Logga in

Glömt ditt lösenord?

NIS 2-direktivet – vem omfattas av direktivet och vad behöver göras?

dataskydd-vem-omfattas-av-NIS-2-direktivet-och-vad-behover-goras.jpg

Det moderna samhället har gjort oss beroende av nätverks- och informationssystem med ökad sårbarhet för cyberhot som följd. I syfte att minska cybersäkerhetsriskerna för dessa system innehåller NIS 2-direktivet ökade krav på riskhanteringsåtgärder, vilket innebär nya skyldigheter för de som omfattas av direktivets tillämpningsområde.

I den första delen av denna artikelserie om NIS 2-direktivet gavs en redogörelse för bakgrunden till NIS 2-direktivet, dess förhållande till säkerhetsskyddslagen och Sveriges framtida implementering. I denna uppföljande artikel analyserar Staffan Malmgren, Johanna Palm och Viktor Robertson från Advokatfirman Kahn Pedersen vem som omfattas av NIS 2-direktivet och vilka åtgärder som behöver vidtas för att uppfylla de nya kraven på riskhanteringsåtgärder i NIS 2-direktivet.

ÖKADE KRAV PÅ CYBERSÄKERHETSÅTGÄRDER I NIS 2-DIREKTIVET OCH DESS TILLÄMPNINGSOMRÅDE

I dagens digitala samhälle har nätverks- och informationssystem (NIS) blivit ett alltmer centralt inslag i företags och myndigheters verksamheter, vilket i sin tur har lett till en ökad cyberhotbild. Incidenter blir idag allt vanligare, mer sofistikerade och får en större påverkan på samhället samt utgör ett allvarligt hot för sådana verksamheter. För att kunna möta dessa ökade hot behöver samhällets aktörer uppnå en hög cybersäkerhet. Syftet med direktiv (EU) 2022/2555 (”NIS 2-direktivet”) är att säkerställa att arbetet för att uppnå detta mål blir utfört och att ställa krav på de aktörer (”entiteter”) som omfattas av direktivets tillämpningsområde.

NIS 2-direktivet är en del av flera olika nya initiativ från EU, däribland en ny cybersäkerhetsstrategi från 2020 (JOIN [2020] 18 final) och en nyligen beslutad säkerhetsunion (COM/2020/605 final). I och med dessa finns ett tydligare ramverk för cybersäkerhet inom unionen.

IDENTIFIERING AV VIKTIGA OCH VÄSENTLIGA ENTITETER

Det föregående direktivet (EU) 2016/1148 (”NIS 1-direktivet”) omfattade framför allt leverantörer av så kallade samhällsviktiga tjänster. Det omfattade även leverantörer av vissa digitala tjänster, men med färre krav. Även om NIS 1-direktivet pekade ut ett antal sektorer för vilket direktivet var tillämpligt så innehöll det ett relativt stort utrymme för medlemsstaterna att avgöra vilka verksamheter som var samhällsviktiga och på den grunden omfattades av NIS 1-direktivet.

I Sverige har detta gjorts genom föreskrifter från Myndigheten för samhällsskydd och beredskap (MSB). I föreskrifterna används i stor utsträckning nationellt satta kvantitativa mått på exempelvis ”framförda tågkilometer” för att avgöra om det är fråga om en samhällsviktig tjänst eller inte. Se exempelvis MSBFS 2021:9.

I stället för att fokusera på frågan om vad som är en samhällsviktig tjänst så utgår NIS 2-direktivet från två primära aspekter för att avgöra om en verksamhet omfattas eller inte; dess storlek och om den ingår i någon av de sektorer som är listade i direktivets bilagor.

Som huvudregel gäller att direktivet är tillämpligt på medelstora eller större företag. Utöver denna huvudregel finns även särskilt föreskrivet att direktivet är tillämpligt på vissa andra entiteter, exempelvis statliga eller vissa regionala myndigheter (”offentliga förvaltningsentiteter”).

