Till innehåll på sidan

NIS2 och CER - direktiv för ökad motståndskraft

NIS2-direktivet syftar till att uppnå en hög gemensam cybersäkerhetsnivå i hela unionen. Direktivet ställer tydligare krav på bland annat riskanalyser och olika säkerhetsåtgärder. Det ställer även ökade krav på ledningens deltagande i organisationens cybersäkerhetsarbete.

NIS2 beslutades av EU den 14 december 2022. Direktivet ersätter det NIS-direktiv som började gälla 2018 genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

Samtidigt som beslutet om NIS2-direktivet kom fattades även beslut om direktivet om kritiska entiteters motståndskraft, CER. I direktivet ställs krav på all annan verksamhet som måste kunna upprätthållas vid olika typer av störningar. Det kan handla om skydd av fysisk säkerhet som exempelvis lokaler och anläggningar och att rätt personer har åtkomst till dessa.

De båda kompletterande direktiven börjar att tillämpas den 18 oktober 2024.EU och arbetet med att stärka motståndskraften i samhällsviktig verksamhet (CER-direktivet)

Vad är nytt i NIS2?

NIS2 ställer tydligare krav på bland annat riskanalyser och olika säkerhetsåtgärder. Direktivet ställer även ökade krav på ledningens deltagande i organisationens cybersäkerhetsarbete. NIS2 innebär också att betydligt fler sektorer omfattas av lagstiftningen jämfört med NIS. Av den anledningen tillkommer fler tillsynsmyndigheter. Sanktionsavgifterna blir även högre än idag i det fall kraven inte efterlevs.

Vilka sektorer omfattar NIS2?

NIS2 omfattar verksamhet inom följande 18 sektorer:

  • Energi
  • Transporter
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvård
  • Dricksvatten
  • Avloppsvatten
  • Digital infrastruktur
  • Förvaltning av IKT-tjänster (mellan företag)
  • Offentlig förvaltning
  • Rymden
  • Post- och budtjänster
  • Avfallshantering
  • Tillverkning, produktion och distribution av kemikalier
  • Produktion, bearbetning och distribution av livsmedel
  • Tillverkning (medicinska produkter)
  • Digitala leverantörer
  • Forskning

Den svenska NIS2 och CER-utredningen

Den 23 februari 2023 tillsatte regeringen en utredning som har till uppdrag att införa NIS2 och CER-direktiven i svensk lagstiftning.

Utredningen har lämnat delbetänkandet SOU 2024:18 Nya regler om cybersäkerhet med förslag om hur NIS2-direktivet ska implementeras och föreslår att förslagen ska träda i kraft den 1 januari 2025.

Slutbetänkandet som ska redovisas senast den 16 september 2024 ska bland annat föreslå hur CER-direktivet ska genomföras, men även förslag kring de områden som är gemensamma för NIS2- och CER-direktiven ska då redovisas.

Delbetänkandet SOU 2024:18 om Nya regler om cybersäkerhet är nu ute på remiss fram till den 28 maj. MSB lämnade in sitt remissvar den 12 april.

Delbetänkandet SOU 2024:18 Nya regler om cybersäkerhet

MSB har tagit del av betänkande om nya regler om cybersäkerhet och lämnar följande synpunkter på utredningens förslag.

Se remissvar för delbetänkandet SOU 2024:18

Om utredningen av NIS2 och CER på regeringens webbplats

Kontakt

Vid frågor till MSB om NIS2/CER-direktiven maila gärna till NIS2-CER@msb.se

Relaterade länkar

Senast granskad: 24 april 2024

Till toppen av sidan