Nyheter

Är er verksamhet redo för den nya cybersäkerhets­lagen?

Med:
Jonathan Sörman,
Samuel Ståhlberg
insight featured image
När hoten fortsätter att öka breddas också perspektivet på beredskap. Nu skärper EU kraven på företagen, med fokus på cybersäkerheten hos samhällsviktiga verksamheter. Redan 1 januari 2025 föreslås den nya cybersäkerhetslagen träda i kraft, med tydliga krav och påtagliga sanktioner. Vi guidar dig i de nya reglerna som kräver omfattande åtgärder inom 18 sektorer.
Innehåll

Att stärka samhällets gemensamma beredskap mot inre och yttre hot står högt upp på samhällsagendan. Nu riktas strålkastarna mot samhällsviktiga verksamheter och deras cybersäkerhet. EU har tagit fram nya regelverk, inklusive “Network and Information Systems 2 Directive” (NIS2-direktivet), för att stärka säkerheten. Regelverket syftar till att minska sårbarheter och stärka motståndskraften hos samhällsviktiga verksamheter.

Annika Norrman Nordell
Annika Norrman Nordell , Head of Business Risk Services
Att stärka samhällets cybersäkerhet är en gemensam uppgift. Med den nya lagen blir det tydligare vad enskilda aktörer kan – och måste – göra för att ta sitt ansvar.
Läs även
Säkerhet och motståndskraft för samhällsviktiga tjänster – NIS 2 och CER-direktivet
Läs denna artikel
Säkerhet och motståndskraft för samhällsviktiga tjänster – NIS 2 och CER-direktivet

Ny cybersäkerhetslag på väg

Sedan den 5 mars 2024 finns det ett förslag om en ny lag, cybersäkerhetslagen, som ska införliva NIS2. Den nya lagen, som föreslås träda i kraft den 1 januari 2025, kommer att ersätta den nuvarande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.

Vem berörs av den nya lagen?

Den nya lagen kommer att omfatta fler aktörer eftersom antalet sektorer som omfattas utökas från 7 till 18. Sektorer som omfattas inkluderar energi, transport, bankverksamhet, hälso- och sjukvård, digital infrastruktur, förvaltning av IKT-tjänster mellan företag, offentlig förvaltning, digitala leverantörer, tillverkning, med flera. Både offentliga och privata aktörer som bedriver verksamhet inom dessa sektorer kommer att omfattas av kraven i den föreslagna cybersäkerhetslagen.

Dessa 18 sektorer omfattas av cybersäkerhetslagen
  • Energi 
  • Transporter 
  • Bankverksamhet 
  • Finansmarknadsinfrastruktur 
  • Hälso- och sjukvårdssektorn 
  • Dricksvatten 
  • Avloppsvatten 
  • Digital infrastruktur 
  • Förvaltning av IKT-tjänster (mellan företag) 
  • Offentlig förvaltning 
  • Rymden 
  • Post- och budtjänster 
  • Avfallshantering 
  • Tillverkning, produktion och distribution av kemikalier 
  • Produktion, bearbetning och distribution av livsmedel 
  • Tillverkning 
  • Digitala leverantörer 
  • Forskning

Vad innebär kraven i den nya lagen?

För att följa lagen måste aktörerna som omfattas följa strikta säkerhetsrutiner för att skydda sina nätverks- och informationssystem samt deras fysiska miljöer. Detta innebär att de måste genomföra en riskanalys och därefter implementera en rad omfattande åtgärder.

Dessutom måste aktörerna bland annat anmäla sig till sin tillsynsmyndighet, utbilda sin ledning samt rapportera incidenter till Myndigheten för samhällsskydd och beredskap (MSB).

Åtgärder som behöver tas utifrån en riskanalys
  • Incidenthantering 
  • Kontinuitetshantering 
  • Säkerhet i leveranskedjan 
  • Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem 
  • Strategier och förfaranden för användning av kryptografi och kryptering 
  • Personalsäkerhet 
  • Strategier för åtkomstkontroll och tillgångsförvaltning 
  • Säkrade lösningar för kommunikation 
  • Lösningar för autentisering

Vad händer om man inte följer lagen?

Tillsynsmyndigheter kommer bland annat att kunna utfärda sanktionsavgifter kopplade till den nya cybersäkerhetslagen. I förslaget höjs maxbeloppet för sanktionsavgiften väsentligt. För vissa aktörer som klassas som väsentliga verksamhetsutövare kan sanktionsavgiften uppgå till två procent av total global årsomsättning, alternativt 10 000 000 euro.

– Jag hoppas att sanktionsavgifterna blir en tydlig signal om att de här åtgärderna är helt nödvändiga. Det är inte något som kan skjutas på framtiden. Vidtar de som omfattas av reglerna rätt åtgärder och skapar tydliga rutiner tidigt kan den typen av påföljder undvikas, säger Annika Norrman Nordell.

Läs även
Yttre hoten ökar – snart riskerar företag sanktioner om de inte är rätt rustade
Läs denna artikel
Yttre hoten ökar – snart riskerar företag sanktioner om de inte är rätt rustade

Ta hjälp från extern expertis

Grant Thorntons specialister inom cybersäkerhet och regelverk kan hjälpa er organisation att förstå vad de nya regelverken kräver och vad som behövs för att följa dem. Vi kan bistå er organisation med bland annat GAP-analys för att förstå var organisationen befinner sig och vad som krävs för att följa de nya regelverken, operativt stöd och hjälp vid implementering, och kompetenshöjande insatser.

Tjänster
Vi kan hjälpa er med: Cybersäkerhet
Jag vill veta mer
Vi kan hjälpa er med: Cybersäkerhet