Branschnyhet

Säkerhet och motståndskraft för samhällsviktiga tjänster – NIS 2 och CER-direktivet

Med:
Christer Runestam,
Jonathan Sörman
11 sep. 20235 min lästid
insight featured image
Den 14 december 2022 beslutade EU om ett nytt direktiv som tar sikte på informations- och cybersäkerhet för samhällsviktiga tjänster. Vad är bakgrunden och vilka nyheter medför regelverket?
Innehåll
Experten om Cyber­säkerhets­lagen: “Större konsekvenser än GDPR”
Läs även
Experten om Cybersäkerhetslagen: “Större konsekvenser än GDPR”

Bakgrund till regelverket

I direktivet, ”Network and Information Systems 2 Directive” (NIS 2-direktivet, eller direktiv (EU) 2022/2555), framgår att nätverks- och informationssystem har utvecklats till ett centralt inslag i vardagslivet i och med den snabba digitala omställningen och sammankopplingen av samhället. Utvecklingen innebär en utvidgad cyberhotbild och att incidenter blir mer sofistikerade, omfattande och vanligt förekommande.

Beredskap och ändamålsenlighet på cybersäkerhetsområdet är centralt för att många kritiska sektorer ska kunna tillgodogöra sig den digitala omställningen och fullt ut utnyttja digitaliseringens ekonomiska, sociala och hållbarhetsmässiga fördelar. Givet dessa förutsättningar syftar NIS 2 till att uppnå en hög gemensam cybersäkerhetsnivå inom EU.

Christer Runestam
Christer Runestam, Head of Financial Services Advisory
Säkerhetsfrågor, givet omvärldsutvecklingen, blir alltmer aktuella för organisationer, särskilt sådana som är samhällsviktiga. För att skapa en motståndskraft inom organisationer krävs ett holistiskt och dynamiskt arbete med att identifiera och hantera både externa och interna risker.

Från NIS 1 till NIS 2

I dagsläget gäller NIS-direktivet (direktiv (EU) 2016/1148), men genom NIS 2-direktivet upphör NIS-direktivet att gälla med verkan från och med den 18 oktober 2024. Samma datum ska EU:s medlemsstater ha säkerställt lokal implementering av NIS 2. För att vara redo när lokal reglering som implementerar direktivet börjar gälla är det viktigt för aktörer som omfattas att hålla sig uppdaterade om det lokala implementeringsarbetet.

Fem åtgärder för att skydda företaget mot cyberangrepp 2023
Läs även
Fem åtgärder för att skydda företaget mot cyberangrepp 2023

Nyheter med NIS 2

NIS 2 innebär flera förändringar jämfört med NIS-direktivet. Några av de viktigaste är:

  • Tillämpningsområdet utökas till att omfatta flera sektorer. Sedan tidigare omfattas aktörer inom sektorerna energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten och digital infrastruktur. Med det nya direktivet tillkommer aktörer inom sektorer som bl.a. förvaltning av IKT-tjänster, offentlig förvaltning, avfallshantering, post- och budtjänster, produktion, bearbetning och distribution av livsmedel, tillverkning, m.fl. Regelverket ställer även krav på säkerhet i leveranskedjan för aktörer som omfattas, varför vissa aspekter indirekt blir relevanta för underleverantörer.
  • Skärpta säkerhetskrav och åtgärder för att skydda nätverks- och informationssystem och dessa systems fysiska miljö från incidenter. I detta avseende lyfter NIS 2 bl.a. säkerhet i leveranskedjan, driftskontinuitet, incidenthantering, personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning, användning av multifaktorautentisering och säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem.
  • Strängare tillsyn och administrativa sanktionsåtgärder. Inom ramen för NIS 2 utökas tillsynsmyndigheternas mandat när det gäller bl.a. regelbundna och riktade säkerhetsrevisioner, inklusive ad hoc-revisioner och säkerhetsskanningar, samt tillgång till uppgifter, handlingar och information. Under NIS 2 kommer sanktionsavgifter vid bristande regelefterlevnad att kunna uppgå till högst 10 000 000 EUR eller 2 % av den totala globala årsomsättningen, alternativt 7 000 000 EUR eller högst 1,4 % av den totala globala årsomsättningen beroende på omständigheterna.

