Remiss: Förslag till nya föreskrifter om säkerhetsåtgärder och utbildning enligt ny cybersäkerhetslag

Genom cybersäkerhetslagen införs nu NIS2-direktivet. Lagen planeras att börja gälla den 15 januari 2026. MSB har fått i uppdrag av regeringen att vidta vissa åtgärder för att förbereda för att meddela föreskrifter rörande

1. anmälningsskyldighet,
2. kriterier för när en verksamhetsutövare ska omfattas av regelverket med hänvisning till sin särskilda betydelse i samhället och när sådana verksamhetsutövare ska räknas som väsentliga,
3. vad som utgör huvudsakligt etableringsställe,
4. undantag för partnerföretag och anknutna företag,
5. säkerhetsåtgärder,
6. utbildning,
7. rapporteringsskyldigheter,
8. vad som utgör en betydande incident,
9. skyldighet att informera vid betydande incidenter och betydande cyberhot, och
10. säkerhetsrevisioner och säkerhetsskanningar.

MSB:s uppdrag om att förbereda föreskrifter omfattar inte föreskrifter om säkerhetsåtgärder, vad som utgör en betydande incident och skyldighet att informera vid betydande incidenter och betydande cyberhot för följande sektorer: digital infrastruktur, digitala leverantörer, förvaltning av IKT-tjänster (mellan företag), post- och budtjänster och rymden. Sådana föreskrifter har istället Post och telestyrelsen fått i uppdrag av regeringen att förbereda.

Föreskrifter om säkerhetsåtgärder och utbildning

Förslaget till föreskrifter om säkerhetsåtgärder och utbildning syftar till att förtydliga vilka organisatoriska, tekniska, driftrelaterade och fysiska säkerhetsåtgärder en verksamhetsutövare är skyldig att vidta för att uppfylla 2 kap 3 § cybersäkerhetslagen samt vilken utbildning som ledningen ska genomgå enligt 2 kap 4 § cybersäkerhetslagen.