Publicerad 2 oktober 2024

NIS-direktivet, NIS2 och CER-direktivet

NIS-direktivet syftar till att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom EU. Kraven i NIS2 ska harmonisera införlivandet av reglerna i NIS. CER-direktivet ska säkerställa att störningar eller avbrott bland samhällsviktiga verksamheter kan förebyggas, motverkas, och hanteras.

SKR arbetar nära MSB för att säkerställa att kommun- och regionperspektiven beaktas i myndighetens förberedande arbete. SKR för också dialog med Adda, för planering av olika utbildnings- och informationsinsatser.

Dessutom har SKR tillsammans med Kompetensgemenskapen för informationssäkerhet utvecklat ett metodstöd för informationssäkerhet, som ett stöd för kommunernas och regionerernas arbete att kunna leva upp till existerande och kommande lagkrav vad gäller informationssäkerhet

Metodstöd för informationssäkerhet

Det här är NIS och NIS2-direktiven

NIS-direktivet som EU har antagit syftar till att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom den europeiska unionen. Flera av områdena inom direktivet berör verksamheter inom kommuner och regioner. Det europeiska NIS-direktivet är införlivad i svensk lagstiftning.

NIS2 står för "Network and Information Systems Directive 2" och är en uppdatering av det tidigare NIS-direktivet. Syftet med NIS2 är att säkerställa en hög nivå av informationssäkerhet i hela EU genom att stärka skyddet av samhällsviktiga tjänster som en följd av den ökade digitaliseringen och hotbilden av cyberhot. NIS2 inkluderar bland annat energiförsörjning, finansiella tjänster, sjukvård och transport.

NIS2-direktivet ska införas i svensk lag, och förslaget om hur detta ska genomföras har varit ute på remiss. Utredningen föreslår att en ny lag om cybersäkerhet träder i kraft den 1 januari 2025.

NIS 2, EUR-Lex

NIS-direktivet, MSB

Nytt i NIS2, jämfört med NIS

  • NIS2 ställer tydligare krav på riskanalyser och säkerhetskrav, men också på ledningens deltagande i cybersäkerhetsarbetet.
  • NIS2 innebär också att hela verksamheten kommer att omfattas av lagstiftningen.
  • NIS2 omfattar betydligt fler aktörer än nuvarande lagstiftning (NIS), antalet sektorer ökar från sju till 18. En av de nya sektorerna är offentlig förvaltning, vilket innebär att kommuner och regioner kommer att omfattas av lagstiftningen.
  • NIS2 innebär också att en administrativ sanktionsavgift införs, för offentlig förvaltning föreslås den ligga på minst 5.000 kr och som mest 10. 000 000 kr.

Berörda tjänster inom NIS, NIS2

Övriga tjänster inom kommuner och regioner som kan beröras kan vara inom följande sektorer:

  • Avfallshantering (ny sektor)
  • Avloppsvatten (ny sektor)
  • Digital infrastruktur
  • Dricksvatten
  • Energi
  • Hälso- och sjukvård
  • Transport

Tillsynsmyndighet och incidentrapportering, NIS

Myndigheten för samhällsskydd och beredskap, MSB, koordinerar nationellt arbetet med tillsynsmyndigheterna.

  • Huvudman för berörda tjänster ska anmäla sig till respektive tillsynsmyndighet.
  • Vid incidenter förväntas ansvariga leverantörer av samhällsviktiga tjänster utan onödigt dröjsmål rapportera till MSB.

Sektor Energi

Sektorn omfattar tjänster inom el, flytande drivmedel och bränslen samt gas. Tillsynsmyndighet är Statens energimyndighet.

Statens energimyndighet

Sektor Transport

Sektorn omfattar tjänster inom luft, järnväg, sjöfart och väg. Tillsynsmyndighet är Transportstyrelsen.

Transportstyrelsen

Sektor Hälso- och sjukvård

Tillsynsmyndighet är Inspektionen för vård och omsorg, IVO.

Inspektionen för vård och omsorg, IVO

Sektor Dricksvatten

Sektorn omfattar leverans och distribution av dricksvatten. Tillsynsmyndighet är Livsmedelsverket.

Livsmedelsverket

CER-direktivet (Directive on the resilience of critical entities)

CER-direktivets syfte är att stärka kritiska verksamhetsutövares motståndskraft och förmåga att tillhandahålla samhällsviktiga tjänster på den inre marknaden.

Europaparlamentet och rådet antog den 14 december 2022 CER-direktivet, samtidigt som NIS2-direktivet.

