Nya cybersäkerhetslagen höjer kraven
Den 15 januari trädde den nya cybersäkerhetslagen och den tillhörande cybersäkerhetsförordningen i kraft. Regelverket innebär skärpta och tydligare krav på offentliga och enskilda verksamhetsutövare inom vissa samhällsviktiga sektorer och syftar till att stärka Sveriges samlade cybersäkerhet.
Syftet med cybersäkerhetslagen
Den nya lagen genomför EU:s NIS 2-direktiv (Network and Information Systems Directive 2) i svensk rätt. Syftet är att uppnå en hög grad av cybersäkerhet i samhället. Jämfört med NIS 1 ställs tydligare krav på verksamhetsutövare att bland annat göra riskanalyser och vidta olika säkerhetsåtgärder. Betydligt fler sektorer omfattas nu också.
Vilka verksamheter omfattas?
De som omfattas av cybersäkerhetslagen finns i 18 olika sektorer som exempelvis energi, bank och dricksvatten. Utpekade tillsynsmyndigheter bedriver tillsyn inom de olika sektorerna.
Vad behöver verksamhetsutövare göra?
Alla organisationer inom de utpekade sektorerna behöver själva undersöka om man omfattas av lagen, och i så fall anmäla sig till Myndigheten för civilt försvar. Om man omfattas så ska organisationen bedöma sina risker och införa säkerhetsåtgärder kopplat till riskerna. Syftet är att minska risken för att incidenter ska inträffa, men också att begränsa konsekvenserna om något ändå skulle hända. Det finns också krav på att utbilda, särskilt ledningen behöver ha nödvändig förståelse, för att kunna ta ansvar för säkerheten. Betydande incidenter ska rapporteras till Myndigheten för civilt försvar.
Läs mer
Hos Myndigheten för civilt försvar finns mer information om vad den nya cybersäkerhetslagen och cybersäkerhetsförordningen innebär samt vägledning om vad verksamheter behöver göra nu. https://www.mcf/nis2
Regeringens samlade arbete och satsningar inom cybersäkerhetsområdet beskrivs på https://www.regeringen.se/regeringens-politik/cybersakerhet/.