Det nationella genomförandet av cybersäkerhetsdirektivet framskrider: Regeringen föreslår en ny cybersäkerhetslag

Regeringen överlämnade den 23 maj 2024 en proposition till riksdagen om det nationella genomförandet av cybersäkerhetsdirektivet (NIS 2). Syftet med direktivet är att stärka cybersäkerheten inom kritiska sektorer i EU och medlemsstaterna.

EU:s nya cybersäkerhetsdirektiv, det vill säga NIS 2, kommer att ersätta det tidigare EU-direktivet om nät- och informationssäkerhet (NIS–direktivet). NIS 2–direktivet publicerades i december 2022. Medlemsstaterna ska tillämpa direktivet senast från den 18 oktober 2024.

Syftet med cybersäkerhetsdirektivet är att stärka cybersäkerhetsnivån inom alla EU-sektorer som är centrala med tanke på samhällets funktion. De aktörer som omfattas av tillämpningsområdet ska i fortsättningen bedöma riskerna som rör säkerheten i de kommunikationsnät och informationssystem som de använder. Aktörerna måste också kunna hantera dessa risker. Dessutom ska aktörerna underrätta myndigheterna om allvarliga incidenter i kommunikationsnäten och informationssystemen.

Direktivets tillämpningsområde omfattar i större utsträckning än tidigare till exempel aktörer inom energi- och hälsovårdsbranschen samt tillhandahållare av digitala infrastrukturer. Direktivet omfattar också helt nya sektorer som offentlig förvaltning, livsmedelssektorn, tillverkningsindustrin för vissa produkter och avfallshantering. Direktivet gäller i regel medelstora och större aktörer inom dessa branscher.

Miniminivå som utgångspunkt för det nationella genomförandet

Regeringen föreslår en miniminivå som utgångspunkt för det nationella genomförandet av cybersäkerhetsdirektivet. Regeringen föreslår inga nationella tillägg till exempel till direktivets tillämpningsområde eller till omfattningen på skyldigheterna.

Regeringen föreslår att cybersäkerhetsdirektivet ska genomföras genom att det stiftas en helt ny cybersäkerhetslag. I cybersäkerhetslagen ska det samlat föreskrivas om de skyldigheter i fråga om cybersäkerhet som avses i direktivet och som gäller riskhantering och rapportering av allvarliga incidenter. Dessutom ska det i lagen föreskrivas om tillsynen över skyldigheterna och om andra myndighetsuppgifter som genomförandet förutsätter.

Tillsynen över cybersäkerhetsdirektivet ska decentraliseras till sektorspecifika myndigheter på samma sätt som tillsynen enligt det tidigare NIS-direktivet. Tillsynsmyndigheter ska vara Transport- och kommunikationsverket (Traficom), Energimyndigheten, Säkerhets- och kemikalieverket, NTM-centralen i Södra Savolax, Livsmedelsverket, Tillstånds- och tillsynsverket för social- och hälsovården Valvira och Säkerhets- och utvecklingscentret för läkemedelsområdet Fimea. Samarbetet mellan tillsynsmyndigheterna ska samordnas av Transport- och kommunikationsverket. Administrativa påföljdsavgifter ska påföras av en påföljdsavgiftsnämnd som inrättas separat och som består av medlemmar som utses av tillsynsmyndigheterna.

Vid Transport- och kommunikationsverkets Cybersäkerhetscenter ska man dessutom placera uppgifterna för den enhet som utreder och reagerar på informationssäkerhetsöverträdelser, dvs. CSIRT-enheten. Uppgifterna motsvarar till stor del Cybersäkerhetscentrets nuvarande uppgifter till exempel när det gäller uppföljning och analys av cyberhot. Enheten ska också samordna offentliggörandet av sårbarheter i EU. Enheten kunde också vara samordnare för frivilliga arrangemang kring delning av information om cybersäkerhet.

I cybersäkerhetslagen ska det föreskrivas om myndigheternas skyldighet att godkänna en nationell cybersäkerhetsstrategi och att utarbeta en plan för hantering av omfattande cybersäkerhetsincidenter och cyberkriser.

I samband med det nya cybersäkerhetsdirektivet upphävdes det gamla direktivet om nät- och informationssäkerhet. Genom regeringspropositionen upphävs också bestämmelserna om det nationella genomförandet av den.

Vad händer härnäst?

Den proposition som regeringen har överlämnat till riksdagen blir föremål för en remissdebatt i plenum. Tidpunkten för riksdagens plenum meddelas på riksdagens webbplats. Efter remissdebatten skickas propositionen vidare till utskottsbehandling, och när utskottets betänkande är klart fortsätter behandlingen i plenum.

Enligt regeringens proposition ska bestämmelserna träda i kraft den 18 oktober 2024. Det föreslås en övergångsperiod för lämnande av uppgifter till tillsynsmyndigheten i fråga om förteckningen över aktörer så att de ska lämnas senast den 31 december 2024.

Ytterligare information:

Veikko Vauhkonen, regeringssekreterare, [email protected], tfn 0295 342 168