Branschnyhet

Säkerhet och motståndskraft för samhällsviktiga tjänster – NIS 2 och CER-direktivet

Med:
Christer Runestam,
Jonathan Sörman
11 sep. 20235 min lästid
Den 14 december 2022 beslutade EU om ett nytt direktiv som tar sikte på informations- och cybersäkerhet för samhällsviktiga tjänster. Vad är bakgrunden och vilka nyheter medför regelverket?
Innehåll
Experten om Cyber­säkerhets­lagen: “Större konsekvenser än GDPR”
Läs även
Experten om Cybersäkerhetslagen: “Större konsekvenser än GDPR”

Bakgrund till regelverket

I direktivet, ”Network and Information Systems 2 Directive” (NIS 2-direktivet, eller direktiv (EU) 2022/2555), framgår att nätverks- och informationssystem har utvecklats till ett centralt inslag i vardagslivet i och med den snabba digitala omställningen och sammankopplingen av samhället. Utvecklingen innebär en utvidgad cyberhotbild och att incidenter blir mer sofistikerade, omfattande och vanligt förekommande.

Beredskap och ändamålsenlighet på cybersäkerhetsområdet är centralt för att många kritiska sektorer ska kunna tillgodogöra sig den digitala omställningen och fullt ut utnyttja digitaliseringens ekonomiska, sociala och hållbarhetsmässiga fördelar. Givet dessa förutsättningar syftar NIS 2 till att uppnå en hög gemensam cybersäkerhetsnivå inom EU.

Christer Runestam, Head of Financial Services Advisory
Säkerhetsfrågor, givet omvärldsutvecklingen, blir alltmer aktuella för organisationer, särskilt sådana som är samhällsviktiga. För att skapa en motståndskraft inom organisationer krävs ett holistiskt och dynamiskt arbete med att identifiera och hantera både externa och interna risker.

Från NIS 1 till NIS 2

I dagsläget gäller NIS-direktivet (direktiv (EU) 2016/1148), men genom NIS 2-direktivet upphör NIS-direktivet att gälla med verkan från och med den 18 oktober 2024. Samma datum ska EU:s medlemsstater ha säkerställt lokal implementering av NIS 2. För att vara redo när lokal reglering som implementerar direktivet börjar gälla är det viktigt för aktörer som omfattas att hålla sig uppdaterade om det lokala implementeringsarbetet.

Fem åtgärder för att skydda företaget mot cyberangrepp 2023
Läs även
Fem åtgärder för att skydda företaget mot cyberangrepp 2023

Nyheter med NIS 2

NIS 2 innebär flera förändringar jämfört med NIS-direktivet. Några av de viktigaste är:

  • Tillämpningsområdet utökas till att omfatta flera sektorer. Sedan tidigare omfattas aktörer inom sektorerna energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten och digital infrastruktur. Med det nya direktivet tillkommer aktörer inom sektorer som bl.a. förvaltning av IKT-tjänster, offentlig förvaltning, avfallshantering, post- och budtjänster, produktion, bearbetning och distribution av livsmedel, tillverkning, m.fl. Regelverket ställer även krav på säkerhet i leveranskedjan för aktörer som omfattas, varför vissa aspekter indirekt blir relevanta för underleverantörer.
  • Skärpta säkerhetskrav och åtgärder för att skydda nätverks- och informationssystem och dessa systems fysiska miljö från incidenter. I detta avseende lyfter NIS 2 bl.a. säkerhet i leveranskedjan, driftskontinuitet, incidenthantering, personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning, användning av multifaktorautentisering och säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem.
  • Strängare tillsyn och administrativa sanktionsåtgärder. Inom ramen för NIS 2 utökas tillsynsmyndigheternas mandat när det gäller bl.a. regelbundna och riktade säkerhetsrevisioner, inklusive ad hoc-revisioner och säkerhetsskanningar, samt tillgång till uppgifter, handlingar och information. Under NIS 2 kommer sanktionsavgifter vid bristande regelefterlevnad att kunna uppgå till högst 10 000 000 EUR eller 2 % av den totala globala årsomsättningen, alternativt 7 000 000 EUR eller högst 1,4 % av den totala globala årsomsättningen beroende på omständigheterna.

