I slutet av november 2022 beslutades Europaparlamentets och rådets direktiv (EU) 2022/2555, det s.k. NIS 2-direktivet.[1] Direktivet träder i kraft den 16 januari 2023.[2] Medlemsländerna har därefter 21 månader på sig att införliva bestämmelserna i sin nationella lagstiftning. Bestämmelserna i NIS 2-direktivet ska därmed tillämpas från och med den 18 oktober 2024. Samtidigt upphör det nuvarande NIS-direktivet att gälla.
Syftet med det nya NIS direktivet är att ytterligare stärka cyberresiliensen inom EU. Cyberhotbilden har utvidgats samtidigt som den digitala utvecklingen i samhället förändrats. Det medför nya utmaningar som kräver ytterligare åtgärder. Dessutom finns stora skillnader mellan medlemsländernas tillämpning av det nuvarande regelverket vilket innebär att vissa medlemsstater har större sårbarhet för cyberhot. Skillnader bedöms ha en skadlig effekt på den inre marknaden.
I bilaga I och II i NIS 2-direktivet anges vilka verksamheter som ska tillämpa bestämmelserna i direktivet. Vidare är huvudregeln att verksamheterna (entiteterna) ska vara av viss storlek för att omfattas av direktivet. Oavsett verksamheternas storlek ska NIS-2 direktivet tillämpas på verksamheter som identifieras som kritiska entiteter enligt direktiv (EU) 2022/2557.[3]
Verksamheterna delas in i två kategorier högkritiska sektorer (bilaga I) och andra kritiska sektorer (bilaga II).
De högkritiska sektorerna består av de nuvarande sju sektorerna samt fyra nya sektorer, nämligen:
- avloppsverksamhet,
- förvaltning av IKT-tjänster (mellan företag),
- offentlig förvaltning på central och regional nivå med vissa undantag,
- rymden (tillhandahållande av rymdbaserade tjänster).
Även vissa av de nuvarande sju sektorerna utökas till fler verksamhetsområden t.ex. hälso- och sjukvård och digital infrastruktur.
De sektorer som tillkommer i NIS 2-direktivet som andra kritiska sektorer är:
- post- och budtjänster,
- avfallshantering,
- tillverkning, produktion och distribution av kemikalier,
- produktion, bearbetning och distribution av livsmedel,
- tillverkning av vissa produkter (medicintekniska produkter, datorer, elektronikvaror, vissa maskiner, motorfordon och andra transportmedel m.m.),
- digitala leverantörer och
- forskning
I direktivet klargörs att det inte är tillämpligt på vissa verksamheter bl.a. inom områden som försvar eller nationell säkerhet, allmän säkerhet, rättsväsende och brottsbekämpning.
Direktivet innebär också utökade krav när det gäller risk- och incidenthantering och samarbete mellan medlemsstaterna. Vidare föreskrivs om mer effektiva rättsmedel och efterlevnadskontrollåtgärder samt korrigerande åtgärder och sanktioner.
Arbetet med att införliva bestämmelserna i den svenska lagstiftningen pågår och sannolikt kommer ett antal förslag om författningsändringar att remitteras under 2023. NIS 2-direktivet innebär troligtvis ändringar främst i lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster men även andra regelverk, exempelvis säkerhetsskyddslagstiftningen och lagen (2003:389) om elektronisk kommunikation.
[1] Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148.
[2] Direktivet offentliggjordes i EU:s officiella tidning den 27 december 2022 (Celex:32022L2555).
[3] Europaparlamentets och rådets direktiv (EU) 2022/2557 av den 14 december 2022 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG.