Information om NIS2-direktivet

Förändringar för digital infrastruktur och digitala tjänster.

Syftet med NIS2-direktivet är att harmonisera de olika medlemsländernas cybersäkerhetskrav och tillämpning av säkerhetsåtgärder samt stärka medlemsländernas samarbete. NIS2-direktivet fastställer miniminivåer för regelverket och mekanismer för ett effektivt samarbete mellan tillsynsmyndigheterna i varje medlemsland. NIS2-direktivet inför även en ansvarsförbindelse för ledningsorganet för överträdelser av riskhanteringsåtgärder.

NIS2-direktivet omfattar flera nya sektorer och verksamheter. En ny storleksbaserad generell regel för identifiering av vilka som omfattas av direktivet ska användas och ett nytt begrepp ”entitet” införs. En verksamhet som faller under NIS2 kan vara antingen väsentlig eller viktig. Entiteter som faller under NIS2 och inte är väsentliga klassas som viktiga. De trösklar som används för klassning av väsentlig respektive viktig är kopplat till begreppen mikro-, små och medelstora företag enligt kommissionens rekommendation 2003/361/EG.  

En verksamhet kan även klassas som väsentligt pga andra omständigheter som anges i direktivet.

En entitet är en fysisk eller juridisk person som bildats och erkänts som sådan enligt nationell rätt där den etablerats och som i eget namn får utöva rättigheter och ha skyldigheter.

Digital infrastruktur

I bilaga 1 i NIS2 direktivet listas de entiteter som anses som ”högkritiska”. Följande verksamheter pekas ut inom digital infrastruktur:

  • Internetknutpunkter
  • Leverantörer av DNS tjänster
  • Leverantörer av toppdomäner (ej de 13 rotnamnservrarna)
  • Leverantörer av molntjänster
  • Leverantörer av datacentraltjänster
  • Leverantörer av nätverk för innehållsleverans (CDN)
  • Tjänstetillhandahållare av betrodda tjänster
  • Leverantörer av elektroniska kommunikationsnätverk och elektroniska kommunikationstjänster

Tydliga skillnader från det ursprungliga NIS-direktivet är att molntjänster nu ligger under sektorn digitala infrastruktur och att ett antal nya verksamheter räknas som digital infrastruktur, bl a leverantörer av datacentraltjänster och leverantörer av nätverk för innehållsleverans.

Kraven på säkerhetsåtgärder gäller nu även för leverantörer av elektroniska kommunikationsnätverk och elektroniska kommunikationstjänster samt tillhandahållare av betrodda tjänster. Dessa leverantörers krav på säkerhetsåtgärder finns för närvarande i lagen om elektronisk kommunikation (LEK) respektive eIDAS-förordningen.

Digitala leverantörer

I bilaga 2 i NIS2 direktivet listas ”andra kritiska sektorer”. Följande verksamheter pekas ut som digital tjänst:

  • Leverantörer av marknadsplatser online
  • Leverantörer av sökmotorer online
  • Leverantörer av plattformar för sociala nätverkstjänster

Post och budtjänster

En sektor som Post- och telestyrelsen sedan tidigare är tillsynsmyndighet för är Post- och budtjänster som nu även faller under NIS2.  

Riskhanteringsåtgärder för cybersäkerhet i artikel 21 i NIS2 direktivet

NIS2-direktivet förstärker och betonar hantering av risker och åtgärder för att minimera eller förhindra incidenters påverkan på mottagarna av deras tjänster och på andra tjänster.

Åtgärderna ska baseras på en allriskansats som syftar till att skydda nätverks- och informationssystem samt dessa systems fysiska miljö från incidenter. Direktivet ställer upp följande tio krav på säkerhetsåtgärder som ska vidtas. 

  1. strategier för riskanalys och informationssystemens säkerhet,
  2. incidenthantering
  3. driftskontinuitet, exempelvis hantering av säkerhetskopiering och katastrofhantering, och krishantering,
  4. säkerhet i leveranskedjan, inbegripet säkerhetsaspekter som rör förbindelserna mellan varje entitet och dess direkta leverantörer eller tjänsteleverantörer
  5. säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inbegripet hantering av sårbarheter och sårbarhetsinformation,
  6. strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet,
  7. grundläggande praxis för cyberhygien och utbildning i cybersäkerhet,
  8. strategier och förfaranden för användning av kryptografi och, när så är lämpligt, kryptering.
  9. personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning,
  10. användning inom entiteten, när så är lämpligt, av lösningar för multifaktorautentisering eller kontinuerlig autentisering, säkrade röst-, video- och textkommunikationer och säkrade nödkommunikationssystem.

Entitetens ledningsorgan ska se till att dessa punkter följs och de kan göras ansvariga för överträdelser av dessa krav.

