Inledning

NIS2-direktivet träder i kraft den 17 oktober i hela EU. Den exakta implementeringen och de specifika kraven kommer dock att variera från land till land, eftersom varje EU-medlemsland implementerar direktivet utifrån sina befintliga behov, lagstiftning och digitala infrastruktur.

I Sverige är förslaget att NIS2 ska träda i kraft den 1 januari 2025 och en ny SOU definierar de cybersäkerhetsregler som svenska operatörer och enheter måste följa. Den fullständiga SOU:n, som du kan ladda ner här, är över 500 sidor lång, men vi har sammanfattat de viktigaste delarna som den offentliga sektorn behöver känna till nedan.

NIS2 i Sverige: Att analysera SOU 2024:18

Innan vi granskar de specifika detaljerna i SOU 2024:18 och hur de kommer att påverka enheter inom den offentliga sektorn, är det bra med en snabb sammanfattning av NIS2 och det tillhörande CER-direktivet.

Huvudkraven för NIS2 och CER

NIS2-direktivet ställer bland annat krav på att alla kritiska samhälls-, myndighets- och digitala tjänster

  • Implementera högre standarder för informationssäkerhet.
  • Implementera en högre cybersäkerhetsnivå på alla fronter.
  • Säkerställa att ledningen/ledarskapet deltar i cybersäkerhetsarbete och praxis.
  • Genomföra omfattande riskanalyser och incidentrapporter.

Dessutom måste kritiska offentliga enheter uppfylla CER-direktivets krav på digital resiliens, vilket innebär att alla kritiska enheter måste kunna upprätthålla verksamheten och säkerställa tillgången till tjänster vid störningar eller attacker.

Sektorer som påverkas av NIS2 i Sverige

I Sverige innebär NIS2-direktivet att antalet berörda sektorer ökar från de 7 sektorer som omfattades av det ursprungliga NIS-direktivet till följande 18 sektorer:

  • Energi

  • Transport och kommunikationer

  • Bankverksamhet

  • Finansmarknadens infrastruktur

  • Hälso- och sjukvård

  • Dricksvatten

  • Avloppsvatten

  • Digital infrastruktur

  • Hantering av ICT-tjänster (från företag till företag)

  • Offentlig förvaltning

  • Rymdadministration och utforskning

  • Post- och kurirtjänster

  • Avfallshantering

  • Tillverkning, produktion och distribution av kemikalier

  • Produktion, förädling och distribution av livsmedel

  • Tillverkning (medicintekniska produkter, datorer, elektronik och optik, elektriska apparater, övriga maskiner, motorfordon, släpvagnar och andra transportmedel)

  • Digitala leverantörer

  • Forskning

Med andra ord, även om NIS2- och CER-direktiven också riktar sig till delar av den privata sektorn (främst tillverkare), tillhör majoriteten av de sektorer som påverkas i Sverige den offentliga sektorn. Det finns dock några anmärkningsvärda potentiella undantag (och tillägg!) som nu har specificerats i SOU:n..

NIS2 Undantag för offentlig sektor i Sverige

Även om NIS2-direktivet påverkar nästan hela den svenska offentliga sektorn finns det undantag för bl.a:

  • Regeringen (Regeringen)
  • Regeringskansliet (Myndigheter)
  • Myndigheter under riksdagen och domstolarna
  • Myndigheter som bedriver säkerhetskänslig verksamhet
  • Regionala/kommunala nämnder
  • Brottsbekämpande myndigheter

För närvarande innebär detta att följande 20 statliga enheter (av totalt 346) kommer att undantas:

  • Riksrevisionen

  • Riksdagens ombudsmän

  • Sveriges Riksbank

  • Riksdagsförvaltningen

  • Sveriges Domstolar

  • Regeringskansliet

  • Tullverket

  • Kustbevakningen

  • Rättsmedicinalverket

  • Polismyndigheten

  • Säkerhetspolisen

  • Åklagarmyndigheten

  • Ekobrottsmyndigheten

  • Kriminalvården

  • Brottsförebyggande rådet

  • Försvarsmakten

  • Fortifikationsverket

  • Försvarets materielverk

  • Försvarets radioanstalt

  • Försvarsunderrättelsedomstolen

Med andra ord är alla undantagen statliga enheter som arbetar på nationell nivå. Samtidigt kommer alla regionala och kommunala enheter, även de som berör säkerhetskänslig verksamhet, att omfattas av NIS2-direktivet.

Logiken bakom att undanta statliga enheter som arbetar med säkerhetskänslig verksamhet eller brottsbekämpning är att dessa enheter måste uppfylla en mycket högre grundläggande säkerhetsstandard än den som föreskrivs i NIS2-direktivet. Dessutom skyddas många av dessa enheter av sekretesslagar som försvårar incidentrapporteringskraven i NIS2.

Man bör dock inte anta att denna lista över undantag är huggen i sten, särskilt inte för de statliga enheter som inte arbetar med nationell säkerhet eller brottsbekämpning som sitt huvudsakliga verksamhetsområde.

MSB har föreslagit att statliga enheter som inte arbetar med nationell säkerhet eller brottsbekämpning ska omfattas av NIS2 eftersom NIS2 bör representera den lägsta cybersäkerhetsstandard som uppfylls av hela den offentliga sektorn från nationell till lokal nivå. Detta skulle innebära att även myndigheter under riksdagen, inklusive Sveriges riksbank och domstolarna, bör omfattas av NIS2.

