Förslag till nya regler om cybersäkerhet – NIS2

Den digitala omvandlingen av samhället har utökat hotbilden och medför nya utmaningar som kräver anpassade och innovativa svar. Antalet cyberattacker fortsätter att öka, med allt mer sofistikerade attacker både inom och utanför EU. Det inträffade nästan 450 cybersäkerhetsincidenter under 2019 som involverade kritisk infrastruktur som vård, finans och energi i Europa.

För att möta dessa ökade hot mot kritisk infrastruktur presenterade EU kommissionen under 2020 ett förslag till reviderat NIS-direktiv (NIS2). Tidigare i år ingicks ett provisoriskt avtal och den slutgiltiga texten måste godkännas av rådet och Europaparlamentet. När direktivet har antagits kommer NIS2 att ersätta det nuvarande NIS-direktivet.

Kort om NIS1

NIS1 är ett EU-direktiv som fastställer åtgärder för att uppnå en hög gemensam nivå av säkerhet i nätverks- och informationssystem inom unionen. Åtgärderna syftar till att säkerställa kontinuiteten i samhällsviktiga och digitala tjänster. Direktivet ställer krav på leverantörerna att bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete avseende de nätverks- och informationssystem som de använder för att tillhandahålla de samhällsviktiga respektive digitala tjänsterna. Direktivet innehåller också krav på att rapportera incidenter med betydande eller avsevärd påverkan på kontinuiteten i tjänsterna.

Två kategorier av leverantörer omfattas av NIS1: leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster.

• Leverantörer av samhällsviktiga tjänster är leverantörer som är verksamma inom särskilda sektorer som pekas ut i NIS1. Direktivet pekar ut sju sektorer: energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur.
• Leverantörer av digitala tjänster är leverantörer som tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster.

Myndigheten för samhällsskydd och beredskap (MSB) har även meddelat föreskrifter som tydliggör vilka leverantörer som är leverantörer av samhällsviktiga tjänster, MSBFS 2021:9.

NIS1 har införlivats i svensk rätt genom lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, förordning (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster samt genom MSB:s föreskrifter på området.

Brister i NIS1

Syftet med NIS2 är att övervinna de huvudsakliga brister som finns i NIS1. Dessa brister består i att företag som bedriver samhällsviktig verksamhet inte har tillräcklig cyberresiliens, att cybersäkerhetskrav och tillämpning av cybersäkerhetsåtgärder behöver harmoniseras inom EU samt att de inte finns tillräcklig medvetenhet i förhållande till cybersäkerhet. Bristerna beror till viss del på att leverantörer i EU inte har implementerat de krav som ställs i NIS1, och till viss del på att kraven i NIS1 inte är tillräckliga. EU kommissionen identifierade ett antal problem med NIS1, bland annat följande:

• Otillräckligt tillämpningsområde,
• Identifiering av samhällsviktiga tjänster är inte tillräckligt tydligt reglerat och medlemsstaterna har inte tillräckliga riktlinjer för att fastställa jurisdiktion över leverantörer av digitala tjänster,
• Olika säkerhetsåtgärder och rapporteringskrav i olika medlemsstater,
• Ineffektiv tillsyn och efterlevnad.

EU kommissionen har konstaterat att NIS-direktivets nuvarande tillämplighetsområde är för begränsat gällande de sektorer som omfattas. Två huvudsakliga orsaker har tillskrivits detta: en ökad digitalisering under de senaste åren och att system är allt mer sammankopplade samt att tillämpningsområdet för NIS1 inte längre speglar alla digitaliserade sektorer som tillhandahåller samhällsviktiga tjänster.

Nationella myndigheter i olika medlemsstater har utvecklat varierade metoder för identifiering av samhällsviktiga och digitala tjänster. Det har lett till att NIS1 de facto fått väldigt olika tillämpning i olika medlemsstater. Det innebär också att leverantörer som faller utanför tillämpningsområdet i vissa medlemsstater inte har tydliga krav på säkerhetsåtgärder. Till följd av den ökade sammankopplingen kan det innebära högre sårbarhet även för andra leverantörers system, trots att de faller innanför direktivets tillämpningsområde och tillämpar de krav som det ställer. Även när det kommer till incidentrapportering har det konstaterats att kraven ser betydligt olika ut i de olika medlemsstaterna.

