Secify.com

Vad är cybersäkerhetslagen?

19 december, 2024
Uppskattad lästid: 6 min

Det pratas mycket om NIS2 direktivet och de nya kraven på cybersäkerhet. Men det finns en detalj som är viktig att förstå. Ett EU-direktiv är inte en lagstiftning. För att kraven ska bli bindande för enskilda organisationer måste direktivet införlivas i medlemsländernas nationella lagstiftning. I Sverige kommer direktivet att implementeras genom den nya cybersäkerhetslagen, som förväntas träda i kraft under hösten 2025. 

Cybersäkerhetslagen – Sveriges sätt att implementera NIS2

När cybersäkerhetslagen träder i kraft kommer kraven i NIS2 att införlivas i svensk lagstiftning. Konsekvensen är att det kommer att ställas tydligare krav på hur svenska organisationer ska skydda sina nätverk, system och data. Målet är att minska risken för cyberattacker och se till att viktiga samhällsfunktioner fungerar och har ett adekvat skydd mot säkerhetshot. 

Syftet med cybersäkerhetslagen

Digitaliseringen har förändrat hur vi arbetar och kommunicerar. Det faktum att så mycket informationshantering och annat arbete sker digitalt medför många fördelar, men också säkerhetsrisker. Cyberattacker mot organisationer i kritiska sektorer såsom energi, sjukvård och livsmedelsförsörjning kan få enorma konsekvenser. 

NIS2 syftar till att höja den generella säkerhetsnivån inom EU. Cybersäkerhetslagen är Sveriges sätt att anpassa reglerna till de nationella förutsättningarna. 

Vad innebär det att NIS2 inte är bindande för enskilda organisationer? 

För att förstå hur lagstiftningsprocessen fungerar, kan vi utgå från följande regelpyramid: 

 

Pyramid över lagstiftning, förordningar och direktiv och hur de samspelar

Sammantaget är alltså NIS2 inte tillämpligt ”i sig”. NIS2 riktar sig till EU:s medlemsländer och sätter upp mål som dessa ska uppnå i sina nationella lagar, förordningar och föreskrifter. Detta innebär att NIS2 inte direkt träffar enskilda organisationer – till skillnad från vad cybersäkerhetslagen kommer att göra.  

Med det sagt har NIS2 redan idag en viss betydelse: 

  1. För det första har EU slagit fast att den nuvarande ”NIS-lagen”1 under övergångsperioden ska tolkas i ljuset av NIS2. Det betyder att verksamheter som träffas av den nuvarande ”NIS-lagen” behöver ha extra koll på NIS2, trots att direktivet ännu inte har implementerats i svensk lagstiftning.2 
  1. För det andra – även om en bra säkerhetsnivå absolut inte är kärnfysik, kan det ta tid att hitta en fungerande och effektiv systematik i säkerhetsarbetet. Det är därför klokt att i god tid undersöka hur verksamheten kommer att påverkas av cybersäkerhetslagen, vilka resurser som behöver avsättas och vilka åtgärder som behöver vidtas.  

Innebörden av cybersäkerhetslagen

När cybersäkerhetslagen träder i kraft ställs nya krav på svenska organisationer – även på sådana som inte omfattas av den nu gällande ”NIS-lagen”. Fem av de viktigaste sakerna att tänka på (börja gärna redan idag!) är att: 

  1. Identifiera om din verksamhet omfattas. Ifall svaret är ja, gör en anmälan till aktuell tillsynsmyndighet. Vilken myndighet som gäller varierar mellan olika sektorer. 
  2. Arbeta systematiskt med cybersäkerhet. Förstå vilka risker verksamheten står inför och hantera dem. Det finns många sätt att göra detta, men ett av många bra verktyg som kan användas är informationssäkerhetsstandarden ISO 27001. 
  3. Utbilda ledning och medarbetare. Se till att alla har nödvändig kunskap om cybersäkerhetsfrågor. 
  4. Ställ krav på verksamhetens leverantörer. Varje organisation bär ett ansvar för att dess leverantörer har ett adekvat säkerhetsskydd. 
  5. Rapportera cybersäkerhetsincidenter till berörd tillsynsmyndighet. Varna inom 24 timmar, anmäl inom 72 timmar och slutrapportera inom en månad. 
Datacenter, serverhall
Robotar i en fabrik
Vårdpersonal tar blodtryck på en person
Kraftverk

Vilka organisationer omfattas av cybersäkerhetslagen?

