Förslag till NIS 2 från Kommissionen

It- och informationssäkerhet
JONAS MAGNUSSON
16.03.2021

Den 16 december 2020 presenterade EU-kommissionen ett förslag1 till en uppdatering av det s.k. NIS-direktivet. Jag skulle vilja passa på att här dela med mig av några reflektioner från min första genomläsning av förslaget.

Det ursprungliga NIS-direktivet, eller ”direktivet om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen”, antogs av EU under 2016 för att sedan under 2018 omsättas i nationell lagstiftning i EU:s medlemsstater.

Den uppdaterade versionen av direktivet (”NIS 2”) är som sagt ännu bara ett förslag och EU:s medlemsstater är just nu i färd med att ta ställning till det. Myndigheten för Samhällsskydd och Beredskap (MSB), som är Sveriges nationella kontaktpunkt för NIS-direktivet, anger t.ex. därför på sin hemsida att det är för tidigt att dra några slutsatser om vilka effekter det nya förslaget kan få i en svensk kontext.


Redan nu kan dock ett antal intressanta föreslagna förändringar och uppdateringar identifieras vid en första titt på NIS 2. EU-kommissionens förslag omfattar, i stora drag, följande:

  • utökade och förstärkta tillsynsmöjligheter,

  • sanktionssystem där överträdelser mot bestämmelserna om riskhantering och incidentrapportering kan beläggas med sanktion,

  • ett EU-nätverk av företrädare från nationella krishanteringsmyndigheter som bl.a. ska kunna bidra till koordinerad hantering av cyberincidenter och -kriser med gränsöverskridande påverkan,

  • utökad informationsdelning inkl. koordinerad hantering inom EU av nyupptäckta säkerhetshål,

  • ökade, mer detaljerade säkerhetskrav för de som träffas av NIS – från krav på förmåga att hantera incidenter och sårbarheter till hur man ska arbeta effektivt med kryptering,

  • tydliggjort ansvar för företags ledningsgrupper rörande deras skyldigheter kopplade till riskhanteringsåtgärder avseende cybersäkerhet,

  • anpassningar för att strömlinjeforma incidentrapporteringskraven inkl. formkrav rörande incidentrapporteringsprocessen, tidsgränser för rapportering samt rapporteringens innehåll,

  • utökat antal sektorer att beakta, däribland postväsende, offentlig förvaltning, avloppsvatten och kritisk industriproduktion såsom tillverkning av läkemedel, medicinteknik och kemikalier.2


Som synes är det en mängd stora och små förändringar som föreslagits. Det kommer inte vara möjligt att redogöra för alla i detta format, men vissa av dem förtjänar att redan nu kommenteras.

Till att börja med kan nämnas att EU-kommissionen redan i samband med antagandet av NIS-direktivet under 2017 lyfte ett antal extra sektorer som man menade att medlemsstaterna borde beakta som ytterligare potentiella sektorer att inkludera vid implementering av nationell NIS-lagstiftning.3 Här fanns bl.a. offentlig förvaltning, postväsende och kemisk industri som nu alltså nämns i NIS2-förslaget. Noterbart är att även läkemedelsindustri nämns i EU-kommissionens NIS2-förslag. Detta är naturligtvis intressant i ljuset av Corona-pandemin, som bl.a. visat hur viktiga trygga försörjningskedjor för vaccin och läkemedel är för samhällets krishanteringsförmåga.

Därtill är också ett intressant förslag att sektorn ”offentlig förvaltning”, enligt kommissionens nya förslag, bör träffas av NIS-direktivet. Om vi antar att detta i en svensk kontext skulle kunna omfatta bl.a. statliga myndigheter, uppstår ett antal följdfrågor om detta delförslag av NIS2 går igenom:

  • hur ska de nya NIS-bestämmelserna ur en svensk kontext komplettera, och jämkas med, MSB:s nya föreskrifter MSBFS 2020:6-8 om informationssäkerhet, säkerhetsåtgärder för informationssystem samt rapportering av IT-incidenter för statliga myndigheter?,

  • vilken svensk myndighet skulle ha tillsynsansvar för den nya sektorn som offentlig förvaltning i så fall skulle utgöra?