Kommissionen ska anta genomförandeakter för att fastställa de tekniska och metodologiska specifikationerna för de åtgärder som avses i artikel 21 punkt 2 med avseende på leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster, leverantörer av hanterade säkerhetstjänster, leverantörer av marknadsplatser online, sökmotorer och för plattformar för sociala nätverkstjänster samt kvalificerade tillhandahållare av betrodda tjänster.

En genomförandeakt fastställer enhetliga och detaljerade villkor för att genomföra reglerna och är en vägledning för medlemsländerna hur direktivet ska tolkas.

Rapporteringsskyldigheter för incidenter enligt artikel 23 i NIS2 direktivet

Väsentliga och viktiga entiteter ska utan dröjsmål rapportera alla incidenter som har betydande inverkan på tillhandahållandet av deras tjänster till behörig myndighet/CSIRT-enhet och när det är lämpligt även till mottagarna av deras tjänster.

En incident är en händelse som undergräver:

  • tillgängligheten,
  • autenticiteten,
  • riktigheten eller
  • konfidentialiteten

hos:

  • lagrade, överförda eller behandlade uppgifter eller
  • hos de tjänster som erbjuds genom eller är tillgängliga via nätverks- och informationssystem.

En incident anses vara betydande om:

  • den har orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna eller ekonomiska förluster för den berörda entiteten.
  • den har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

Underrättelse om tidig varning att incidenten misstänks ha orsakats av olagliga eller avsiktligt skadliga handlingar eller kan ha gränsöverskridande verkningar ska ske inom 24 timmar från det att incidenten upptäckts.

Inom 72 timmar från det att incidenten upptäcktes ska en incidentanmälan ske som ska innehålla en inledande bedömning av den betydande incidenten, dess allvarlighetsgrad och konsekvenser samt, i förekommande fall, angreppsindikatorer.

Behörig myndighet/CSIRT-enhet kan begära en delrapport om relevanta statusuppdateringar.

En slutrapport ska lämnas in senast en månad efter inlämningen av incidentanmälan.

Undantag gäller för tillhandahållare av betrodda tjänster som ska göra en incidentanmälan inom 24 timmar från upptäckten av den betydande incidenten.

Kommissionen ska anta genomförandeakter som närmare anger i vilka fall en incident ska anses vara betydande med avseende på leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster, leverantörer av hanterade säkerhetstjänster samt leverantörer av marknadsplatser online, sökmotorer eller av plattformar för sociala nätverkstjänster.

En genomförandeakt fastställer enhetliga och detaljerade regler för medlemstaterna.

Samarbete mellan medlemsländerna

Det nya NIS2-direktivet fastställer samarbetsmekanismer mellan medlemsländerna för att uppnå ett effektivt samarbete. Om en leverantör som faller under NIS2-direktivet tillhandahåller tjänster i flera medlemsländer så ska de berörda medlemsländerna vid behov samarbeta med varandra, t ex samråda och informera varandra. En behörig myndighet i ett medlemsland kan begära att behörig tillsynsmyndighet i annat medlemsland vidtar tillsyns- och efterlevnadskontroller eller tillhandahålla ömsesidigt bistånd.

Genom NIS2 direktivet inrättas formellt Europeiska kontaktnätverket för cyberkriser (EU-CyCLONe), som ska bidra till en samordnad hantering av storskaliga cyberincidenter och kriser.

Tillsyn

Behöriga myndigheter ska göra tillsyn och efterlevnadskontroller av att skyldigheter i NIS2-direktivet uppfylls av leverantörerna i de kritiska sektorerna, men för viktiga entiteter kan tillsyn endast ske i efterhand vid indikation på att en leverantör underlåter att fullgöra skyldigheter.

Jurisdiktion 

Vilken medlemsstats jurisdiktion som en leverantör inom digital infrastruktur eller digitala tjänster faller under kan variera. 

För leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, entiteter som tillhandahåller domännamnsregistreringstjänster, leverantörer av molntjänster, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster och leverantörer av hanterade säkerhetstjänster samt leverantörer av marknadsplatser online, sökmotorer eller plattformar för sociala nätverkstjänster gäller att det är den medlemsstat där de har sitt huvudsakliga etableringsställe i unionen.

Det huvudsakliga etableringsstället i unionen är i den medlemsstat där besluten om riskhanteringsåtgärder för cybersäkerhet i huvudsak fattas.

  • Om en sådan medlemsstat inte kan fastställas eller om sådana beslut inte fattas i unionen ska det huvudsakliga etableringsstället anses vara beläget i den medlemsstat där cybersäkerhetsoperationer utförs eller
  • Om en sådan medlemsstat inte kan fastställas ska det huvudsakliga etableringsstället anses vara beläget i den medlemsstat där den berörda entiteten har det etableringsställe som har flest anställda i unionen.

För allmänna kommunikationsnät och tjänster ligger jurisdiktionen i de/det medlemsland där leverantören tillhandahåller sina tjänster.

Tillhandahållare av betrodda tjänster faller under det medlemsland där de är etablerade.