Den 10 november 2022 beslutade ministerrådet kring NIS 2-regelverket och därmed är det formellt antaget och kan träda i kraft. En utredning kommer snart att tillsättas för genomförandet i Sverige. Vi på NIS2.se kommer att återkomma med nyheter och artiklar på sidan och följa resan framåt från och med nu.
Rådet har antagit ny lagstiftning för en hög gemensam cybersäkerhetsnivå i hela EU. Den offentliga och privata sektorn, och unionen i stort, ska öka sin resiliens och sin kapacitet att hantera incidenter.
Det nya NIS 2-regelverket ska ersätta de nuvarande nätverks- och informationssäkerhetsreglerna (NIS-regelverket).
Förstärkt risk- och incidenthantering och ökat samarbete
NIS 2-regelverket utgör basen för riskhanteringsåtgärder och rapporteringskrav på cyberområdet i alla sektorer som omfattas av regelverket, såsom energi, transport, hälso- och sjukvård samt digital infrastruktur.
Syftet med det reviderade regelverket är att harmonisera de olika medlemsländernas cybersäkerhetskrav och tillämpning av cybersäkerhetsåtgärder. Därför fastställs miniminivåer för ett regelverk och mekanismer för ett effektivt samarbete mellan de berörda myndigheterna i varje medlemsland. Förteckningen över sektorer och verksamhet som omfattas av cybersäkerhetsskyldigheter uppdateras, och korrigerande åtgärder och sanktioner föreskrivs för att garantera att lagstiftningen följs.
Genom regelverket inrättas formellt Europeiska kontaktnätverket för cyberkriser (EU-CyCLONe), som ska bidra till en samordnad hantering av storskaliga cyberincidenter och kriser.
Bredare tillämpningsområde för reglerna
Enligt det gamla NIS-regelverket var det medlemsländerna som bestämde vilka entiteter som uppfyllde kriterierna för att anses vara leverantörer av samhällsviktiga tjänster. Genom det nya NIS 2-regelverket införs en storleksbaserad allmän regel för identifiering av reglerade entiteter. Detta innebär att alla medelstora och stora entiteter som verkar inom de sektorer eller tillhandahåller de tjänster som omfattas av regelverket täcks av dess tillämpningsområde.
Denna allmänna regel bibehålls i det reviderade regelverket. Texten innehåller också ytterligare bestämmelser för att garantera proportionalitet, en högre nivå av riskhantering och tydliga kritiska kriterier så att nationella myndigheter kan fastställa ytterligare entiteter som omfattas.
I texten klargörs också att regelverket inte är tillämpligt på entiteter med verksamhet inom områden som försvar eller nationell säkerhet, allmän säkerhet och brottsbekämpning. Rättsväsende, parlament och centralbanker omfattas inte heller av regelverket.
NIS 2 kommer också att gälla för offentliga förvaltningar på central och regional nivå. Dessutom får medlemsländerna besluta att regelverket ska gälla även för sådana entiteter på lokal nivå.
Andra förändringar till följd av de nya lagstiftningen
Det nya regelverket har anpassats till sektorsspecifik lagstiftning, främst förordningen om digital operativ motståndskraft för finanssektorn (DORA-förordningen) och direktivet om kritiska enheters resiliens. Syftet är att skapa rättslig klarhet och garantera samstämmighet mellan NIS 2-regelverkverket och dessa akter.
En frivillig peer learning-mekanism ökar det ömsesidiga förtroendet och leder till att fler lärdomar dras av god praxis och erfarenheter i unionen. Detta bidrar i sin tur till en hög gemensam cybersäkerhetsnivå.
Rapporteringskraven förenklas för att undvika överrapportering och onödiga bördor för de entiteter som omfattas av dessa.
Regelverket offentliggörs i EU:s officiella tidning inom de närmaste dagarna och träder i kraft den tjugonde dagen efter detta offentliggörande.
Medlemsländerna får 21 månader på sig från ikraftträdandet av regelverket för att införliva bestämmelserna i sin nationella lagstiftning.
Vill du läsa mer om beslutet kan du följa denna länk