NIS 2 och CER-direktivet

NIS 2-direktivet har till viss del samordnats och har vissa likheter med EU:s CER-direktiv (Critical Entities Resilience Directive, eller direktiv (EU) 2022/2557), vilket syftar till att minska sårbarheter och stärka motståndskraften hos samhällsviktiga verksamheter. Därav gäller samma datum för lokal implementering som för NIS 2 (18 oktober 2024). Även sektorer som omfattas är snarlika då CER-direktivet tar sikte på aktörer inom sektorer som energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, digital infrastruktur, offentlig förvaltning, produktion, bearbetning och distribution av livsmedel m.m.

CER-direktivet ställer krav på aktörer som omfattas av direktivet när det gäller riskbedömningar, åtgärder för att stärka robusthet och motståndskraft (t.ex. fysiskt skydd av lokaler och kritiska infrastruktur, driftskontinuitet, personalsäkerhet, m.m.) samt rapportering av incidenter. inom ramen för direktivet lyfts dessutom bakgrundskontroller av personal och konsulter fram.

Cyberhoten ökar mot företag - så skyddar du dig
Läs även
Cyberhoten ökar mot företag - så skyddar du dig

Implementering och väg framåt

För svensk del kommer frågan om lokal implementering av både NIS 2 och CER behandlas av en särskild utredare inom ramen för Kommittédirektiv Dir. 2023:30. Detta uppdrag ska redovisas senast den 23 februari 2024 och i samband med detta kommer aspekter i förhållande till lokal svensk implementering förhoppningsvis bli tydligare.

Tjänster
Vi kan hjälpa er med: Cybersäkerhet
Jag vill veta mer
Vi kan hjälpa er med: Cybersäkerhet

Vi hjälper dig!

Grant Thornton har bred kompentens inom IKT-riskhantering, affärskontinuitet och säkerhetsfrågor, både vad gäller regelverksfrågor och IT-teknisk kunskap, och kan hjälpa ditt företag med frågor som rör NIS 2 och CER. Exempel på tjänster vi erbjuder är utbildningar, workshops och gapanalyser i förhållande till regelverk, samt ytterligare råd och stöd för en lyckad implementering.

Tveka inte att kontakt våra experter nedan om du har några frågor eller funderingar!

Christer Runestam

Expert mot samhällsviktiga verksamheter och branschansvarig för Financial Services

Läs mer och kontakta Christer Runestam
Taggar  

Senaste nytt

Se fler artiklar

Grant Thornton i Almedalen 2026

Almedalen

Vi finns på plats under Almedalsveckan, 23-25 juni, för att diskutera entreprenörsbolagens och ideell sektors utmaningar och möjligheter.

22 maj 2026

Glädjebesked från HFD: ideella organisationer får dela interna tjänster utan moms

Branschnyhet

Högsta förvaltningsdomstolen (HFD) slår fast att ideella organisationer kan dela interna tjänster som ekonomi, lön och IT utan att belastas av moms. Domen ger efterlängtad klarhet i en fråga som varit omdiskuterad under lång tid.

Lena Westfahl
Cecilia Smedfors
| 6 min lästid | 13 maj 2026

Har du gjort din 3:12-analys? Nya regler från 2026

Skattenyhet

Sedan 1 januari 2026 gäller nya regler för delägare i fåmansföretag. Det är först i deklarationen 2027 som ägare behöver lämna in en K10-blankett enligt de nya reglerna, men redan nu är det hög tid att analysera vilka förändringar som du eller ditt företag eventuellt måste göra redan nu. Vi har samlat de viktigaste punkterna för delägare att ta ställning till.

Catrin Åkerlund
| 2 min lästid | 26 mars 2026
    Se fler artiklar