Den kommande cybersäkerhetslagen är försenad och börjar inte gälla förrän under 2025. Men redan nu kommer vissa EU-regler på området att gälla. Post- och telestyrelsen (PTS) publicerar därför förtydligande information om vad som principiellt gäller under övergångsperioden.

NIS2-direktivet påverkar tolkningen av nuvarande NIS-lag

Den 18 oktober 2024 skulle NIS2-direktivet vara genomfört i nationell lagstiftning. Enligt SOU 2024:18 (Nya regler om cybersäkerhet - Regeringen.se) finns ett förslag på en ny cybersäkerhetslag som ska genomföra NIS2-direktivet i svensk rätt och ersätta den nu gällande NIS-lagen. I Sverige, liksom i många andra EU-länder, pågår dock fortfarande lagstiftningsarbetet och cybersäkerhetslagen kommer inte träda i kraft förrän tidigast under 2025.

Den 18 oktober 2024 publicerade EU-kommissionen en så kallad genomförandeförordning, som specificerar NIS2-direktivets krav på riskhanteringsåtgärder och incidentrapporteringskrav för vissa verksamhetsutövare. Dessa regler börjar gälla den 7 november 2024.

Verksamhetsutövare bedöms påverkas i olika utsträckning

PTS bedömning kring vad som principiellt gäller under övergångsperioden (dvs. 18 oktober 2024 till och med det datum cybersäkerhetslagen träder ikraft) för de verksamhetsutövare som omfattas av NIS2-direktivet och förslaget till cybersäkerhetslag är följande.

Verksamhetsutövare som omfattas av NIS-lagen

Verksamhetsutövare som omfattas av skyldigheter enligt NIS-lagen måste även i fortsättningen uppfylla motsvarande skyldigheter i NIS2-direktivet och NIS2-genomförandeförordningen. Under övergångsperioden gäller att nuvarande bestämmelser i NIS-lagen måste beaktas och tolkas i ljuset av den nya EU-lagstiftningen (NIS2-direktivet).

Det finns mer detaljerade regler kring riskhanteringsåtgärder och incidentrapportering i artikel 21 i NIS2-direktivet och i ovannämnda genomförandeförordning. Till stor del är grunderna desamma: verksamhetsutövare ska vidta åtgärder för att hantera riskerna i de tjänster som tillhandahålls, och rapportera incidenter. Det finns dock tydligare detaljer i nämnda bestämmelser om exakt vad detta innebär, varför verksamhetsutövare bör fortsätta arbetet med övergången till de nya reglerna.

Verksamhetsutövare som omfattas av NIS-lagen och genomförandeförordningen

Fem typer av verksamhetsutövare träffas av och behöver beakta genomförandeförordningen redan den 7 november 2024. Detta eftersom den nuvarande nationella lagstiftningen kommer att tolkas i ljuset av ny EU-reglering. Dessa är leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av marknadsplatser online och leverantörer av sökmotorer, vilka sedan tidigare är reglerade enligt den svenska NIS-lagen.

MSB ansvarar för att motta incidenter enligt nuvarande reglering och kan svara på frågor kring uppdaterade regler om incidentrapportering med anledning av genomförandeförordningen (NIS2-CER@msb.se).

Verksamhetsutövare som inte omfattas av NIS-lagen men av NIS2-direktivet

Datacentraltjänster, nätverk för leverans av innehåll, plattformar för sociala nätverkstjänster, förvaltning av IKT-tjänster, rymden och post och budtjänster som inte omfattas av skyldigheter enligt NIS-lagen omfattas inte heller av skyldigheter enligt NIS2-direktivet innan Sverige genomfört NIS2-direktivet (dvs. när cybersäkerhetslagen träder i kraft). Dessa verksamhetsutövare bör emellertid fortsätta arbetet med att förbereda sin verksamhet inför ikraftträdandet av cybersäkerhetslagen.

Tillhandahållare av betrodda tjänster

PTS bedömning kring vad som principiellt gäller under övergångsperioden (dvs. 18 oktober 2024 till och med det datum cybersäkerhetslagen träder ikraft) för betrodda tjänster som omfattas av eIDAS-förordningen och förslaget till cybersäkerhetslag är följande.

