Regeringens utredning, om det nationella genomförandet av NIS 2- och CER-direktivet, ska redovisas senast 23 februari 2024. Det är i skrivandes stund en knapp månad kvar av de 12 som utredningen fick på sig. Därefter ska direktivet införlivas i den nationella lagstiftningen och börja gälla den 18 oktober 2024.
Så vad är det vi väntar på?
Utredningen ska bland annat komma fram till
- Vilka verksamheter/entiteter som ska omfattas t.ex. om kommuner och universitet ska ingå.
- Vilka svenska myndigheter som ska arbeta/samarbeta kring detta.
- Hur direktivet ska fungera parallellt med övrig och befintlig svensk lagstiftning t.ex. säkerhetsskyddsregleringen.
- Hur sekretessen ska hanteras för uppgifter i samband med behandling enligt direktivet t.ex. incidentrapporter.
- Föreslå vilka författningsändringar som ska göras.
NIS 2-direktivet har definitioner på vilka entiteter som ska kvala in på väsentliga (essential) samt viktiga (important) entiteter dvs utöver vissa nya sektorer så beror det även på storlek och omsättning enligt företagsstorleksdefinitionerna i kommissionens rekommendation 2003/361/EG. Det som är oklart och som utredningen ska komma fram till är vilka entiteter under 50 anställda och med omsättning under €10M som egentligen ska vara undantagna NIS 2, artikel 2.1 motsatsvis, men som genom sin samhällskritiska eller -viktiga verksamhet ändå ska vara med i NIS 2-hanteringen (artikel 2.2-2.5). Här kan det också bli så att den egna verksamheten kvalar in i NIS 2 genom att man är med i leveranskedjan till en befintlig NIS2-entitet.
Om du inte vet om du omfattas av NIS 2, men ändå misstänker det t.ex. genom den verksamhet/tjänster som ni hanterar, så utgå då från att ni kommer omfattas. Det är bättre att vara proaktiv än reaktiv.
Utöver deltagardefinitionen kan man fundera över om utredningen kommer föreslå att den svenska implementeringen ska ha en högre cybersäkerhetsnivå än vad direktivet har som minimikrav. Sverige har en tendens att vilja gå lite längre än direktivkraven. Värt att komma ihåg är att utredningens skapelse inte är färdig lagstiftning. Den ska ut på remiss varför riksdagens antagande av lagtexten kommer komma nära inpå den 18 oktober 2024 dvs det kan bli tal om sista-minuten-justeringar.