Vidare är en intressant fråga huruvida EU-kommissionen anser att incidentrapportering under NIS-direktivet inte sker i önskvärd utsträckning – med tanke på förslaget om sanktioner för underlåtenhet att incidentrapportera4 (som vid första anblick tycks likna sanktionerna under GDPR). Här kan nämnas att den svenska implementeringen av NIS redan innehåller möjlighet att utfärda sanktionsavgifter. MSB publicerade också nyligen en årsrapport över de 88 incidentrapporter som svenska leverantörer av samhällsviktiga tjänster inkom med under 2020. I rapporten betonar dock MSB att det är för tidigt att dra slutsatser kring om antalet inrapporterade incidenter återspeglar det verkliga antalet inträffade incidenter eller om för få incidenter rapporteras. Anledningen, skriver MSB, är att NIS-direktivet och dess tillämpning i svensk lagstiftning bara funnits på plats i ett fåtal år.

EU-kommissionen lät också hösten 2020 utföra en utvärdering av NIS-direktivet och dess implementering i medlemsstaterna.5 I en enkät som ingick i utvärderingen menade många respondenter6 att skillnader i krav på incidentrapportering mellan medlemsstaternas olika nationella implementering av NIS-direktivet gav ojämlika villkor mellan organisationer i olika medlemsstater. Detta ansågs kunna hämma konkurrensen på den inre marknaden och innebar även, för leverantörer av samhällsviktiga tjänster som verkade i flera medlemsstater, en administrativ börda att efterleva olika krav på incidentrapportering under olika nationella NIS-lagar.

Det tycks därför vara dessa upplevda problem, och en vilja att harmonisera krav bland EU-länderna,  som ligger till grund för NIS2-förslaget om att skärpa bestämmelserna om incidentrapportering snarare än upplevd brist på antal incidentrapporter. Kommissionen anser troligen även att incidentrapportering fyller en viktig funktion i att årliga sammanställningar av nationell incidentrapportering används för att dela erfarenheter mellan medlemsstaterna och därigenom höja hela unionens säkerhet.

Sammantaget blir det intressant att se vad kommissionens förslag till slut resulterar i. Förslaget ska nu hanteras i rådsstrukturen och så småningom även godkännas i EU-parlamentet. Det kommer därför sannolikt ta ett tag innan vi får se slutresultatet av förslaget.

På Knowit är vi vana att arbeta med samhällssäkerhet och erbjuder sedan tidigare redan våra kunder möjlighet till stöd under det rådande NIS-regelverket. Vi ser också fram emot att diskutera NIS och mycket annat på Mötesplats Samhällssäkerhet som anordnas den 23-24 mars! Om du besöker konferensen, kom gärna förbi vår digitala monter och säg hej!

 

Källor

1Proposal for directive on measures for high common level of cybersecurity across the Union, länk: https://ec.europa.eu/digital-single-market/en/news/proposal-directive-measures-high-common-level-cybersecurity-across-union

2Revised Directive on Security of Network and Information Systems (NIS2), länk: https://ec.europa.eu/digital-single-market/en/news/revised-directive-security-network-and-information-systems-nis2

3Bilaga till meddelande från kommissionen til Europaparlamentet och Rådet, länk: https://ec.europa.eu/transparency/regdoc/rep/1/2017/SV/COM-2017-476-F1-SV-ANNEX-1-PART-1.PDF

4Artikel 31 i EU-kommissionens förslag

5Public consultation on the Directive on security of network and information systems (NIS Directive), länk: https://ec.europa.eu/digital-single-market/en/news/public-consultation-directive-security-network-and-information-systems-nis-directive

6Bland de respondenter som besvarade enkäten fanns bl.a. leverantörer av samhällsviktiga tjänster, säkerhetsexperter och branschorganisationer.

Läs fler av våra blogginlägg

Fler inlägg