Till innehåll på sidan

Det här är NIS2-direktivet

NIS2-direktivet syftar till att uppnå en hög gemensam cybersäkerhetsnivå i hela unionen. Jämfört med NIS1 ställs tydligare krav på bland annat riskanalyser och olika säkerhetsåtgärder. Många fler organisationer kommer också att omfattas. NIS2-direktivet kommer att genomföras i Sverige genom en lag som börjar gälla i början av 2025.

NIS2 ställer tydligare krav på bland annat riskanalyser och olika säkerhetsåtgärder. Direktivet ställer även ökade krav på ledningens deltagande i organisationens cybersäkerhetsarbete. NIS2 innebär också att betydligt fler sektorer omfattas av lagstiftningen jämfört med NIS. Av den anledningen tillkommer fler tillsynsmyndigheter. Sanktionsavgifterna blir även högre än idag i det fall kraven inte efterlevs.

NIS2-direktivet beslutades av EU i december 2022 och ersätter det NIS-direktiv som började gälla 2018 genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster ("NIS1").

NIS2-direktivet ska införas i svensk lagstiftning. Just nu pågår en process för att utreda frågor kring regler, men vi saknar fortfarande exakta svar.

Ansvarsfördelning för NIS2

Den som omfattas av NIS2 kallas verksamhetsutövare. Verksamhetsutövarna finns i 18 olika sektorer. De exakta kriterierna för vilka som ska omfattas i Sverige är inte klara ännu.

För varje sektor ansvarar en eller flera tillsynsmyndigheter för vägledning och tillsyn. Tillsynsmyndigheterna har också rätt att utfärda föreskrifter som reglerar kraven i respektive sektor.

MSB har ett samordningsansvar, på nationell nivå i Sverige gentemot tillsynsmyndigheter och verksamhetsutövare, och på EU-nivå som kontaktpunkt för samarbete med andra medlemsstater. MSB har också i uppdrag att utfärda föreskrifter när det gäller vissa gemensamma aspekter av kravställningen för dem som omfattas. Enligt utredningens förslag kommer MSB att ha en liknande roll för NIS2.

Uppgifter om ni omfattas av NIS2

Den som är verksamhetsutövare enligt NIS2 har i huvudsak följande uppgifter:

  • Identifiera att man omfattas och anmäla sig.
  • Etablera/upprätthålla ett systematiskt arbete med informationssäkerhet, införa lämpliga säkerhetsåtgärder och utbilda ledning såväl som personal.
  • Rapportera in incidenter som medför eller kan medföra betydande störningar.

Verksamhetsutövaren berörs också av tillsyn från tillsynsmyndigheten för den sektor eller de sektorer där man omfattas.

Läs mer om NIS2 för verksamheter

CER

Samtidigt som beslutet om NIS2-direktivet kom fattades även beslut om direktivet om kritiska entiteters motståndskraft, CER. I direktivet ställs krav på all annan verksamhet som måste kunna upprätthållas vid olika typer av störningar. Det kan handla om skydd av fysisk säkerhet som exempelvis lokaler och anläggningar och att rätt personer har åtkomst till dessa.

Kontakt

Vid frågor till MSB om NIS2/CER-direktiven mejla gärna till NIS2-CER@msb.se.

Relaterade länkar

Senast granskad: 20 juni 2024

Till toppen av sidan