Tech Blog

Cybersäkerhetslagen närmar sig – är din organisation förberedd?

Den senaste vågen av säkerhetsincidenter och cyberattacker har ökat allmänhetens medvetenhet om betydelsen av en hög nivå av cybersäkerhet. Dessa händelser – inte minst den omfattande cyberattacken mot Tietoevry – understryker det växande hotet mot företags och organisationers digitala infrastruktur. Cybersäkerhet är inte längre bara en förebyggande åtgärd, utan en nödvändig investering för att skydda känslig information, upprätthålla verksamhetskontinuitet och bevara förtroendet från kunder och partners.

Den 5 mars 2024 presenterades utredningen om den så kallade cybersäkerhetslagen som ska implementera EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå (”NIS2”). Cybersäkerhetslagen, som föreslås träda i kraft 1 januari 2025, medför ett antal viktiga förändringar på informationssäkerhets- och cybersäkerhetsområdet jämfört med den nuvarande NIS-lagen som den ersätter.

Organisationer som inte följer cybersäkerhetslagen riskerar omfattande ekonomiska påföljder. Det är vidare viktigt att förstå hur cybersäkerhetslagen förhåller sig till annan lagstiftning på området som till exempel CER-direktivet, cybersäkerhetsförordningen och GDPR.



På grund av den ökade efterfrågan av rådgivning avseende NIS2-direktivets och cybersäkerhetslagens krav har Delphi utvecklat en standardiserad process för juridiskt stöd. Processen är uppdelad i två delar som kan köpas var för sig eller som ett paket – vår Delphi NIS2 Cyber Security Check. Du är såklart även välkommen att ta kontakt med vår informationssäkerhets- och cybersäkerhetsgrupp om du har några andra funderingar eller frågor.



En stor mängd verksamheter omfattas

Cybersäkerhetslagen utökar omfattningen till fler sektorer som delas upp i väsentliga och viktiga verksamhetsutövare. Reglerna är i stora delar desamma för båda typerna av verksamhet, men sanktioner och tillsyn ser annorlunda ut beroende på klassificering. Exempel på nya sektorer som berörs är:

  • Avloppsvatten
  • Förvaltning av IKT-tjänster (mellan företag)
  • Offentlig förvaltning
  • Rymden
  • Post- och budtjänster
  • Avfallshantering
  • Tillverkning, produktion och distribution av kemikalier
  • Produktion, bearbetning och distribution av livsmedel
  • Tillverkning (medicintekniska produkter, datorer, elektronikvaror och optik, elapparater, övriga maskiner, motorfordon, släpfordon och påhängsvagnar och andra transportmedel, m.m.)
  • Forskning

Nästan hela den offentliga sektorn kommer att omfattas av lagens krav, det vill säga myndigheter, regioner och kommuner.

Cybersäkerhetslagen innehåller ett generellt undantag för små- och mikroföretag, vilket omfattar företag som sysselsätter färre än 50 personer och vars omsättning eller balansomslutning inte överstiger 10 miljoner EUR per år. Koncernbolag och bolag med visst ägande räknas in vid beräkning av antal anställda och omsättning/balansomslutning. Det är dock viktigt att notera att många verksamheter omfattas av direktivet oavsett storlek. Detta innefattar bland annat tillhandahållare av elektroniska kommunikationstjänster eller kommunikationsnät och verksamheter som är väsentliga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet.

En särskild fråga har vidare handlat om huruvida en verksamhetsutövares verksamhet i dess helhet ska omfattas eller om bara delar av verksamheten behöver uppfylla kraven. Utredningens slutsats är att hela verksamheten omfattas, det vill säga den fysiska eller juridiska personens verksamhet som helhet och inte bara den verksamhet som direkt nämns i lagen.

Vilka krav ställs på verksamheten

Cybersäkerhetslagen innehåller ett stort antal krav på verksamheter som omfattas. Kraven är till viss del nya eller förtydligade jämfört med nuvarande lag. Några av de viktigaste kraven som verksamheter måste förhålla sig till är:

 Anmäla verksamheten till sin tillsynsmyndighet, vilken varierar beroende på verksamhet.

  • Vidta riskhanteringsåtgärder baserat på en riskanalys. Åtgärderna ska utvärderas. Arbetet ska vara systematiskt och riskbaserat, vilket i princip innebär att man behöver arbeta enligt ISO 27000 standarder eller motsvarande. Det senare är inte ett uttryckligt krav i NIS2-direktivet, men finns i den nuvarande NIS-lagen.
  • Cybersäkerhetslagen pekar ut ett antal specifika områden som ska hanteras, till exempel säkerhet i leveranskedjan (mer om detta nedan), kontinuitetsplanering och personalsäkerhet.
  • Verksamhetens ledning ska genomgå utbildning och anställda ska erbjudas utbildning.
  • Säkerhetsincidenter ska rapporteras till MSB inom vissa tidsramar – en varning inom 24 timmar, incidentanmälan inom 72 timmar och en slutrapport inom en månad.

Säkerhet i leveranskedjan

En betydelsefull nyhet i cybersäkerhetslagen är ett uttryckligt krav på att organisationer ska hantera säkerhetsaspekter i relationen mellan organisationen och dess leverantörer och tjänsteleverantörer. Det innebär att en så kallad due diligence måste utföras i hela leverantörskedjan avseende bland annat leverantörernas cybersäkerhetsåtgärder. En organisation som omfattas av direktivet har således inte bara ansvar för säkerheten i sin egen verksamhet, utan även för sin supply chain. Cybersäkerhetslagen ställer vidare krav på att säkerhet regleras i avtalet, varför både befintliga och nya avtal behöver anpassas för kraven.

Utredningens förslag är att varje verksamhetsutövare endast ska behöva vidta riskhanteringsåtgärder i förhållande till sin leverantör (och inte även dess underleverantörer), med innebörden att varje verksamhetsutövare ansvarar för ett led i kedjan.

Införande av sanktioner enligt GDPR-modellen

Utredningens förslag är att cybersäkerhetslagen ska införa möjligheten för tillsynsmyndigheterna att utfärda sanktionsavgifter på upp till det högsta av 10 miljoner EUR eller 2% av global årsomsättning. Detta kan jämföras med GDPR, vars sanktionsuppgifter kan uppgå till det högsta av 20 miljoner EUR eller 4% av den globala årsomsättningen. Administrativa sanktioner ska även kunna riktas direkt mot verksamhetens högsta styrande organ och personer i ledande ställning. Det föreslås också införas en sanktion i form av föreläggande om att offentliggöra information om överträdelser och informera användare om betydande cyberhot.

På bloggen kommer vi också att följa arbetet mot ett antagande av den nya cybersäkerhetslagen. Om du är intresserad av att lära dig mer om cybersäkerhetslagen och NIS2-direktivet kan du läsa tidigare artiklar på ämnet här.

 

Denna artikel är skriven av Partner/Advokat Agne Lindberg samt Associates Petri Dahlström och Rebecka Undén.