Lugnet före stormen

Nyhet , Omvärldsbevakning , Säkerhetsskydd , Verksamhetsskydd
tisdag 3 december 2024

NIS 2-direktivet¹ skulle börja tillämpas av medlemsstaterna den 18 oktober 2024. Även CER-direktivet², skulle börja tillämpas från detta datum. Någon lagstiftning som implementerar NIS 2-direktivet och CER-direktivet är dock långt ifrån klar. Tiden innan den nya regleringen träder i kraft kan med fördel användas för att förbereda verksamheten, även om det förstås är svårt att förbereda sig när det ännu inte finns någon reglering att förhålla sig till.

Visserligen finns EU-direktivet som ger övergripande information om syfte och krav på medlemsländerna liksom förslag som utredningen om genomförande av NIS 2- och CER-direktiven har lämnat.^{3 4} Den kommande lagstiftningen kommer dock sannolikt inte att överensstämma helt med utredningens förslag. Utredningen föreslår att NIS 2-direktivet respektive CER-direktivet genomförs genom två nya lagar, lagen om cybersäkerhet respektive lagen om motståndskraft hos kritiska verksamhetsutövare samt att lagarna kompletteras med förordningar och myndighetsföreskrifter.

Utredningens förslag har remitterats, dock ännu inte till Lagrådet, vilket är steget innan regeringen utarbetar en proposition som sedan ska överlämnas till Riksdagen. Med andra ord kommer det att ta minst ett halvår innan det finns någon lagstiftning på plats när det gäller NIS 2 och CER, även om Regeringskansliet sannolikt hanterar frågan skyndsamt. Sverige är som framgått redan försenade med implementeringen.

Se till att uppfylla nuvarande NIS-regelverk

Även om det ännu inte finns någon reglering att förhålla sig till kan du ändå förbereda dig. Till att börja med kan du säkerställa att de nuvarande reglerna⁵ om NIS uppfylls. De svenska reglerna gäller fortfarande även om det tidigare NIS-direktivet har upphört att gälla.

Eftersom många krav på dig som verksamhetsutövare kommer att vara liknande, men lite strängare, är mycket vunnet om åtminstone det nuvarande regelverket uppfylls. En viktig del är att fortsätta utveckla det systematiska informationssäkerhetsarbetet enligt MSB:s föreskrifter⁶ och eventuella föreskrifter från verksamhetens tillsynsmyndighet.

En annan sak du kan göra är att se till att verksamhetens ledning och beslutsfattare får tillräckligt med information om NIS 2 för att kunna säkerställa en lämplig organisatorisk struktur för att kunna omhänderta kraven. Vidare kan det vara bra att utbilda och sprida information om NIS och NIS 2 generellt bland medarbetare i organisationen.

Som verksamhetsutövare kan du även passa på att säkerställa att den säkerhetskänsliga verksamheten är tydligt avgränsad. Enligt utredningens förslag kommer verksamhet som omfattas av säkerhetsskyddslagen inte att undantas helt från NIS 2-regleringen. Det skulle i så fall bli en skillnad i förhållande till den nuvarande NIS-regleringen.

Förbered dig för CER-regleringen

När det gäller CER-regleringen finns lite mer tid för så kallat kritiska verksamhetsutövare att förbereda sig eftersom det första steget sannolikt är att tillsynsmyndigheten för aktuell sektor först ska identifiera kritiska verksamhetsutövare inom sitt tillsynsområde. När dessa verksamheter har fått besked om att de har identifierats som kritiska verksamhetsutövare kommer de, enligt utredningens förslag, att få en begränsad tid på sig för att genomföra vissa åtgärder, bland annat en riskbedömning.

Men även när det gäller CER kan vissa förberedelser göras. Du kan till exempel se till att verksamhetens ledning och beslutsfattare får tillräckligt med information om CER för att kunna säkerställa en lämplig organisatorisk struktur för det fall verksamheten bedöms vara en kritisk verksamhetsutövare och behöver tillämpa en kommande CER-reglering.

Som verksamhetsutövare kan du genom CER-direktivet och utredningens förslag själv bilda dig en preliminär uppfattning av om ni kan komma att anses vara en kritisk verksamhetsutövare och därmed behöver tillämpa den kommande CER-regleringen.

[1] Europaparlamentets och EU-rådets direktiv 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, ska börja tillämpas 18 oktober 2024

[2] Europaparlamentets och EU-rådets direktiv 2022/2557 om kritiska entiteters motståndskraft ska börja tillämpas den 18 oktober 2024.

[3] Delbetänkande Nya regler om cybersäkerhet (SOU 2024:18)

[4] Slutbetänkandet Motståndskraft i samhällsviktiga tjänster (SOU 2024:64)

[5] Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster med tillhörande förordning och myndighetsföreskrifter (2018:1174)

[6] MSB:s föreskrifter om informationssäkerhet för leverantörer av samhällsviktiga tjänster (MSBFS 2018:8).

Yvette Glantz
Jurist och senior säkerhetsskyddskonsult
0768-29 38 00
yvette.glantz@basalt.se

Kontakta oss

Kaka	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics".
cookielawinfo-checbox-functional	11 months	Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons".
cookielawinfo-checkbox-necessary	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt".
cookielawinfo-checkbox-performance	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda".
viewed_cookie_policy	11 months	Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
bcookie	2 years	LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID.
bscookie	2 years	LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen.
lang	session	LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning.
lidc	1 day	LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter.

Kaka	Varaktighet	Beskrivning
_ga	2 years	_ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare.
_ga_756JKDQ1KE	2 years	Denna cookie installeras av Google Analytics.
_gat_gtag_UA_55739322_1	1 minute	Inställd av Google för att särskilja användare.
_gat_UA-55739322-1	1 minute	En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till.
_gid	1 day	Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien.
_hjFirstSeen	30 minutes	Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren.
_hjIncludedInPageviewSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns.
_hjIncludedInSessionSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns.
_hjTLDTest	session	För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas.
CONSENT	2 years	YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data.
Google_Tag_Manager	1 year
nQ_cookieId	1 year	Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning.
UserMatchHistory	1 month	LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID.

Kaka	Varaktighet	Beskrivning
VISITOR_INFO1_LIVE	5 months 27 days	En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet.
YSC	session	YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor.
yt-remote-connected-devices	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
yt-remote-device-id	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.

Kaka	Varaktighet	Beskrivning
_hjSession_2668272	30 minutes	Ingen beskrivning
_hjSessionUser_2668272	1 year	Ingen beskrivning
AnalyticsSyncHistory	1 month	Ingen beskrivning
li_gc	2 years	Ingen beskrivning
nQ_userVisitId	30 minutes	Ingen beskrivning

Lugnet före stormen

Se till att uppfylla nuvarande NIS-regelverk

Förbered dig för CER-regleringen

More news