Cybersäkerhetslagen är Sveriges sätt att implementera EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet). Trots att NIS2-direktivet skulle vara genomfört i medlemsländerna redan oktober 2024 är den svenska regleringen ännu inte på plats.
Under våren 2025 väntas en proposition från Försvarsdepartementet med lagförslag till riksdagen för behandling och beslut. Enligt MSB:s tidsplan kan Cybersäkerhetslagen träda i kraft tidigast sommaren 2025.
Cybersäkerhetslagen och det direktiv som lagen införlivar är ett av EU:s svar på de yttre hot som riktas mot europeiska stater och samhällen. Genom att ta cybersäkerhet på allvar hos samhällsviktiga aktörer minskar sårbarheten, vilket är en viktig del i ett fungerande totalförsvar.
– Lagen handlar om alltifrån it-lösningar till rutiner, men också om hur man arbetar med att begränsa åtkomst till känslig information, med mera. Det handlar om att skaffa sig en förståelse för sårbarheter som finns, och skapa verksamheter som minimerar dem, säger Christer Runestam.
Sanktionsavgiften för verksamhetsutövare som klassificeras som väsentliga kan enligt lagförslaget för cybersäkerhetslagen som mest vara det högsta av två procent av total global årsomsättning från föregående räkenskapsår eller 10 000 000 euro. För verksamhetsutövare som klassificeras som viktiga kan sanktionsavgiften enligt lagförslaget som mest vara det högsta av 1,4 procent av total global årsomsättning från föregående räkenskapsår eller 7 000 000 euro.
Christer Runestam drar en parallell till införandet av GDPR, som fick företagen att anpassa sina rutiner vid införandet 2018. Även då var stora sanktionsavgifter något som drev företagen till att ta reglerna på allvar, och resurser i form av tid och pengar lades på att jobba om de egna rutinerna.
Trots att taket för sanktionsavgifterna kopplade till NIS2 och Cybersäkerhetslagen i vissa fall är lägre än de för GDPR finns det flera skäl till att lägga stor vikt vid att efterleva de nya reglerna.
– Mycket pekar på att tillsynsmyndigheterna kommer att ta i med hårdhandskarna, och inte dra sig för att vidta åtgärder mot de aktörer som brister i förhållande till de nya reglerna. Reglerna syftar till att göra samhället mer motståndskraftigt, vilket är högt upp på samhällsagendan. Därför tror jag att vi kommer se fler exempel där sanktionsavgifter utfärdas kopplat till Cybersäkerhetslagen än GDPR, säger Christer Runestam.
Grant Thorntons specialister inom cybersäkerhet och regelverk kan hjälpa er organisation att förstå vad de nya regelverken kräver och vad som behövs för att följa dem. Vi stöttar även er som indirekt omfattas av kraven.
Vi kan bistå er organisation med bland annat gap-analys för att förstå var organisationen befinner sig och vad som krävs för att följa de nya regelverken, operativt stöd och hjälp vid implementering, och kompetenshöjande insatser.
Med vårt nyhetsbrev Target får du varje månad aktuella nyheter likt denna, tips från våra experter och information om kommande evenemang. Vi vill bidra till att ditt företag växer och utvecklas.
