Post- och telestyrelsen (PTS) har publicerat ett förtydligande om rättsläget vad gäller NIS2 mot bakgrund av att den kommande cybersäkerhetslagen är försenad och inte börjar gälla förrän under 2025, trots att NIS2-direktivet skulle ha implementerats i svensk lag den 18 oktober 2024. Kontentan är att vissa EU-regler på området kommer att gälla redan nu:
(följande är hämtat från https://pts.se/internet-och-telefoni/central-lagstiftning2/informationssakerhet-for-samhallsviktiga-och-digitala-tjanster-nis/nis2-eu-regler-for-cybersakerhet/vad-galler-innan-nis2-direktivet-har-genomforts-i-svensk-ratt/)
NIS2-direktivet påverkar tolkningen av nuvarande NIS-lag
Den 18 oktober 2024 skulle NIS2-direktivet vara genomfört i nationell lagstiftning. Enligt SOU 2024:18 (Nya regler om cybersäkerhet – Regeringen.se) finns ett förslag på en ny cybersäkerhetslag som ska genomföra NIS2-direktivet i svensk rätt och ersätta den nu gällande NIS-lagen. I Sverige, liksom i många andra EU-länder, pågår dock fortfarande lagstiftningsarbetet och cybersäkerhetslagen kommer inte träda i kraft förrän tidigast under 2025.
Den 18 oktober 2024 publicerade EU-kommissionen en så kallad genomförandeförordning, som specificerar NIS2-direktivets krav på riskhanteringsåtgärder och incidentrapporteringskrav för vissa verksamhetsutövare. Dessa regler börjar gälla den 7 november 2024.
Verksamhetsutövare bedöms påverkas i olika utsträckning
PTS bedömning kring vad som principiellt gäller under övergångsperioden (dvs. 18 oktober 2024 till och med det datum cybersäkerhetslagen träder ikraft) för de verksamhetsutövare som omfattas av NIS2-direktivet och förslaget till cybersäkerhetslag är följande.
Verksamhetsutövare som omfattas av NIS-lagen
Verksamhetsutövare som omfattas av skyldigheter enligt NIS-lagen måste även i fortsättningen uppfylla motsvarande skyldigheter i NIS2-direktivet och NIS2-genomförandeförordningen. Under övergångsperioden gäller att nuvarande bestämmelser i NIS-lagen måste beaktas och tolkas i ljuset av den nya EU-lagstiftningen (NIS2-direktivet).
Det finns mer detaljerade regler kring riskhanteringsåtgärder och incidentrapportering i artikel 21 i NIS2-direktivet och i ovannämnda genomförandeförordning. Till stor del är grunderna desamma: verksamhetsutövare ska vidta åtgärder för att hantera riskerna i de tjänster som tillhandahålls, och rapportera incidenter. Det finns dock tydligare detaljer i nämnda bestämmelser om exakt vad detta innebär, varför verksamhetsutövare bör fortsätta arbetet med övergången till de nya reglerna.
Verksamhetsutövare som omfattas av NIS-lagen och genomförandeförordningen
Fem typer av verksamhetsutövare träffas av och behöver beakta genomförandeförordningen redan den 7 november 2024. Detta eftersom den nuvarande nationella lagstiftningen kommer att tolkas i ljuset av ny EU-reglering. Dessa är leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av marknadsplatser online och leverantörer av sökmotorer, vilka sedan tidigare är reglerade enligt den svenska NIS-lagen.
MSB ansvarar för att motta incidenter enligt nuvarande reglering och kan svara på frågor kring uppdaterade regler om incidentrapportering med anledning av genomförandeförordningen (NIS2-CER@msb.se).
Verksamhetsutövare som inte omfattas av NIS-lagen men av NIS2-direktivet
Datacentraltjänster, nätverk för leverans av innehåll, plattformar för sociala nätverkstjänster, förvaltning av IKT-tjänster, rymden och post och budtjänster som inte omfattas av skyldigheter enligt NIS-lagen omfattas inte heller av skyldigheter enligt NIS2-direktivet innan Sverige genomfört NIS2-direktivet (dvs. när cybersäkerhetslagen träder i kraft). Dessa verksamhetsutövare bör emellertid fortsätta arbetet med att förbereda sin verksamhet inför ikraftträdandet av cybersäkerhetslagen.