Ny utredning om Cybersäkerhetslagen presenterad-är din organisation redo?

Publicerad 12 mars 2024 i Advitum Svarar, Blogginlägg, Nyheter

Den 5 mars 2024 presenterades utredningen om den så kallade cybersäkerhetslagen som syftar till att implementera EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå (NIS2). Cybersäkerhetslagen, föreslagen att träda i kraft den 1 januari 2025, medför flera betydande förändringar inom området för informationssäkerhet och cybersäkerhet jämfört med den nuvarande NIS-lagen som den ersätter.

Den senaste vågen av säkerhetsincidenter och cyberattacker har höjt allmänhetens medvetenhet om vikten av att upprätthålla en hög nivå av cybersäkerhet. Dessa händelser, särskilt den omfattande cyberattacken mot Tietoevry och den ryska it-attacken mot Kalmar kommun, belyser det ökande hotet mot företags- och organisationers digitala infrastruktur. Cybersäkerhet är inte längre enbart en förebyggande åtgärd utan en nödvändig investering för att skydda känslig information, säkerställa kontinuiteten i verksamheten och bevara förtroendet från kunder och partners.

Företag och organisationer som inte efterlever cybersäkerhetslagen riskerar omfattande ekonomiska påföljder. Det är också viktigt att förstå hur cybersäkerhetslagen relaterar till annan lagstiftning på området, såsom CER-direktivet, cybersäkerhetsförordningen och GDPR.

1. En mängd olika verksamheter omfattas av lagen

Cybersäkerhetslagen utvidgar tillämpningsområdet till fler sektorer och delar in dem i väsentliga och viktiga verksamhetsutövare. Reglerna är i stort sett desamma för båda kategorierna, men sanktioner och tillsyn varierar beroende på klassificeringen. Nya sektorer som omfattas inkluderar bland annat avloppsvatten, förvaltning av IKT-tjänster, offentlig förvaltning, rymden, post- och budtjänster, avfallshantering, tillverkning och distribution av kemikalier, livsmedelstillverkning samt forskning. Nästan hela den offentliga sektorn, inklusive myndigheter, regioner och kommuner, omfattas av lagens krav.

Cybersäkerhetslagen innehåller en generell undantagsbestämmelse för små- och mikroföretag, vilket innefattar företag med färre än 50 anställda och en årlig omsättning eller balansomslutning på mindre än 10 miljoner EUR. Koncernbolag och företag med specifikt ägande räknas in vid beräkningen av antal anställda och omsättning/balansomslutning. Det är dock viktigt att notera att många verksamheter omfattas av direktivet oavsett storlek, inklusive leverantörer av elektroniska kommunikationstjänster och verksamheter som är väsentliga för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet.

En viktig fråga är om hela verksamheten eller endast delar av den ska omfattas av kraven. Utredningens slutsats är att hela verksamheten omfattas, vilket innebär att både den fysiska eller juridiska personens totala verksamhet och inte bara specifika delar nämnda i lagen omfattas.

2. Krav på verksamheten

Cybersäkerhetslagen fastställer ett antal krav för omfattade verksamheter. Vissa av dessa krav är nya eller tydligare jämfört med den nuvarande lagen. Några av de viktigaste kraven inkluderar att verksamheten måste anmälas till sin tillsynsmyndighet, genomföra riskhanteringsåtgärder baserade på riskanalyser, hantera säkerheten i leveranskedjan, genomgå utbildning för ledningen samt erbjuda utbildning för anställda och rapportera säkerhetsincidenter till MSB inom angivna tidsramar.

3. Säkerhet i leveranskedjan

En nyckelkomponent i cybersäkerhetslagen är kravet på att organisationer måste hantera säkerhetsaspekter i relationen mellan dem och deras leverantörer och tjänsteleverantörer. Detta innebär att en noggrann undersökning, så kallad due diligence, måste utföras i hela leverantörskedjan gällande deras cybersäkerhetsåtgärder. Organisationer har därmed inte bara ansvar för sin egen verksamhets säkerhet utan även för säkerheten i hela sin leveranskedja.

4. Införande av sanktioner enligt GDPR-modellen

Enligt utredningen kommer cybersäkerhetslagen att införa möjligheten för tillsynsmyndigheterna att utfärda sanktionsavgifter upp till det högsta av 10 miljoner EUR eller 2% av global årsomsättning. Detta kan jämföras med GDPR, vars sanktionsavgifter kan uppgå till det högsta av 20 miljoner EUR eller 4% av den globala årsomsättningen. Administrativa sanktioner kan också riktas direkt mot verksamhetens högsta ledning och personer i ledande ställning. Dessutom föreslås införande av en sanktion i form av krav på offentliggörande av information om överträdelser och informering av användare


    Advitums erfarenheter

    Advitum har expertkompetens och erfarenhet av att i många år ha arbetat med att hjälpa företag och organisationer att nå upp till högt ställda myndighetskrav gällande IT-säkerhet.
    NIS2 representerar ett betydande steg inom nätverks- och informationssäkerhet och utrustar organisationer med avancerade verktyg och strategier för att bekämpa det ständigt föränderliga landskapet av hot. I takt med att tekniken fortsätter att utvecklas blir det absolut nödvändigt att anamma direktiv som NIS2 eller nå upp till samma nivå för att säkerställa en säker och motståndskraftig digital framtid.

    Ta gärna kontakt med oss för att boka ett förutsättningslöst möte!

    För att läsa ett tidigare blogginlägg om din organisation når upp till de nya krav som ställs i det nya NIS2-direktivet klicka här
    För mer information från MSB om NIS2 direktivet och vilka sektorer och branscher som omfattas klicka här

    Robert Kitanovski

    070-6812029

    robert.kitanovski@advitum.se

    Tillbaka

    Prenumerera på Advitums nyhetsbrev

    Om du väljer att prenumerera på vårt nyhetsbrev kommer du att erhålla information om vad som händer på Advitum, våra utbildningar och kundevent, nyttiga blogginlägg och viktiga produktnyheter. Självklart kan du säga upp din prenumeration med en enkel knapptryckning.