Än så länge är det inte helt klart exakt hur cybersäkerhetslagen kommer att vara utformad. I NIS2 pratas det dock om att följande tre krav ska vara uppfyllda för att en verksamhet ska omfattas: 

  1. Minst 10 miljoner euro i omsättning
  2. Minst 50 anställda
  3. Organisationen verkar inom följande 18 samhällskritiska sektorer (mycket förenklat, mer exakta kriterier kommer att anges i cybersäkerhetslagen och vägledning kan redan nu hämtas i NIS2):
  • Avfallshantering
  • Avloppsvatten
  • Bankverksamhet
  • Digitala leverantörer
  • Digital infrastruktur (t.ex. av molntjänster)
  • Dricksvatten
  • Energi
  • Finansmarknadsinfrastruktur
  • Forskning
  • Hälso- och sjukvård
  • IKT-tjänster och säkerhetstjänster mellan företag
  • Kemikalier
  • Livsmedelsförsörjning
  • Offentlig förvaltning
  • Post- och budtjänster
  • Rymden
  • Tillverkning (t.ex. av medicintekniska produkter)
  • Transporter

OBS 1! För Sveriges del är det ännu inte fastställt om alla kriterier måste vara uppfyllda för att en organisation ska omfattas, eller om det exempelvis räcker med 1+3 eller 2+3).  

OBS 2! Även mindre organisationer utanför de kritiska sektorerna kan påverkas indirekt av cybersäkerhetslagen, om de är leverantörer till organisationer som omfattas. 

Sammanfattning och avslutande ord

Cybersäkerhetslagen är ett viktigt steg för att öka cybersäkerhetsnivån hos svenska organisationer. När cybersäkerhetslagen träder i kraft måste organisationer leva upp till nya krav för att skydda sin information och minska risken för cyberattacker. 

Ett tips till dig som läser detta är att redan nu fundera på vad cybersäkerhetslagen kan innebära för din verksamhet, och hur du kan förbereda din organisation på ett bra sätt. Kom ihåg att även små steg är framsteg, och att ett bra säkerhetsarbete så gott som alltid lönar sig i det långa loppet. 

Har du frågor om hur din organisation kan komma att påverkas av cybersäkerhetslagen? Ställ dem till oss! Vi har gedigen erfarenhet och kan stötta er i att bedöma om ni omfattas av cybersäkerhetslagen och tillsammans skapa en hållbar säkerhetsstrategi. 

2024-12-19T22:21:28+01:00
Alva Jofred

Skrivet av: Alva Jofred

Alva är utbildad jurist och arbetar med dataskyddsfrågor. Hon åtar sig uppdrag som dataskyddskonsult och dataskyddsombud hos alla typer av organisationer, men har ett särskilt intresse för hälso- och sjukvårdssektorn.

Alva har flerårig erfarenhet av att arbeta hos vårdgivare, medtechbolag, apotek och andra verksamheter som träffas av den medicinrättsliga speciallagstiftning som kompletterar GDPR (t.ex. patientdatalagen, apoteksdatalagen och föreskrifter från Socialstyrelsen respektive Läkemedelsverket). Därigenom har hon förvärvat särskilda kunskaper om de säkerhetskrav och regler som gäller vid hantering av känsliga personuppgifter.

Alva Jofreds senaste inlägg

NYHETSBREV

Konsulttjänster

Säkerhetstester

Managerade tjänster

Intelligens

Secify

Secify logo vit

Secify erbjuder rådgivning och säkerhetslösningar inom cybersäkerhet, informationssäkerhet och dataskydd. Vi som arbetar här har lång erfarenhet och djupa kunskaper inom vårt område. Tillsammans kan vi leverera heltäckande lösningar för att skydda dina anställda och din verksamhet.

Jönköping (huvudkontor)
Östra Storgatan 28c, 553 21 Jönköping

Stockholm
Warfvinges väg 45, 112 51 Stockholm

Halmstad
Tre Hjärtans väg 2, 302 41 Halmstad

Växjö
Storgatan 82A, 352 27, Växjö

Cirklar secifyprofil dekoration
Cookiepolicy

Orgnr: 559078-8062 | 020-66 99 00 | Kontakta oss

Till toppen