Varje verksamhetsutövare under cybersäkerhetslagen ska vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att skydda nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster och systemens fysiska miljö mot incidenter (säkerhetsåtgärder).
Säkerhetsåtgärderna ska åtminstone avse
- strategier för riskanalys och för nätverks- och informationssystemens säkerhet
- incidenthantering
- kontinuitetshantering och krishantering
- säkerhet i leveranskedjan
- säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem
- strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna
- grundläggande praxis för cyberhygien och utbildning i cybersäkerhet,
- strategier och förfaranden för användning av kryptografi samt, vid behov, kryptering
- personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning
- vid behov användning av lösningar för autentisering, säkrade kommunikationer och säkrade nödkommunikationssystem.
Detaljerade regler om säkerhetsåtgärder
För vissa verksamhetsutövare finns mer detaljerade regler som tagits fram av EU-kommissionen och som gäller direkt. Dessa regler finns i bilagan (som ligger efter Artikel 16) till EU-kommissionens genomförandeförordning 2024/2690.
De verksamhetsutövare som behöver följa reglerna i denna bilaga är
- leverantörer av DNS-tjänster
- registreringsenheter för toppdomäner
- leverantörer av molntjänster
- leverantörer av datacentraltjänster
- leverantörer av nätverk för leverans av innehåll
- leverantörer av utlokaliserade driftstjänster
- leverantörer av utlokaliserade säkerhetstjänster
- leverantörer av marknadsplatser online
- leverantörer av sökmotorer
- leverantörer av plattformar för sociala nätverkstjänster
- tillhandahållare av betrodda tjänster.
För övriga verksamhetsutövare som faller under PTS sektorsansvar kommer specificerade regler att meddelas via föreskrifter, se mer om detta under PTS tar fram föreskrifter.