NIS 2 och CER-direktivet

NIS 2-direktivet har till viss del samordnats och har vissa likheter med EU:s CER-direktiv (Critical Entities Resilience Directive, eller direktiv (EU) 2022/2557), vilket syftar till att minska sårbarheter och stärka motståndskraften hos samhällsviktiga verksamheter. Därav gäller samma datum för lokal implementering som för NIS 2 (18 oktober 2024). Även sektorer som omfattas är snarlika då CER-direktivet tar sikte på aktörer inom sektorer som energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, digital infrastruktur, offentlig förvaltning, produktion, bearbetning och distribution av livsmedel m.m.

CER-direktivet ställer krav på aktörer som omfattas av direktivet när det gäller riskbedömningar, åtgärder för att stärka robusthet och motståndskraft (t.ex. fysiskt skydd av lokaler och kritiska infrastruktur, driftskontinuitet, personalsäkerhet, m.m.) samt rapportering av incidenter. inom ramen för direktivet lyfts dessutom bakgrundskontroller av personal och konsulter fram.

Cyberhoten ökar mot företag - så skyddar du dig
Läs även
Cyberhoten ökar mot företag - så skyddar du dig

Implementering och väg framåt

För svensk del kommer frågan om lokal implementering av både NIS 2 och CER behandlas av en särskild utredare inom ramen för Kommittédirektiv Dir. 2023:30. Detta uppdrag ska redovisas senast den 23 februari 2024 och i samband med detta kommer aspekter i förhållande till lokal svensk implementering förhoppningsvis bli tydligare.

Tjänster
Vi kan hjälpa er med: Cybersäkerhet
Jag vill veta mer
Vi kan hjälpa er med: Cybersäkerhet

Vi hjälper dig!

Grant Thornton har bred kompentens inom IKT-riskhantering, affärskontinuitet och säkerhetsfrågor, både vad gäller regelverksfrågor och IT-teknisk kunskap, och kan hjälpa ditt företag med frågor som rör NIS 2 och CER. Exempel på tjänster vi erbjuder är utbildningar, workshops och gapanalyser i förhållande till regelverk, samt ytterligare råd och stöd för en lyckad implementering.

Tveka inte att kontakt våra experter nedan om du har några frågor eller funderingar!

Christer Runestam

Expert mot samhällsviktiga verksamheter och branschansvarig för Financial Services

Läs mer och kontakta Christer Runestam
Taggar  

Senaste nytt

Se fler artiklar
Ny praxis: Lägre moms vid nyproduktion i egen regi
Branschnyhet Ny praxis: Lägre moms vid nyproduktion i egen regi
Skatteverket har ändrat synen på moms vid försäljning av nybyggda fastigheter. När säljare kommer överens med köpare om att både sälja marken och utföra en byggnation på marken som köparen tillträder när byggnationen är klar, räknas nu leveransen som gjord först vid köparens tillträde. Moms behöver inte längre redovisas för byggarbeten mellan köpeavtal och tillträde.
Martin Jacobsson
Cecilia Smedfors
| 9 min lästid | 22 okt. 2025
Byggnad som symboliserar svensk lagstiftning kring hållbarhetsrapportering enligt CSRD
Nyhet Regeringen föreslår uppskov av hållbarhetsrapportering enligt CSRD
Den 21 augusti 2025 överlämnade Regeringen en lagrådsremiss som föreslår att kraven på hållbarhetsrapportering enligt CSRD (Corporate Sustainability Reporting Directive) skjuts upp med två år för vissa företag. Förslaget är en del av EU-kommissionens arbete med Omnibusförslaget, där initiativet Stop the Clock syftar till att ge företag mer tid att förbereda sig för de nya rapporteringskraven.
Annika Nygren
Annika Nygren
| 3 min lästid | 10 sep. 2025
Tagit emot statliga stöd? Så förbereder ni er inför återrapportering
Branschnyhet Tagit emot statliga stöd? Så förbereder ni er inför åter­rapportering
Återrapportering och revisorsgranskning är ofta en del av att ta emot statliga bidrag – och kan upplevas som krångligt. Men med rätt förberedelser blir processen både enklare och mer kostnadseffektiv. Här får ni konkreta råd för att undvika fallgropar och skapa goda förutsättningar för en lyckad granskning.
Daniel Gustavsson
Elisabeth Raun
| 5 min lästid | 02 juli 2025
    Se fler artiklar