Idag träder cybersäkerhetslagen i kraft

Anna Söyland, jurist på PTS, berättar om den nya cybersäkerhetslagen som träder i kraft idag den 15 januari.

Anna, vad innebär cybersäkerhetslagen?

– Cybersäkerhetslagen är Sveriges implementering av EU:s NIS2-direktiv. Den här lagen säkerställer alltså att de krav som ställs upp i NIS2-direktivet gäller i Sverige.

NIS2-direktivet, och i förlängningen cybersäkerhetslagen, syftar till att höja den gemensamma cybersäkerhetsnivån i EU, genom att verksamhetsutövare som träffas av lagstiftningen ska vidta lämpliga åtgärder för att kunna hantera de risker som kan hota säkerheten i verksamhetens nätverks- och informationssystem.  

Varför behövs en lag för cybersäkerhet?

– Cyberattacker, cyberhot och incidenter som påverkar nätverks- och informationssystem är problem som fortsätter växa i samhället. Se bara på Kaseya-incidenten (som tvingade Coop-butiker över hela landet att stänga), Tietoevry-incidenten (som slog ut lönesystemen för över 100 myndigheter) och Miljödata-incidenten (som resulterade i över en miljon svenska personuppgifter läckta på Darknet) – för att nämna några av de mest allvarliga på senare år.

Man har på EU-nivå fastställt att sådana incidenter kan hindra utövandet av ekonomisk verksamhet på den inre marknaden, generera ekonomisk förlust, och undergräva användarnas förtroende för EU:s ekonomi och samhälle. Det är viktigt att komma ihåg att NIS2 och cybersäkerhetslagen är reglering som ska skydda den inre marknadens funktion – den är alltså bredare än till exempel. beredskapslagstiftning och säkerhetsskydd, och träffar långt fler aktörer än bara de som anses särskilt samhällsviktiga.

Vilka omfattas av lagen?

– Väldigt många! Lagen delas upp i 18 sektorer, till exempel bankverksamhet, hälso- och sjukvård, forskning, digital infrastruktur, etc. Under varje sektor finns beskrivningar av vilka typer av organisationer som anses falla under respektive sektor. En organisation – eller ”verksamhetsutövare”, som det heter i lagen – omfattas så länge den når upp till storlekskraven, dvs är minst ett medelstort bolag/organisation (50 anställda eller fler eller har över 10 miljoner euro i årsomsättning/balansomslutning). Det finns dock undantag – vissa typer av verksamhetsutövare omfattas av lagen oavsett storlek.

Vilken är PTS roll?

– Vi har två viktiga roller under cybersäkerhetslagen. Dels är vi tillsynsmyndighet för fem av de 18 sektorer som faller under lagen: digital infrastruktur, digitala leverantörer, förvaltning av IKT-tjänster (mellan företag), rymden och post- och budtjänster. Det innebär att vi på PTS jobbar för fullt med föreskriftsarbete, kommunikationsaktiviteter, tillsynsplanering och samverkan för att förbereda oss för vårt nya tillsynsuppdrag.

Som myndighet är vi även en verksamhetsutövare som omfattas av lagstiftningen. Därför är vi alltså skyldiga att vidta lämpliga åtgärder och rapportera betydande incidenter – och vi kan bli föremål för tillsyn under cybersäkerhetslagen. Främst är det ledningen i varje organisation som är skyldig att säkerställa att verksamheten har en god nivå på cybersäkerhet och uppfyller kraven i lagen.

Vad händer om en verksamhetsutövare inte följer lagen?

– En aktör som inte följer cybersäkerhetslagen kan bli föremål för olika tillsynsverktyg, till exempel anmärkning, föreläggande (vid vite), och sanktionsavgifter (som högst 2 % av den totala globala årsomsättningen eller 10 miljoner euro). I väldigt allvarliga situationer kan en tillsynsmyndighet ansöka hos domstol om att en person med ledningsansvar hos en verksamhetsutövare ska förbjudas att utöva ledningsfunktioner där.

Läs mer om cybersäkerhetslagen.