Enligt Säkerhetspolisen finns det inte heller någon anledning att undanta myndigheter som bedriver säkerhetskänslig verksamhet eller brottsbekämpning eftersom de bör uppfylla denna minimistandard och bygga vidare på den för att nå den nivå av säkerhet och sekretess som krävs.

Ytterligare sektorer som påverkas av NIS2 i Sverige

En anmärkningsvärd ytterligare sektor som kommer att omfattas av NIS2 i Sverige är utbildningssektorn, särskilt den högre utbildningen. SOU:n anger att högre utbildningsinstitutioner som kan utfärda officiella examina måste omfattas av NIS2 och den nya cybersäkerhetslagen.

Anledningen till att Sverige inkluderar universitet och högskolor i NIS2-ramverket är att forskning i Sverige till största delen bedrivs vid statliga universitet och högskolor. Det sker väldigt lite forskning utanför universitetsmiljöerna och för att kunna skydda forskningen, vilket krävs enligt NIS2, måste därför även universitet och högskolor skyddas.

I Sverige finns det 49 lärosäten som har examenstillstånd. Av dessa har 24, som bedriver vetenskaplig och teknisk forskning, i en nyligen genomförd utredning visat sig inte ha tillräcklig informationssäkerhet för att skydda forskningsdata

De 23 lärosätena är följande:

  • Mälardalens universitet

  • Malmö universitet

  • Linnéuniversitetet

  • Kungliga Tekniska Högskolan

  • Karlstads universitet

  • Göteborgs universitet

  • Örebro universitet

  • Försvarshögskolan

  • Högskolan Dalarna

  • Högskolan i Borås

  • Högskolan i Halmstad

  • Högskolan Väst

  • Linköpings universitet

  • Lunds universitet

  • Mittuniversitetet

  • Södertörns Högskola

  • Uppsala universitet

  • Blekinge Tekniska Högskola

  • Högskolan i Gävle

  • Högskolan i Skövde

  • Högskolan Kristianstad

  • Luleå Tekniska universitet

  • Stockholms universitet

  • Umeå universitet

Alla dessa institutioner kommer nu att behöva uppfylla de minimala säkerhetsstandarder som fastställs i NIS2.

Kostnader för bristande efterlevnad för den offentliga sektorn

För alla de institutioner, organisationer och enheter som kommer att påverkas av NIS2 är kostnaden för bristande efterlevnad betydande. I SOU:n föreslås tre nivåer av ekonomiska sanktioner för olika operatörer beroende på hur kritiska de är för samhällets funktion och om de är offentliga eller privata enheter. Vi kommer inte att gå in på böter för privata operatörer i den här artikeln.

För offentliga aktörer kommer de administrativa sanktionskostnaderna att variera från lägst 5 000 kr till högst 10 000 000 kr. Vid bestämmande av storleken på den administrativa sanktionskostnaden ska tillsynsmyndigheten beakta de omständigheter som följer av 5 kap. 3-5 §§ i den föreslagna cybersäkerhetslagen. beroende på överträdelsens omfattning och hur samhällskritisk operatören är.

Ett bra sätt att mäta hur kritisk en offentlig aktör är är att beräkna hur många människor som skulle påverkas av ett dataintrång eller ett avbrott i en tjänst. Ju fler människor som påverkas, desto mer kritisk är operatören och desto högre blir böterna för bristande efterlevnad.

Offentlig-privata partnerskap för implementering av NIS2 i Sverige

Den offentliga sektorn i Sverige är dåligt förberedd för NIS2. Från regeringsnivå till kommunal nivå måste offentliga enheter implementera en hel del funktioner i sina säkerhetssystem och sin infrastruktur för att uppfylla de minimisäkerhetsstandarder som fastställs i NIS2. För att lära dig mer om exakt vilka dessa funktioner är, läs vår artikel ”Förbereda Sverige för framtiden: Vad den offentliga sektorn behöver göra för att vara NIS2-kompatibel.”

Den goda nyheten är att den offentliga sektorn inte är ensam. Sverige har några avancerade leverantörer av cybersäkerhetstjänster och teknik inom den privata sektorn som kan hjälpa den offentliga sektorn att genomföra alla nödvändiga uppgraderingar för NIS2.

Antalet privata leverantörer som den offentliga sektorn kan samarbeta med för att implementera NIS2 i Sverige är dock begränsat eftersom den offentliga sektorn måste uppfylla säkerhetskraven för leveranskedjan i NIS2. Detta innebär att den offentliga sektorn endast kan arbeta med privata leverantörer av cybersäkerhet, elektronisk kommunikation, DNS eller hostingtjänster som uppfyller vissa kriterier för säkerhet och informationshantering.

Förutom att uppfylla alla NIS2-krav bör den offentliga sektorns partners för cybersäkerhetsteknik också:

  • ha EU:s servicenivåavtal och vara baserade i EU. För kritiska enheter är det ännu bättre om de är Sverigebaserade och faller under svensk jurisdiktion.

  • Bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete.

  • Tillhandahålla rätt nivå av digital redundans och resiliens som krävs av den offentliga sektorn.

Dessa krav skapar en betydande begränsning i antalet leverantörer som den svenska offentliga sektorn kan arbeta med om de vill vara NIS2-kompatibla.

Är du en svensk organisation som behöver hjälp med att implementera alla nödvändiga förändringar för NIS2?

Kontakta våra seniora experter för att boka en kostnadsfri rådgivning inom NIS2: