Den 5 mars publicerades utredningen Nya regler om cybersäkerhet. Uppdraget har gått ut på att föreslå nödvändiga anpassningar av svensk rätt för att NIS2-direktivet ska kunna genomföras. Det har resulterat i ett nytt lagförslag, cybersäkerhetslagen. Lagen föreslås gälla för stor mängd privata och offentliga verksamhetsutövare och bestämmelserna föreslås träda i kraft den 1 januari 2025.
– Även om den svenska lagen börjar gälla först i januari 2025 är det hög tid för alla aktörer att börja anpassa sig efter de nya reglerna redan nu. NIS2 kommer kräva mycket av varje verksamhet. Dessutom kommer lagstiftningen träffa ett flertal aktörer som inte tidigare haft liknande krav på sig. Det kan bli en stor utmaning, säger Louise Sundström, advokat på Advokatfirman Delphi.
Samhället blir allt mer beroende av nätverks- och informationssystem genom att allt fler områden digitaliseras och det nya förslaget gör att betydligt fler verksamhetsutövare omfattas nu jämfört med den tidigare NIS-regleringen.
– I det allvarliga säkerhetspolitiska läget är arbetet med att stärka informations- och cybersäkerheten ett prioriterat område för regeringen. Med NIS2 omfattas fler sektorer av lagstiftningen jämfört med nuvarande NIS, vilket i förlängningen kommer stärka Sveriges motståndskraft, säger minister för civilt försvar Carl-Oskar Bohlin i ett pressmeddelande.
Sanktionsavgifter för överträdelser kommer höjas väsentligt. Den lägsta nivån ligger kvar på 5 000 kronor medan högstanivåerna kan komma att uppgå till två procent av den totala globala årsomsättningen för föregående räkenskapsår, eller 10 000 000 euro för vissa grupper.
Detta är några av förslagen i delbetänkandet Nya regler om cybersäkerhet (SOU 2024:18):
- Krav på anmälningsskyldighet, riskhanteringsåtgärder och incidentrapportering för de verksamhetsutövare som omfattas av regleringen.
- Vilka myndigheter som ska utöva tillsyn enligt den nya regleringen och vilka funktioner som ska finnas hos Myndigheten för samhällsskydd och beredskap.
- Utökade möjligheter för en tillsynsmyndighet att besluta om sanktioner och höjda sanktionsavgifter om en verksamhetsutövare bryter mot regleringen.