändringen är att det införs en omfattande tillsyns- och sanktionskatalog, där sanktioner drabbar både organisationer och personer i ledande ställning, säger advokat Viktor Robertson på advokatbyrån Kahn Pedersen som är specialiserad på digitala affärer och säkerhetsfrågor i privat och offentlig sektor.
Cybersäkerhet är en ständigt aktuell fråga. För att stärka säkerheten i nätverk och informationssystem i EU infördes NIS 1.0 under 2016. Två år senare införlivades direktivet i den svenska rättsordningen som en ny lag. Lagen, som innehåller krav på informationssäkerhet och incidentrapportering för leverantörer av samhällsviktiga och digitala tjänster, omfattar sju samhällsviktiga sektorer, bland annat energi.
Ökad sårbarhet
Det finns flera skäl till att det behövs ett nytt direktiv. Sedan NIS 1.0 trädde i kraft har den digitala omställningen och sammankopplingen av samhället accelererat, bland annat genom 5G-utvecklingen och Internet of things, vilket har ökat sårbarheten och de interna beroendena mellan sektorer och landsgränser. En översyn av NIS 1.0 visade dessutom att införandet av bestämmelserna har tolkats på olika sätt mellan medlemsländerna.
– Ett företag som var verksamt i två olika medlemsländer kunde hamna i den bisarra situationen att den bröt mot NIS 1.0 i ett medlemsland trots att deras verksamhet var förenlig med direktivet i ett annat medlemsland.
I översynen av NIS-direktivet identifierade man att medlemsländernas nuvarande tillsynsprocess var ineffektiv, vilket har medfört att NIS 2.0 innehåller tydligare riktlinjer och högre krav på samarbete mellan medlemsländernas tillsynsmyndigheter. I Sverige är det sex olika myndigheter som har tillsynsansvar för de samhällsviktiga sektorerna. Energimyndigheten har tillsynsansvar för energisektorn.
– Numera är cyberhot sällan riktade mot ett och samma land utan angriparna exploaterar sårbarheter i hela unionen. I det nya direktivet finns en skyldighet för medlemsländernas tillsynsorgan att meddela varandra när de stöter på cyberhot, förklarar Viktor Robertson.
Elva tydliga punkter
Till skillnad från det första direktivet, som har en otydlig kravbild vad gäller cybersäkerhetsåtgärder, innehåller NIS 2.0 en åtgärdskatalog med elva tydliga punkter inom ramen för cybersäkerhetsåtgärder. Här ryms bland annat ett ökat fokus på leverantörskedjan för att säkerställa god cybersäkerhet.
– Förutom att jobba med den egna organisationens kryptering och personalsäkerhet behöver energiföretagen vid upphandling och val av leverantör säkerställa att leverantören tillämpar EU:s bestämmelser, säger Viktor Robertson.
– Alla som levererar en tjänst omfattas även av en ny upplysningsskyldighet där tjänstens användare måste upplysas om nuvarande och kommande cyberhot och hur de ska anpassa sig efter dem.
Hittills har det varit få anmälda NIS-händelser, men nu finns tydliga sanktioner om anmälan saknas eller inte görs i tid."
Incidenter som orsakar störningar med betydande inverkan på kontinuiteten i den samhällsviktiga tjänsten ska rapporteras till MSB, Myndigheten för samhällsskydd och beredskap, och med det nya direktivet är det mer tydligt vad som ska rapporteras inom 24 och 72 timmar respektive en månad.
– Syftet med det här är att myndigheterna ska vidarebefordra information till sina systerorganisationer inom unionen. Hittills har det varit få anmälda NIS-händelser, men nu finns tydliga sanktioner som träder i kraft om anmälan saknas eller inte görs i tid.
Det har funnits farhågor om att rapportering av sårbarheter, incidenter och känsliga tillgångar till ett centralt EU-register kan strida mot den svenska säkerhetsskyddslagstiftningen. Viktor Robertson ser det som mest troligt att säkerhetsskyddad verksamhet även i fortsättningen ska anmälas till Säkerhetspolisen och inte i EU:s rapporteringssystem.
– Innan NIS 2.0 är införlivat i svensk lagstiftning går det inte att säga något säkert, men min bedömning är att det inte kommer ändras.
En av de största nyheterna med det nya NIS-direktivet är att det innehåller en mer omfattande tillsyns- och sanktionskatalog med sanktioner.
– Sanktionerna riktas inte bara mot organisationen utan även mot personer i ledande ställning som i de allvarligaste fallen kan få tillfälliga förbud att utföra sin tjänst. Den högsta sanktionsavgiften för organisationer är tio miljoner euro, säger Viktor Robertson.
Även om det är nytt att fjärrvärme och fjärrkyla inkluderas i NIS, så har de flesta aktörer annan verksamhet som redan nu omfattas av direktivet."
I Sverige pågår nu arbete med att införliva NIS 2.0 i svensk lagstiftning. Nu utreds direktivet i en SOU (Statens offentliga utredningar), där man ska ta fram ett lagförslag innan regeringen går vidare med en proposition till riksdagen.
Emma Johansson, ansvarig för säkerhetsfrågor på Energiföretagen, är positivt inställd till högre krav på cybersäkerhet inom energisektorn.
– Det blir spännande att följa hur det nya direktivet tolkas av svenska myndigheter och utfallet av den nya NIS-regleringen. Omfattas du idag av NIS kommer du även omfattas i fortsättningen.
– Även om det är nytt att fjärrvärme och fjärrkyla inkluderas i NIS, så har de flesta aktörer annan verksamhet som redan nu omfattas av direktivet. Oavsett hur det ser ut är det viktigt att redan nu se över er organisation och hur ni kan samverka med andra, säger Emma Johansson.
Sex tips inför NIS 2.0Hur ska energiföretagen förbereda sig inför NIS 2.0? Här är sex tips från Viktor Robertson, advokat på Kahn Pedersen:Skapa en generell överblick. Omfattas vi av detta och hur påverkas vi?Informera medarbetare och ledningen. Ledningen har ett personligt ansvar för att direktivet följs och kan ge organisationen rätt förutsättningar att lyckas.Se över organisationen. Vem är ansvarig för att NIS 2.0 implementeras och vilka kompetenser behövs? Krävs extern hjälp?Hur ska bestämmelserna implementeras i verksamheten? Skapa en projektorganisation.Finns alla system på plats för att exempelvis upplysa användare av tjänster, eller krävs upphandling av sådana system?Hur påverkar annan lagstiftning företagets robusthet?
Pierre Eklund