PTS bedömning är att NIS2-direktivet generellt inte är tillämpligt på tillhandahållare av betrodda tjänster förrän cybersäkerhetslagen har trätt ikraft. Det krävs dock för uppfyllelse av eIDAS-förordningen att tillhandahållare av betrodda tjänster redan nu uppfyller krav om riskhanteringsåtgärder i artikel 21 i NIS2-direktivet. För att uppfylla artikel 21 i NIS2-direktivet ska tillhandahållare av betrodda tjänster uppfylla kraven i NIS2-genomförandeförordningen. Med andra ord måste tillhandahållarna, för att uppfylla eIDAS-förordningen, uppfylla NIS2-genomförandeförordningen från och med den 7 november 2024. För att betrodda tjänster ska omfattas av krav i NIS2-direktivet innan direktivet genomförts i svensk rätt krävs en sådan direkt hänvisning i eIDAS-förordningen.

Incidenter ska rapporteras utan onödigt dröjsmål och under alla omständigheter inom 24 timmar i enlighet med eIDAS-förordningen. Innan nationella bestämmelser för att genomföra NIS2-direktivet är på plats finns ingen underrättelseplikt av incidenter enligt NIS2-direktivet.

Tillhandahållare av allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster omfattas av NIS2-direktivet

Den 18 oktober 2024 skulle NIS2-direktivet vara genomfört i nationell lagstiftning. Enligt SOU 2024:18 (Nya regler om cybersäkerhet - Regeringen.se) finns ett förslag på en ny cybersäkerhetslag och cybersäkerhetsförordning samt förslag om ändringar i lag (2022:482) om elektronisk kommunikation (LEK) och förordning (2022:511) om elektronisk kommunikation (FEK). I Sverige, liksom i många andra EU-länder, pågår dock fortfarande lagstiftningsarbetet och cybersäkerhetslagen samt relevanta ändringar i LEK kommer inte träda i kraft förrän tidigast under 2025.

PTS gör följande bedömning kring vad som principiellt gäller under övergångsperioden (dvs. 18 oktober 2024 till och med det datum cybersäkerhetslagen träder ikraft och LEK-regelverket ändras) för tillhandahållare av allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster som omfattas av förslaget till cybersäkerhetslag och ändringar i LEK-regelverket.

NIS2-direktivet ska beaktas redan nu

NIS2-direktivet är generellt inte tillämpligt på allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster innan cybersäkerhetslagen har trätt i kraft och ändringar har skett i LEK-regelverket. Vissa bestämmelser i LEK-regelverket påverkas emellertid redan nu av NIS2-direktivet. I samband med att NIS2-direktivet blev tillämpligt, 18 oktober 2024, utgick artiklarna 40 och 41 i direktiv (EU) 2018/1972 om inrättande av en europeisk kodex för elektronisk kommunikation (kodex). Detta innebär att de bestämmelser i LEK som genomför dessa artiklar, gällande säkerhet för nät och tjänster samt genomförande och efterlevnad, behöver tolkas i enlighet med de korresponderande bestämmelserna i NIS2-direktivet fram till dess att nationell reglering trätt i kraft. De nationella bestämmelser som i första hand behöver tolkas i enlighet med NIS2-direktivet återfinns i 8 kap. 1 – 4 §§ LEK och i nationella föreskrifter som antagits i enlighet med dessa bestämmelser, dvs PTSFS 2022:11 (PTS säkerhetsföreskrifter). Även tolkningen av andra bestämmelser kan komma i fråga i de fall de reglerar säkerhet för nät och tjänster samt genomförande och efterlevnad.

Inga nya skyldigheter under övergångsperioden

Nu gällande skyldigheter i nationella bestämmelser ska förstås i enlighet med korresponderande skyldigheter i NIS2-direktivet, men inga nya skyldigheter påförs verksamhetsutövare under övergångsperioden. Exempelvis är inte nya tillsynsverktyg och ändrade sanktioner i NIS2-direktivet tillämpliga innan cybersäkerhetslagen trätt i kraft och ändringar skett i LEK-regelverket.

Tidig varning i samband med incidenter – frivillig men önskvärd

Enligt NIS2-direktivet ska verksamhetsutövare vid incidenter lämna en tidig varning utan onödigt dröjsmål och under alla omständigheter inom 24 timmar efter det att man fått kännedom om incidenten. PTS bedömer att detta krav inte är tillämpligt förrän cybersäkerhetslagen trätt i kraft och ändringar har skett i LEK-regelverket. Det är dock önskvärt att verksamhetsutövare informerar PTS inom 24 timmar om en betydande incident misstänks ha orsakats av olagliga eller avsiktligt skadliga handlingar eller kan ha gränsöverskridande verkningar. Verksamhetsutövare som vill lämna sådan frivillig tidig varning ska kontakta PTS för information innan det sker, incidentrapport@pts.se.

Sidan uppdaterades: