Att stärka samhällets gemensamma beredskap mot inre och yttre hot står högt upp på samhällsagendan. Nu riktas strålkastarna mot samhällsviktiga verksamheter och deras cybersäkerhet. EU har tagit fram nya regelverk, inklusive “Network and Information Systems 2 Directive” (NIS2-direktivet), för att stärka säkerheten. Regelverket syftar till att minska sårbarheter och stärka motståndskraften hos samhällsviktiga verksamheter.
Sedan den 5 mars 2024 finns det ett förslag om en ny lag, cybersäkerhetslagen, som ska införliva NIS2. Den nya lagen, som föreslås träda i kraft den 1 januari 2025, kommer att ersätta den nuvarande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.
Den nya lagen kommer att omfatta fler aktörer eftersom antalet sektorer som omfattas utökas från 7 till 18. Sektorer som omfattas inkluderar energi, transport, bankverksamhet, hälso- och sjukvård, digital infrastruktur, förvaltning av IKT-tjänster mellan företag, offentlig förvaltning, digitala leverantörer, tillverkning, med flera. Både offentliga och privata aktörer som bedriver verksamhet inom dessa sektorer kommer att omfattas av kraven i den föreslagna cybersäkerhetslagen.
För att följa lagen måste aktörerna som omfattas följa strikta säkerhetsrutiner för att skydda sina nätverks- och informationssystem samt deras fysiska miljöer. Detta innebär att de måste genomföra en riskanalys och därefter implementera en rad omfattande åtgärder.
Dessutom måste aktörerna bland annat anmäla sig till sin tillsynsmyndighet, utbilda sin ledning samt rapportera incidenter till Myndigheten för samhällsskydd och beredskap (MSB).
Tillsynsmyndigheter kommer bland annat att kunna utfärda sanktionsavgifter kopplade till den nya cybersäkerhetslagen. I förslaget höjs maxbeloppet för sanktionsavgiften väsentligt. För vissa aktörer som klassas som väsentliga verksamhetsutövare kan sanktionsavgiften uppgå till två procent av total global årsomsättning, alternativt 10 000 000 euro.
– Jag hoppas att sanktionsavgifterna blir en tydlig signal om att de här åtgärderna är helt nödvändiga. Det är inte något som kan skjutas på framtiden. Vidtar de som omfattas av reglerna rätt åtgärder och skapar tydliga rutiner tidigt kan den typen av påföljder undvikas, säger Christer Runestam.
Grant Thorntons specialister inom cybersäkerhet och regelverk kan hjälpa er organisation att förstå vad de nya regelverken kräver och vad som behövs för att följa dem. Vi kan bistå er organisation med bland annat GAP-analys för att förstå var organisationen befinner sig och vad som krävs för att följa de nya regelverken, operativt stöd och hjälp vid implementering, och kompetenshöjande insatser.
Med vårt nyhetsbrev Target får du varje månad aktuella nyheter likt denna, tips från våra experter och information om kommande evenemang. Vi vill bidra till att ditt företag växer och utvecklas.
