Förslag till nytt NIS-direktiv (NIS 2.0)

2022-05-05

Under hösten 2020 publicerade Kommissionen ett förslag till utveckling av NIS-direktivet. Rådet har behandlat frågan sedan i maj 2021 och nu ligger saken hos Parlamentet.

Om Parlamentet inte väljer att ändra på något är ett beslut nära förestående. Hur lång tid medlemsstaterna har på sig att genomföra direktivet är under diskussion. Det kan röra sig om 18 eller 24 månader. På grund av dagens säkerhetspolitiska läge finns det en vilja att snabba på processen. Nya förändringar kan fortfarande dyka upp och Transportstyrelsen fortsätter att följa utvecklingen.   

Man föreslår mer central styrning och mer detaljerad tillsyn. Förslaget utgår fortsatt från marknadsperspektivet och man siktar mot en större harmonisering av regleringen. Några viktiga punkter i förslaget är

  • Att även mindre (men inte små) aktörer ska omfattas av direktivet – men samtidigt att de mindre aktörerna ska få en mindre börda.
  • Systemiska risker är tydligare beskrivna, vid sidan av risker för störningar i leverans av den egna tjänsten – det vill säga tydligare krav på att vissa aktörer måste vidta åtgärder när det finns risk för störningar i andra tjänster eller kaskadeffekter.
  • Nya kategorier av aktörer istället för OES (Operator of Essential Services – leverantör av samhällsviktig tjänst på svenska) - EE och IE – Essential Entity och Important Entity. EE behåller i stort samma status som OES, medan IE föreslås bli en instegs-kategori.
  • Högre krav på informationsutbyte om aktörerna och incidenter, till kommissionen.
  • Tydligare krav på kartläggning av ICT-produkter (ICT – Informations- och Kommunikationsteknik) och de tjänster som behövs för leveransen av den samhällsviktiga tjänsten.
  • Explicita krav på utbildning och övning för ledningen hos aktörerna.
  • Högre sanktionsavgift – "administrative fines of a maximum of at least 10 000 000 EUR or up to 2% of the total worldwide annual turnover of the undertaking to which the essential or important entity belongs in the preceding financial year, whichever is higher”.
  • Mer harmonisering med direktivet för kritiska entiteter resiliens – CER.

Läs mer om NIS 2:

It-säkerhet – översyn av EU-reglerna för säkerhet i nätverks- och informationssystem (europa.eu)