Vad är syftet med den nya lagen?
Den nya cybersäkerhetslagen är en del av ett bredare EU-direktiv, NIS2 (Network and Information Systems Directive), som har som mål att höja säkerhetsnivån för nätverk och informationssystem inom hela unionen.
Till skillnad från dagens lag om informationssäkerhet för samhällsviktiga och digitala tjänster, som bygger på det första NIS-direktiven från 2016, innebär den nya lagen att betydligt fler aktörer omfattas samt att lagkraven kommer att gälla för hela verksamheten.
Den nya lagen ska förbättra skyddet mot attacker som kan slå ut kritisk infrastruktur eller leda till allvarliga konsekvenser för samhällets funktioner. Detta innefattar allt från myndigheter och sjukhus till energiförsörjning och bankväsende, men även mindre företag som hanterar känslig data kan påverkas.
Vad innebär lagen i praktiken?
- Utökade krav på säkerhetsåtgärder
Alla organisationer som är verksamma inom kritiska sektorer, eller som på något sätt bidrar till den digitala infrastrukturen, kommer att behöva implementera strikta cybersäkerhetsåtgärder. Detta kan omfatta allt från att använda kryptering till att se till att anställda får regelbunden utbildning om cyberhot.
- Incidentrapportering inom 24 timmar
En central del av lagen är att organisationer som drabbas av en cyberattack måste rapportera incidenten till en myndighet, vanligtvis MSB (Myndigheten för samhällsskydd och beredskap), inom 24 timmar. Detta ger myndigheterna möjlighet att snabbt agera och förhindra spridningen av attacker.
- Större ansvar för leverantörer och tredjepartsaktörer
Organisationer som använder externa leverantörer för sina IT-tjänster måste säkerställa att dessa följer samma säkerhetsstandarder. Ansvaret för att leverantörernas säkerhet är tillräcklig ligger på företaget som anlitar dem.
- Höga sanktioner för bristande efterlevnad
Organisationer som inte lever upp till kraven kan förvänta sig kraftiga sanktioner, både i form av böter och andra påföljder. Dessa sanktioner är avsedda att fungera som ett incitament för att investera i robusta cybersäkerhetslösningar.
Missa inte webbinariet
Under webbinariet den 17 oktober kommer Johan Sundberg, Johan Thörn och Fredrik Eråker från edpLaw att gå igenom vad NIS2-direktivet innebär för organisationer i praktiken. De redogör för direktivets utökade tillämpningsområde och förklarar de nya kraven som påverkar en större mängd aktörer. De ger också en grundlig genomgång av vad regeringens förslag till en ny cybersäkerhetslag innebär för svenska verksamhetsutövare.