Om CER-direktivet EUR-Lex 2022/2257

EU:s medlemsstater ska identifiera verksamhetsutövare som erbjuder samhällsviktiga tjänster inom sektorerna energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning, rymden samt produktion, bearbetning och distribution av livsmedel.

  • Direktivet ställer krav på att kritiska verksamhetsutövare ska göra en riskbedömning och vidta åtgärder, inklusive bakgrundskontroller, i syfte att stärka motståndskraften, samt rapportera incidenter.
  • Direktivet innehåller vidare bestämmelser om tillsyn och sanktioner samt en ram för samarbete mellan medlemsstaterna.

Lagen om motståndskraft hos kritiska verksamhetsutövare

Utredningen föreslår att CER-direktivet införlivas genom en ny lag, lagen om motståndskraft hos kritiska verksamhetsutövare.
Lagen ska tillämpas på enskilda och offentliga verksamhetsutövare som tillhandahåller en samhällsviktig tjänst som omfattas av bilagan till direktivet. Vidare krävs att verksamhetsutövaren har identifierats som kritisk av tillsynsmyndigheten.

Motståndskraft i samhällsviktiga tjänster, SOU 2024:64

Identifiering av kritiska verksamhetsutövare

Tillsynsmyndigheterna ska identifiera kritiska verksamhetsutövare inom sina tillsynsområden. För att en verksamhetsutövare ska identifieras som kritisk enligt direktivet ska tre kriterier vara uppfyllda:

  • Verksamhetsutövaren ska tillhandahålla en eller flera samhällsviktiga tjänster inom någon av sektorerna som finns i bilagan till direktivet,
  • verksamhetsutövaren ska ha en kritisk infrastruktur belägen i Sverige, och
  • en incident ska få betydande störande effekter för tillhandahållandet av den samhällsviktiga tjänsten.

Myndigheten för samhällsskydd och beredskap ska meddela föreskrifter om när en störande effekt är betydande.

Krav på riskbedömning, åtgärder för motståndskraft och incidentrapportering

Direktivet ställer krav på att kritiska verksamhetsutövare ska göra en riskbedömning och vidta tekniska, säkerhetsmässiga och organisatoriska åtgärder, inklusive bakgrundskontroller, i syfte att stärka motståndskraften, samt rapportera incidenter. Åtgärderna ska vidtas på grundval av riskbedömningen, utgå från ett allriskperspektiv och vara proportionella i förhållande till risken. Tillsynsmyndigheterna får meddela föreskrifter om riskbedömning, åtgärder och planer för motståndskraft. MSB får meddela föreskrifter för sektorn offentlig förvaltning.

Kritiska verksamhetsutövare ska utan dröjsmål rapportera incidenter som medför eller kan medföra en betydande störning i tillhandahållandet av den samhällsviktiga tjänsten till MSB. En första rapport ska lämnas inom 24 timmar. MSB får meddela föreskrifter om vad som utgör en betydande störning och om incidentrapportering.

Bakgrundskontroll

Kritiska verksamhetsutövare ska göra en befattningsanalys där det framgår för vilka befattningar det finns ett krav på bakgrundskontroll.
Den kritiska verksamhetsutövaren ska genomföra bakgrundskontrollen och bedöma om personen som kontrollen avser är lämplig.

Tillsyn

Utredningen föreslår att den tillsynsmyndighet som är tillsynsmyndighet enligt den föreslagna lagen om cybersäkerhet även blir tillsynsmyndighet enligt lagen om motståndskraft hos kritiska verksamhetsutövare.

Ingripande och sanktioner

Ingripande kan ske genom att tillsynsmyndigheten beslutar om föreläggande, sanktionsavgift eller anmärkning. Nivåerna på sanktionsavgiften föreslås vara desamma som för väsentliga verksamhetsutövare i lagen om cybersäkerhet. För offentliga kritiska verksamhetsutövare innebär detta att sanktionsavgiften bestäms till lägst 5 000 kronor och högst till 10 000 000 kronor.

Lagen om cybersäkerhet

Kommun eller region som identifierats som en kritisk verksamhetsutövare enligt lagen om motståndskraft hos kritiska verksamhetsutövare ska omfattas av lagen om cybersäkerhet.

Läs vidare

Informationsansvarig

  • Jonas Nilsson
    Informationssäkerhetsspecialist

Kontakta oss

Kontaktformulär SKR








Verifiering * (obligatorisk)
Vi kontrollerar att du är en människa och inte en robot.