Ett ytterligare kriterium för att direktivet ska vara tillämpligt är att entitetens verksamhet faller inom en eller flera av de sektorer som är angivna i direktivets bilaga I (högkritiska sektorer) eller II (andra kritiska sektorer). Inom ramen för varje sektor finns legaldefinitioner av vilka entiteter som omfattas. Dessa legaldefinitioner är hämtade från annan EU-lagstiftning. För att veta om en verksamhet omfattas av NIS 2-direktivet finns med andra ord ett behov av att gå in i den lagstiftning som direktivet i sin tur hänvisar till.

Till de högkritiska sektorerna räknas energi, transport, bank, finansmarknadsinfrastruktur, dricksvatten, avloppsvatten, viss digital infrastruktur, viss offentlig förvaltning samt rymden.

Till de andra kritiska sektorerna räknas post- och budtjänster, avfallshantering, tillverkning, kemikalier, livsmedel, viss tillverkningsverksamhet, vissa digitala leverantörer samt forskning.

Som huvudregel räknas entiteter inom högkritiska sektorer som väsentliga entiteter medan verksamhet inom andra kritiska sektorer kan utgöra antingen väsentliga eller viktiga entiteter. Tillämpningen av direktivet är delvis olika beroende på om en entitet är viktig eller väsentlig, något som vi återkommer i en framtida artikel i denna serie.

RISKHANTERINGSÅTGÄRDER FÖR CYBERSÄKERHET

Om man kan identifiera sig som en entitet inom NIS 2-direktivets tillämpningsområde är nästa steg att ta reda på vilka åtgärder man behöver vidta utifrån de uttryckliga krav som ställs i NIS 2-direktivet.

Åtgärderna ska vara lämpliga och proportionella, varvid särskild hänsyn ska tas till entitetens beroende av nätverks- och informationssystem, riskexponering samt samhälleliga och ekonomiska konsekvenser av en incident.

För en verksamhet med ett högt it-beroende, som har en förhöjd hotbild mot sig och som är kritisk ur ett samhälleligt perspektiv kommer alltså krävas längre gående åtgärder än en verksamhet som exempelvis kan klara sig utan centrala it-system under begränsade perioder, och som har en begränsad betydelse för sina användare.

Artikel 21.2 i NIS 2-direktivet listar tio specifika riskhanteringsåtgärder som minst ska vidtas. Dessa är

  • Policyer (”strategier”) för riskanalys och informationssystemsäkerhet
  • Incidenthantering
  • Kontinuitetsplanering (”driftskontinuitet”)
  • Säkerhet i leveranskedjan (framför allt vad gäller leverantörer i första led)
  • Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inbegripen hantering av sårbarheter samt sårbarhetsinformation
  • Policyer och metoder för att utvärdera effekten av vidtagna riskhanteringsåtgärder
  • Grundläggande cyberhygien och utbildning
  • Policy och processer för användning av kryptering
  • Personalsäkerhet, åtkomstkontrollspolicyer och resursförvaltning (”asset management”)
  • Användning av flerfaktors- och kontinuerlig autentisering samt säkrad kommunikation och nödkommunikation

Det är inte helt självklart hur åtgärderna förhåller sig till varandra och exakt hur långt kraven sträcker sig. Särskilt de avslutande punkterna framstår enligt vår bedömning som spretiga vilket ytterligare försvårar tillämpningen av dem.

Många av åtgärderna kräver dessutom att entiteten gör en egen bedömning av hur de ska balansera åtgärdernas kostnad mot den förväntade säkerhetshöjningen. För de flesta åtgärderna finns inte heller några förklarande resonemang i direktivets skäl som kan skapa förståelse kring vilka faktiska krav som åtgärderna innebär för verksamheten.

VÄGLEDNING TILL HUR ÅTGÄRDERNA SKA GENOMFÖRAS

Enligt vår bedömning behövs mer omfattande vägledning för en bättre förståelse för kraven avseende respektive riskhanteringsåtgärd. Viss vägledning kommer att komma på plats innan direktivets bestämmelser ska börja tillämpas.

Bland annat ålägger direktivet EU-kommissionen att anta genomförandeakter för att fastställa tekniska och metodologiska specifikationer för åtgärderna vad gäller entiteter inom viss digital infrastruktur och digitala tjänster. Direktivet ger även kommissionen befogenhet att anta motsvarande genomförandeakter för andra entiteter.

Kommissionen och medlemsstaterna kan även ange att entiteterna ska använda särskilda produkter, tjänster och processer för att visa att kraven enligt artikel 21 i NIS 2-direktivet är uppfyllda. Dessa måste vara certifierade enligt någon europeisk ordning för cybersäkerhetscertifiering som har blivit antagen i enlighet med förordning (EU) 2019/881 (”Cybersäkerhetsakten”). Denna förordning syftar till att införa en unionsgemensam ordning för cybersäkerhetscertifieringar. Det är dock fortfarande oklart hur snart sådana certifieringar kommer att vara tillgängliga och vilket tillämpningsområde de kommer att ha.

Medlemsstaterna ska även uppmuntra användningen av europeiska och internationella standarder och tekniska specifikationer av relevans för säkerheten i nätverks- och informationssystem vad gäller tillämpningen av kraven i artikel 21 i NIS 2-direktivet. Internationella standardorganisationens (ISO) 27000-familj av standarder skulle kunna vara en sådan standard. En ISO 27001-certifiering är därmed en värdefull förberedande åtgärd, även om den inte per automatik innebär att man uppfyller NIS 2-direktivets samtliga krav.

I väntan på vägledning på EU-nivå kan viss inspiration även hämtas från nationell vägledning och de föreskrifter som MSB tagit fram inom ramen för den befintliga lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS-lagen).

Av särskilt intresse är MSBFS 2018:8 om informationssäkerhet för leverantörer av samhällsviktiga tjänster. Även MSBFS 2020:7 om säkerhetsåtgärder i informationssystem för statliga myndigheter och Vägledning: Säkerhetsåtgärder i informationssystem (MSB2032) innehåller relevant information.

I dessa finns nämligen både krav och vägledning kring exempelvis hur en verksamhet kan arbeta med processer och policyer kring kryptering samt vad som bör beaktas inom ramen för utkontraktering.

SÄRSKILT OM SÄKERHET I LEVERANSKEDJAN

Hantering av risker som härrör från en entitets leveranskedja och dess förhållande till sina leverantörer anges som en särskild risk i NIS 2-direktivet. Detta mot bakgrund av de it-incidenter som drabbat verksamheter där angripare utnyttjat sårbarheter i tredjepartsprodukter och -tjänster. Ett exempel är den it-attack som under 2021 drabbade Coop genom ett angrepp på tredjepartsprogramvaran Kaseya som en av Coops underleverantörer använde.

För entiteter gäller därför att identifiera och bedöma sina leveranskedjor och avgöra hur kritiska de är för verksamheten. Därefter ska det ske en bedömning av leveranskedjan utifrån hur riskfylld den är.

Av skäl 85 till NIS 2-direktivet framgår att väsentliga och viktiga entiteter bör bedöma och beakta dels den övergripande kvaliteten och resiliensen hos produkter och tjänster och de riskhanteringsåtgärder för cybersäkerhet som är inbyggda i dem, dels cybersäkerhetspraxis hos sina leverantörer och tjänsteleverantörer, inbegripet deras förfaranden för säker utveckling. Vidare framgår att dessa entiteter framför allt bör uppmuntras att införliva riskhanteringsåtgärder för cybersäkerhet i avtal med sina direkta leverantörer och tjänsteleverantörer.

NIS 2-direktivet lämnar utrymme för att på EU-nivå definiera och utföra samordnade säkerhetsriskbedömningar av vissa kritiska leveranskedjor. Ett vägledande exempel på en sådan bedömning har tidigare gjorts efter kommissionens rekommendation (EU) 2019/534 om it-säkerhet i 5G-nät. Vid sådana samordnade bedömningar ska entiteter särskilt beakta resultatet av dessa i bedömningarna av de egna underleverantörskedjorna.

Vissa krav på säkerhetsåtgärder för underleverantörer finns även i den nuvarande NIS-regleringen. Av 2 § MSBFS 2018:8 framgår att systematiskt och riskbaserat informationssäkerhetsarbete också ska omfatta den hantering av nätverk och informationssystem som en entitet utkontrakterar till en extern aktör.

