X
Nyhetslista
/ Kategorier: Nyheter november 2022

Ny lagstiftning om cybersäkerhet och resiliens i EU

Rådet har antagit ny lagstiftning för en hög gemensam cybersäkerhetsnivå i hela EU. Den offentliga och privata sektorn, och unionen i stort, ska öka sin resiliens och sin kapacitet att hantera incidenter.

NIS 2-direktivet utgör basen för riskhanteringsåtgärder och rapporteringskrav på cyberområdet i alla sektorer som omfattas av direktivet, såsom energi, transport, hälso- och sjukvård samt digital infrastruktur.

Syftet med det reviderade direktivet är att harmonisera de olika medlemsländernas cybersäkerhetskrav och tillämpning av cybersäkerhetsåtgärder. Därför fastställs miniminivåer för ett regelverk och mekanismer för ett effektivt samarbete mellan de berörda myndigheterna i varje medlemsland. Förteckningen över sektorer och verksamhet som omfattas av cybersäkerhetsskyldigheter uppdateras, och korrigerande åtgärder och sanktioner föreskrivs för att garantera att lagstiftningen följs.

Genom direktivet inrättas formellt Europeiska kontaktnätverket för cyberkriser (EU-CyCLONe), som ska bidra till en samordnad hantering av storskaliga cyberincidenter och -kriser.

Enligt det gamla NIS-direktivet var det medlemsländerna som bestämde vilka entiteter som uppfyllde kriterierna för att anses vara leverantörer av samhällsviktiga tjänster. Genom det nya NIS 2-direktivet införs en storleksbaserad allmän regel för identifiering av reglerade entiteter. Detta innebär att alla medelstora och stora entiteter som verkar inom de sektorer eller tillhandahåller de tjänster som omfattas av direktivet täcks av dess tillämpningsområde.

Denna allmänna regel bibehålls i det reviderade direktivet. Texten innehåller också ytterligare bestämmelser för att garantera proportionalitet, en högre nivå av riskhantering och tydliga kritiska kriterier så att nationella myndigheter kan fastställa ytterligare entiteter som omfattas.

I texten klargörs också att direktivet inte är tillämpligt på entiteter med verksamhet inom områden som försvar eller nationell säkerhet, allmän säkerhet och brottsbekämpning. Rättsväsende, parlament och centralbanker omfattas inte heller av direktivet.

NIS2 kommer också att gälla för offentliga förvaltningar på central och regional nivå. Dessutom får medlemsländerna besluta att direktivet ska gälla även för sådana entiteter på lokal nivå.

Det nya direktivet har anpassats till sektorsspecifik lagstiftning, främst förordningen om digital operativ motståndskraft för finanssektorn (DORA-förordningen) och direktivet om kritiska enheters resiliens.Syftet är att skapa rättslig klarhet och garantera samstämmighet mellan NIS 2-direktivet och dessa akter.

En frivillig peer learning-mekanism ökar det ömsesidiga förtroendet och leder till att fler lärdomar dras av god praxis och erfarenheter i unionen. Detta bidrar i sin tur till en hög gemensam cybersäkerhetsnivå.

Rapporteringskraven förenklas för att undvika överrapportering och onödiga bördor för de entiteter som omfattas av dessa.

Medlemsländerna får 21 månader på sig från ikraftträdandet av direktivet för att införliva bestämmelserna i sin nationella lagstiftning.
Föregående artikel Matsvinn i Sverige och EU
Nästa artikel En ny lag om stöd vid korttidsarbete
Skriv ut
214 Betygsätt artikel:
Inga betyg

Lagpunkten är en webbtjänst för lagbevakning och lagefterlevnad. I Lagpunkten finns alla lagar som är relevanta för ett företag, såväl på svensk nivå som på EU-nivå.

Titta på vår instruktiva film om hur Lagpunkten kan hjälpa dig att snabbt komma igång.

Saknar ett enkel och kraftfullt verktyg för att ha koll på lagkrav och efterlevnad? Testa vår tjänst i två veckor utan kostnad.