Genomförandet i svensk rätt av NIS2 – vad händer efter ett beslut i EU?

Cybersecurity NIS
FREDRIK BLIX & TOMMY WAHLMAN
06.09.2022

Syftet med denna text är att mana till förberedelser så att alla intressenter kan vara med och aktivt påverka den svenska utformningen av NIS2. För även om formen för genomförandet i svensk reglering ännu inte är given så kan vi med säkerhet säga att kvalitén på den kommande regleringen är beroende av att den samlade kompetensen inom hela samhället får möjlighet att påverka….

Under oktober 2022 väntas Rådet och Parlamentet godkänna förslaget till NIS2. Det är dock viktigt att komma ihåg att det bara är ett förslag, så det är inte helt givet. Eftersom NIS är ett direktiv så gäller den inte direkt i Sverige utan måste genomföras i svensk reglering.

Genomförandetiden för NIS2 är nu 21 månader i förslaget, så om beslutet tas i oktober 2022 ska direktivet vara genomfört i svensk reglering före juli 2024. Med hänsyn till sommaruppehållet för Riksdagen så är väl en rimlig bedömning att den nya lagen ska beslutas senast i juni 2024.

Förändringar i lagen (2018:1174) om informationssäkerhet ska föregås av en proposition. Som jämförelse så var propositionen för NIS klar i slutet av mars 2018 och då kunde lagen beslutas i mitten av juni samma år. Propositionen från 2018 är även intressant eftersom den förklarar hur regeringen behandlat remissvaren på den offentliga utredarens förslag till genomförande – den ger en inblick i hur lagstiftaren vill att regleringen ska tillämpas samt intentionen bakom texten i lag och förordning.

Men innan regeringen lämnar ett nytt lagförslag till riksdagen behöver den undersöka olika alternativ ordentligt – regeringen behöver hjälp i beredningsarbetet av direktivet.

Regeringen tillsätter då vanligen en utredning, särskilt om det är en ny reglering eller större förändringar. Utredningen kan bestå av en eller flera personer. Det kan vara experter, representanter från näringslivet, tjänstemän och politiker. Utredningen lämnar förslag i ett betänkande till regeringen. Frågan blir nu om revideringen av NIS kan anses så omfattande att det krävs en ny utredning.

  • För en ny utredning talar att det är omfattande förändringar i direktivet och att det är reglering som påverkar omkringliggande lagstiftning och flera centrala myndigheters ansvar.

  • Mot en utredning talar det faktum att det formellt bara är en uppdatering av ett redan genomfört direktiv.

Fördelen med en utredning är att förutsättningarna för regleringen blir bättre utrett och att komplexa frågeställningar förhoppningsvis blir analyserade och överväganden transparanta. Vidare att samhällets samlade kompetens på området bättre kan användas i stället för bara byråkratiska, politiska och juridiska överväganden. Det ska bli enklare för sakkunniga och intressenter att komma till tals.

Förutom en uppdatering av lag och förordning så kommer rimligen alla föreskrifterna av MSB och tillsynsmyndigheterna också att behöva uppdateras och träda i kraft samtidigt som den nya lagen börjar gälla.

Nytt med NIS2 är att Kommissionen kommer få ett större ansvar för instruktioner, definitioner, vägledningar och genomförandeakter som kommer att arbetas fram, och beslutas löpande, från och med att direktivet beslutas och fram till att medlemsländerna har genomfört regleringen.

De svenska tillsynsmyndigheterna kommer rimligen också att behöva utpekas som behöriga myndigheter. Den möjligheten fanns med redan i NIS men i det svenska genomförandet så valde vi en svensk tolkning, samtidigt som Kommissionens syfte med utpekandet inte var helt klart. Att inte ha utpekade behöriga myndigheter har varit ett hinder för genomförandet och utvecklingen i Sverige, men också i arbetet med NIS på unionsnivån. Så arbetet med att analysera vad som ryms i rollen som behörig myndighet, utveckla instruktioner till myndigheterna, och sedan för föreslagna behöriga myndigheter att själva börja förbereda för den nya rollen är också ett arbete som kommer att behöva ske innan 2024 i samverkan med respektive sektor. Därtill kommer uppgiften att analysera om det behövs fler behöriga myndigheter än dagens tillsynsmyndigheter för att kunna hantera den markanta ökningen i antal sektorer och aktörer som träffas av förslaget.

Det är tydligt att MSB fortsatt kommer att behöva ha en samverkande roll för att de behöriga myndigheterna ska kunna utveckla en likvärdig och rättssäker tillsyn.

Det kan tyckas att det är lång tid kvar tills ett nytt direktiv för NIS ska börja gälla i Sverige 2024, men om vi ska klara av att få till en bra reglering som är anpassad för svenska förhållanden så är det viktigt med samverkan i utredningsarbetet fram till en uppdaterad reglering.

Informationssäkerhetens komplexitet, gränsöverskridande karaktär och snabba utvecklingstakt kräver en effektiv samverkan, och de nätverk vi nu kan bygga upp för att genomföra direktivet kan rimligen utgöra grunden för fortsatt samverkan.

En god samverkan kring informationssäkerhet i samhället är viktigt under ett normaltillstånd, men också en nödvändighet för att man ska kunna skapa en god operativ förmåga att hantera allvarliga störningar.

De forum som byggs upp som en del av det förebyggande arbetet, exempelvis under regelutveckling, skulle kunna lägga grunden för den samverkan som behövs vid allvarliga händelser.

Att utveckla NIS är en god möjlighet till samverkan, och en fråga för hela samhället.

 



Läs våra andra blogginlägg om NIS2:
Krav på incidentrapportering enligt NIS2
Vad innebär NIS2 för vårt cybersäkerhetsarbete?