Cybersäkerhetslagen medför nya riskhanterings- och rapporteringsskyldigheter för många sektorer. Ett av de första stegen är anmälan till förteckningen över entiteter.
Riksdagen har antagit regeringens proposition till en nationell cybersäkerhetslag genom vilken EU:s cybersäkerhetsdirektiv (NIS 2-direktivet) genomförs. För den offentliga förvaltningen har direktivets krav införlivats i lagen om informationshantering inom den offentliga förvaltningen.
Syftet med cybersäkerhetsdirektivet är att förstärka både EU:s gemensamma och medlemsstaternas nationella cybersäkerhetsnivå i fråga om flera sektorer som anses vara kritiska med tanke på samhällets funktion. NIS 2-direktivet ersätter EU:s tidigare direktiv om säkerhet i nätverk och informationssystem (NIS-direktivet) genom vilket det föreskrivits om cybersäkerhetsskyldigheter för vissa sektorer.
I NIS 2-direktivet och i den nationella cybersäkerhetslagen som gäller det anges för samhällskritiska sektorer riskhanteringsskyldigheter som förstärker cybersäkerheten och en skyldighet att rapportera om betydande incidenter. I lagen räknas upp minimiåtgärder som alla entiteter ska genomföra för att kunna hantera cybersäkerhetsrisker mot sin verksamhet. Entiteterna ska också anmäla betydande säkerhetsincidenter till sin tillsynsmyndighet. Dessutom ska de entiteter som omfattas av NIS2-regleringens tillämpningsområde anmäla sig till den förteckning över entiteter som sin tillsynsmyndighet upprätthåller.
Skyldigheterna i NIS2-regleringen träder i kraft stegvis. Nedan finns allmän information om skyldigheterna och när de träder i kraft. Mer information och anvisningar får du vid behov av tillsynsmyndigheten i din sektor.
Kontrollera i lagen för att se om du är en NIS2-entitet. Aktörerna ska anmäla sig till sin egen tillsynsmyndighet. Om din organisation hör till flera sektorer ska du anmäla dig till tillsynsmyndigheten för varje sektor. Beakta att anmälan ska göras senast den 8 maj 2025.
Bekanta dig med riskhanteringsskyldigheten i cybersäkerhetslagen. Entiteterna ska uppräta en handlingsmodell för riskhantering senast den 8 juli 2025. Bestämmelser om riskhanteringsskyldigheterna ingår i det nya 4 a kap. i lagen om informationshantering. Observera att det inte finns någon särskild övergångsperiod för aktörerna inom den offentliga förvaltningen för att utfärda en handlingsmodell för riskhantering. För handlingsmodellen för riskhantering börjar skyldigheten gälla från och med den 8 april 2025.
Traficom har berett en rekommendation om åtgärderna för hantering av cybersäkerhetsrisker. Rekommendationen är avsedd för tillsynsmyndigheter men den stöder även NIS2-entiteterna i deras riskhanteringsplanering. Europeiska kommissionen har också utfärdat reglering som preciserar riskhanteringsskyldigheten för vissa entiteter inom den digitala infrastrukturen och digitala tjänster.
På våra webbsidor hittar du en NIS2-blankett för att anmäla en betydande incident till tillsynsmyndigheten. Entiteten ska anmäla betydande incidenter från och med den 8 april 2025. Anmälan består av tre steg.
Vi uppmuntrar de entiteter som NIS-regleringen gäller att göra en frivillig anmälan till CSIRT-enheten vid Cybersäkerhetscentret vid Traficom också om olika kränkningar av informationssäkerheten som de blivit utsatta för, t.ex. nätfiske eller överbelastningsangrepp samt försök av dem. Cybersäkerhetscentret kan vid behov hjälpa till med den tekniska utredningen av allvarliga säkerhetsöverträdelser. På basis av anmälningarna gör vi också upp den nationella lägesbilden av cybersäkerheten.
Genom cybersäkerhetslagen utvidgas också Traficoms tillsynsuppgifter jämfört med situationen enligt NIS-direktivet. Traficom är i framtiden tillsynsmyndigheten för cybersäkerhet även för följande sektorer: post- och budtjänster, rymden, den offentliga förvaltningen, leverantörer av hanterade tjänster och leverantörer av hanterade säkerhetstjänster, forskning samt tillverkning av fordon och andra transportmedel. Dessutom har det uppstått nya typer av entiteter på de sektorer som redan omfattas av NIS-regleringen.
Tillsyn över de olika sektorerna har decentraliserats på myndigheter för respektive sektor. Cybersäkerhetscentret vid Traficom är också den gemensamma kontaktpunkten som avses i cybersäkerhetslagen och vars uppgift är bland annat att främja samarbete och samordning mellan tillsynsmyndigheterna.
Vid Cybersäkerhetscentret finns också CSIRT-enheten som reagerar på säkerhetsöverträdelser och undersöker dem och vars uppgift är bland annat att reagera på incidentanmälningar och vid behov bistå den part som anmält incidenten i hanteringen av incidenten. Detta kan också betyda teknisk utredning av informationssäkerhetsincidenter. CSIRT-enheten deltar också i att uppdatera en lägesbild av den nationella cybersäkerheten samt tillhandahåller tidiga varningar, larm, meddelanden och information om cybersäkerheten.
Till CSIRT-enhetens uppgifter hör inte att utöva tillsyn över entiteter som avses i cybersäkerhetslagen, och därför har CSIRT-enhetens verksamhet organiserats separat från tillsynen över cybersäkerhetslagen. CSIRT-enhetens verksamhet grundar sig på förtroendet mellan enheten och de olika entiteterna i samhället och på de frivilliga anmälningar om informationssäkerhetsincidenter som CSIRT-enheten får. Detta har identifierats också i cybersäkerhetslagen så att information som på frivillig basis lämnats ut till CSIRT-enheten inte utan samtycke av den som lämnat ut informationen får användas i brottsutredningar eller vid administrativt eller annat beslutsfattande som gäller den som lämnat ut informationen.
