När NIS-direktivet implementerades i svensk rätt 2018 talade vi om en ny era för cybersäkerhet. Men det blev kanske aldrig det systemskifte som många hoppats på. Det gamla regelverket var mer tekniskt, smalare och i praktiken begränsat till driftavbrott i samhällsviktiga IT-system.
Nu, med de nya föreslagna föreskrifterna som följer av NIS2 och träder i kraft 2025/2026, står vi inför något helt annat: en reglering som i grunden förändrar ansvar, omfattning och förväntningar.
Från IT-störning till verksamhetsrisk
Den mest påtagliga förändringen ligger i omfattningen. Tidigare var det enbart säkerheten i de IT-system som stödde den samhällsviktiga tjänsten som omfattades. Nu gäller reglerna för hela verksamheten. Det betyder att cybersäkerhet inte längre är en IT-fråga – det är en ledningsfråga, en verksamhetsfråga och i förlängningen en samhällsfråga. Detta är speciellt tydligt med tanke på kravet på utbildning av ledningen och ledningens ansvar.
Antalet berörda aktörer i Sverige ökar från cirka 600 till närmare 1900, och inkluderar allt från kommuner till tillverkningsindustri och forskningssektor. Fler omfattas, men framför allt: ansvaret har breddats.
Informationsskyldighet – den stora nyheten
Den verkligt avgörande skillnaden är dock den nya informationsskyldigheten gentemot mottagare av tjänster.
Tidigare var incidentrapporteringen en dialog mellan verksamhetsutövaren och myndigheten. Nu tvingas aktören även vända sig utåt – till sina kunder, medborgare och samarbetspartners.
Det handlar inte längre om att bara rapportera till MSB. Det handlar om att informera dem som påverkas: Vad har hänt? Vad betyder det för dig? Vad behöver du göra för att skydda dig?
Betydande incident – ett skarpare begrepp
Definitionen av vad som utgör en betydande incident är också mer omfattande.
Tidigare räckte det med att en driftstörning påverkade tjänstens kontinuitet. I det nya regelverket räknas även ekonomiska konsekvenser, påverkan på andra aktörer, upprepade händelser och till och med betydande sårbarheter som kan leda till allvarliga incidenter.
Det betyder att riskhantering och incidentrapportering smälter samman. Förebyggande arbete blir en del av rapporteringsplikten. Man kan notera att verksamhetsutövare måste nu kunna identifiera, värdera och rapportera även händelser som ännu inte inträffat – men som kan få betydande konsekvenser. Det ska bli intressant att följa hur det kommer att realiseras i verkligheten.
Från snabbhet till proportionalitet
Rapporteringskraven har också förändrats – men på ett klokt sätt.
Tidigare skulle den första notifieringen in senast inom sex timmar. Det lät snabbt, men i praktiken innebar det ofta att rapporteringen konkurrerade med själva krishanteringen.
Nu krävs initial rapportering inom 24 timmar, följd av en mer komplett anmälan inom 72 timmar. Det är en förändring från tidspress till proportionalitet – fokus ska ligga på att hantera incidenten först, och rapportera sedan.
Slutsats: Från NIS till NIS2 – från rapportering till ansvar
Skillnaden mellan NIS och NIS2 är inte bara fler regler. Det är ett nytt sätt att tänka cybersäkerhet.
Informationsskyldigheten gentemot mottagare, de skärpta incidentdefinitionerna och det utökade tillämpningsområdet tvingar fram en ny mognad i hela ekosystemet.
Man kan konstatera att:
- Rapportering får stå tillbaka något för att hanteringen av själva incidenten ska kunna prioriteras.
- Ökad transparens innebär samtidigt en risk att skyddsvärd information sprids till obehöriga – hur avser lagstiftarna att säkerställa att informationsdelning inte i sig skapar nya sårbarheter?
- De nya föreslagna föreskrifterna är ett steg i rätt riktning. De tydliggör ansvarsfördelningen, breddar definitionen av incidentbegreppet och stärker både informationsdelning och tillsyn.
- Ambitionen att uppnå stabilitet och minskad risk, ekonomisk effektivitet och en höjning av företagens konkurrenskraft genom stärkt cybersäkerhet är absolut möjlig med stöd av föreslagna föreskrifter – förutsatt att implementeringen åtföljs av ett aktivt ledningsansvar och ett långsiktigt arbete med cybersäkerheten.