Utvidgning av tillämpningsområdet

En stor förändring i NIS2 är att direktivet kommer omfatta fler sektorer än NIS1. Eftersom NIS-direktivets nuvarande tillämplighetsområde anses vara för begränsat, har en ny klassificering föreslagits i NIS2 – väsentliga entiteter och viktiga entiteter. I och med denna förändring föreslås också att fler sektorer ska falla inom ramen för direktivets tillämpningsområde. För Sveriges del kommer detta troligen innebära minst en fördubbling av antalet aktörer som omfattas.

Det är idag medlemsstaterna själva som identifierar de leverantörer av samhällsviktiga tjänster som är etablerade på deras territorium, men varierande metoder för identifiering har lett till att tillämpningsområdet för NIS1 blivit fragmenterat. För att harmonisera identifieringsprocessen i EU ska alla medlemsländer istället utgå från samma kriterium för att identifiera väsentliga och viktiga identiteter. Kriteriet som föreslagits i NIS2 är att företag inom de sektorer som är listade bilagorna till NIS2 automatiskt ska räknas som väsentliga respektive viktiga tjänster och därmed falla in under direktivets tillämpningsområde. Det förenas med en så kallad storleksregel, som innebär att små- och mikroföretag inte ska omfattas av direktivet. Med små- och mikroföretag avses företag som sysselsätter färre än 50 personer och vars omsättning eller balansomslutning inte överstiger 10 miljoner EUR per år.

Nya krav på säkerhetsåtgärder

NIS2 fastställer de grunder som verksamheter ska utgå ifrån när de väljer säkerhetsåtgärder för cybersäkerhet och det listas även upp ett antal säkerhetsåtgärder som utgör en obligatorisk minimistandard. I NIS1 är kraven på säkerhetsåtgärder att verksamheter ska välja ändamålsenliga och proportionerliga tekniska och organisatoriska säkerhetsåtgärder som är lämpliga i förhållande till risken. Utöver det finns stort utrymme för medlemsstaterna att själva reglera närmare vilka säkerhetsåtgärder som är ändamålsenliga. Det har resulterat i att olika medlemsstater har olika krav på säkerhetsåtgärder.

I NIS2 föreslås istället formuleringen lämpliga och proportionerliga tekniska och organisatoriska åtgärder för att hantera risker och innebörden av begreppet har preciserats genom minimistandarderna för att jämna ut nivån av säkerhet inom unionen. Exakt vad dessa krav innebär är svårt att säga och kommer inte närmare att behandlas inom ramen för detta blogginlägg. Intressant är däremot att notera att formuleringen i NIS2 även är relativt likartad formuleringen i GDPR som är lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig. Skyddsobjektet för GDPR är däremot ett annat än det i NIS, och kravet i NIS2 ställer upp att lämpliga och proportionerliga åtgärder ska vidtas. Kraven är således inte identiskt utformade, vilket föranleder att likheter i tolkning ändå bör göras med viss försiktighet.

Utökade krav på incidentrapportering

I NIS1 ställs olika incidentrapporteringskrav upp för leverantörer av samhällsviktiga respektive digitala tjänster. För att rapporteringsskyldighet ska uppstå för samhällsviktiga tjänster krävs att en incident har betydande inverkan. För att rapporteringsskyldighet ska uppstå för leverantörer av digitala tjänster ska en incident ha avsevärd inverkan. Direktivet har lämnat det relativt fritt för medlemsstaterna att själva tolka innebörden av dessa begrepp. Även om medlemsstaterna är skyldiga att ta hänsyn till flera faktorer (antalet användare som påverkas av en incident, dess varaktighet och geografiska spridning), står det varje medlemsstat fritt att fastställa exakta kvantitativa trösklar. Som ett resultat av detta skiljer sig antalet incidenter som rapporteras av samhällsviktiga tjänster i varje medlemsstat avsevärt och återspeglar inte omfattningen av incidenter som påverkar företagens nätverks- och informationssystem.