Av de allmänna råden till bestämmelsen framgår att parterna på avtalsrättslig väg bör tydliggöra hur uppföljning av överenskomna cybersäkerhetsåtgärder ska ske, hur entiteten ska bedriva det systematiska och riskbaserade informationssäkerhetsarbetet, hur incidenter, avvikelser och sårbarheter (samt misstanke om sådana) ska rapporteras samt krav på informationssäkerhetskunskap och –kompetens.

NIS 2-direktivet innehåller i jämförelse betydligt mer detaljerade och bindande krav. Ett inledande steg för den som omfattas av NIS 2-direktivet är att kartlägga sina leverantörer och vilka krav som ställs på dessa i dagsläget. Om det saknas reglerade krav behöver entiteten säkerställa att sådana införs. För relationer där befintliga avtal redan finns behöver entiteten analysera huruvida kraven uppfylls genom avtalet och annars påbörja justering av avtalet. Eftersom tillkommande krav ofta är kostnadsdrivande bör detta vanligtvis kräva omförhandling med aktuell leverantör.

AVSLUTANDE KOMMENTAR

NIS 2-direktivet innebär mer detaljerade krav på säkerhetsåtgärder jämfört med den tidigare NIS-regleringen. Det återstår att se i vilken utsträckning den svenska lagstiftaren väljer att precisera och förtydliga dessa krav i den nationella lagstiftningen. Vi kan dock redan nu konstatera att verksamheter som faller inom direktivets tillämpningsområde kommer vara tvungna att vidta en lång rad åtgärder, och att dessa åtgärder kan komma att ta tid.

En viktig aspekt som framhävs i NIS 2-direktivet är säkerhet i entiteters leveranskedjor. Krav på säkerhetsåtgärder ställs med andra ord inte bara på entitetens egen verksamhet, utan även på dess underleverantörer. För att kunna säkerställa en god cybersäkerhetsnivå i leveranskedjor är en förutsättning att entiteten har god kunskap om hur dessa ser ut och vilka beroenden som finns inom respektive leverantörskedja.

För aktörer som omfattas av NIS 2-direktivets tillämpningsområde bör följande inledande åtgärder vidtas:

  • Se över befintligt informationssäkerhetsarbete och jämför med de nya ställda kraven på riskhanteringsåtgärder.
    • För entiteter som sedan tidigare omfattas av NIS 1-direktivet lär mycket arbete redan finnas på plats. Även entiteter som idag arbetar strukturerat och riskbaserat i enlighet med exempelvis ISO 27001-standarden kommer ha nytta av det arbete som de har lagt ner på detta.
    • För entiteter inom NIS 2-direktivets utökade tillämpningsområde väntar troligtvis ett mer digert arbete.
  • Bedöm särskilt hur befintliga avtalsrelationer svarar mot kraven på säkerhet i leveranskedjan.
  • Var uppmärksam på eventuella kommande samordnade säkerhetsriskbedömningar av kritiska leveranskedjor. 

Cybersäkerhetsåtgärder och regleringar i leveranskedjor är två exempel på krav som ställs i NIS 2-direktivet. I den kommande delen av denna artikelserie kan ni läsa om ytterligare nya krav som följer av direktivet, nämligen de olika rapporteringsskyldigheterna och vad dessa innebär.

Av Staffan Malmgren, Johanna Palm och Viktor Robertson från Advokatfirman Kahn Pedersen. Ursprungligen publicerad i JP ITnet. I denna tjänst kan du även ta del av den första delen i analysserien. Skaffa ett kostnadsfritt testkonto här >

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 20 apr 2023

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

Nyheter

Antalet försök till cyberangrepp ökade kraftigt mot statliga myndigheter och leverantörer av samhällsviktiga tjänster under 2023. Det framgår av MSB:s årsredovisning av it-incidentrapporter. 

8 apr 2024

Vår expert Monika Wendleby går i den här analysen igenom avgörandet utifrån olika EU-rättskällor.

8 apr 2024

I denna analys reder vår expert Jakob Söderbaum ut begreppen, beskriver behovet och förutsättningarna för att jobba med spårbarhet med utgångspunkt i GDPR, och framhåller värdet av spårbarhet i den digitala miljön ur dataskyddssynvinkel.

12 mar 2024