I NIS2 ställs samma krav upp för incidentrapportering för såväl väsentliga som viktiga entiteter. För att en incident ska omfattas av rapporteringskravet krävs att den ska ha en betydande påverkan på tillhandahållandet av de tjänster som levereras genom verksamheten. Om en påverkan är betydande eller inte avgörs huvudsakligen från två olika perspektiv – påverkan på den egna verksamheten (betydande driftsstörningar eller ekonomiska förluster för den berörda entiteten) samt påverkan på andra (betydande materiella eller immateriella förluster).

Idag ställer NIS1 inte upp något specifikt tidskrav för rapportering, utan rapportering ska ske till tillsynsmyndighet utan onödigt dröjsmål. I NIS2 ställs det istället upp att en initial notifiering ska ske inom 24 timmar från att en incident med betydande påverkan upptäckts. Detta nya tidskrav införs för att bidra till en mer harmoniserad incidentrapportering i EU. För svensk del finns det däremot redan mer specificerade tidskrav i MSB:s föreskrifter MSBFS 2018:9 där rapporter ska ges in med olika mycket innehåll efter sex timmar, 24 timmar respektive fyra veckor.

Införande av sanktioner

I NIS2 föreslås bestämmelser som inför sanktionsavgifter. NIS1 innehåller inte någon bestämmelse om typer av sanktioner som medlemsstaterna bör föreskriva i sin nationella lagstiftning, och NIS1 vägleder inte medlemsstaterna om nivåer som skulle kunna säkerställa effektivitet, proportionalitet och avskräckande effekt. Sanktionsavgifterna som föreslås i NIS2 ska kunna uppgå till 10 miljoner EUR eller 2% av den totala globala årsomsättningen under det föregående räkenskapsåret för det företag som den väsentliga eller viktiga entiteten tillhör, beroende på vilken siffra som är högst. Sanktionsavgifterna kan föreläggas om entiteterna inte lever upp till säkerhetskraven eller om de bryter mot bestämmelserna om incidentrapportering.

Det ställs även upp administrativt inriktade sanktioner. NIS2 ställer krav riktade mot det högsta styrande organet i verksamheten (exempelvis bolagsstyrelse, kommunstyrelse, nämnd) att godkänna entitetens valda säkerhetsåtgärder, övervaka införandet av säkerhetsåtgärderna och kunna hållas ansvarig vid bristande efterlevnad av de säkerhetsåtgärder som vidtagits.

I samband med att styrande organ får större ansvar i NIS2, finns det också möjligheter för sanktioner riktade mot organen. Tillsynsmyndigheter kommer ha möjlighet att tillfälligt förhindra ansvariga medlemmar i styrelsen från att verka i entitetens ledning om de misslyckas åtgärda incidenter enligt regleringen. Regleringen riktar även in sig på enskilda ledamöter i dessa styrelser som ska genomgå utbildning inom cybersäkerhet. Medlemsländerna ska även uppmuntra entiteterna till att regelbundet tillhandahålla utbildning i cybersäkerhet till samtliga anställda.

Säkerhet i leveranskedjan

En nyhet med NIS2 är krav på att entiteter ska hantera säkerhetsaspekter i relationen mellan entiteten och dess leverantörer och tjänsteleverantörer vilket med andra ord innebär att så kallad due diligence ska utföras i hela leverantörskedjan. Detta gäller både i förhållande till den generella kvalitén av produkter och cybersäkerhetskrav som leverantörer har. En entitet som omfattas av direktivet har således inte bara ansvar för säkerheten i sin egen verksamhet, utan även de leverantörer de väljer att använda sig av. Detta beror på det höga antalet systemintrång där intrånget skett via en leverantör eller en underleverantör till verksamhetsutövaren.