Direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet) – Vanliga frågor

NIS-direktivet – EU:s första cybersäkerhetslagstiftning – är det första övergripande instrumentet för den inre marknaden som syftar till att förbättra nätverks- och informationssystemens motståndskraft i unionen mot cybersäkerhetsrisker. Trots dess anmärkningsvärda resultat har NIS-direktivet visat vissa begränsningar. Den digitala omvandlingen av samhället, som intensifierades av covid-19-krisen, har utvidgat hotbilden. Nya utmaningar har dykt upp som kräver anpassade och innovativa lösningar.

För att kunna analysera effekterna och identifiera bristerna i NIS-direktivet genomförde kommissionen ett omfattande samråd med berörda parter. Kommissionen identifierade följande huvudfrågor:

• otillräcklig cyberresiliens hos företag som är verksamma i EU
• inkonsekvent resiliens mellan medlemsstater och sektorer
• otillräcklig gemensam förståelse av de viktigaste hoten och utmaningarna bland medlemsstaterna
• brist på gemensamma krishanteringsinsatser.

Som ett resultat, och för att bemöta de växande hoten på grund av digitalisering och sammankoppling, föreslog kommissionen i december 2020 en reviderad uppsättning framtidssäkrade regler som syftar till att stärka nivån på cyberresiliens i unionen, om vilken medlagstiftarna nådde en politisk överenskommelse den 13 maj 2022 och formellt antog det nya direktivet i slutet av november 2022.

Sedan covid-19-krisen har den europeiska ekonomin blivit mer beroende av digitala lösningar än någonsin tidigare. Sektorer och tjänster blir alltmer sammankopplade och beroende av varandra. Detta har resulterat i ett växande och snabbt föränderligt hot mot cybersäkerheten: eventuella störningar, även om de ursprungligen var begränsade till en enhet eller en sektor, kan ha kaskadeffekter mer allmänt, vilket kan leda till långtgående och långvariga negativa effekter på tillhandahållandet av tjänster på hela den inre marknaden.

Covid-19-pandemin har visat hur sårbara våra alltmer ömsesidigt beroende samhällen är inför oväntade risker. Det intensifierade de redan framväxande frågorna i det nuvarande direktivet om nät- och informationssäkerhet och fungerade som en katalysator för dess översyn. En konkret ändring av NIS-direktivet mot bakgrund av denna kris var att utvidga det nya direktivets tillämpningsområde till att omfatta mer specifika delar inom hälso- och sjukvårdssektorn, t.ex. enheter som bedriver forskning och utveckling av läkemedel.

NIS2-direktivet innehåller rättsliga åtgärder för att öka den övergripande cybersäkerhetsnivån i EU, i syfte att bidra till den inre marknadens övergripande funktion. Den bygger på de tre huvudpelare som låg till grund för NIS1-direktivet:

1. Med utgångspunkt i NIS1-strategin för säkerhet i nätverks- och informationssystem, för att uppnå en hög beredskapsnivå i medlemsstaterna, krävs det i NIS2-direktivet att medlemsstaterna antar en nationell strategi för cybersäkerhet. Medlemsstaterna är också skyldiga att utse nationella incidenthanteringsenheter (CSIRT-enheter), som ansvarar för risk- och incidenthantering, en behörig nationell cybersäkerhetsmyndighet och en gemensam kontaktpunkt. Den gemensamma kontaktpunkten måste ha en sambandsfunktion för att säkerställa gränsöverskridande samarbete mellan medlemsstaternas myndigheter med relevanta myndigheter i andra medlemsstater och, i förekommande fall med kommissionen och Enisa, samt för att säkerställa sektorsövergripande samarbete med andra behöriga myndigheter i sin medlemsstat.
2. Genom NIS2-direktivet fortsätter även NIS1-ramen som inrättar samarbetsgruppen för nät- och informationssäkerhet för att stödja och underlätta strategiskt samarbete och informationsutbyte mellan medlemsstaterna och CSIRT-nätverket, som främjar ett snabbt och effektivt operativt samarbete mellan nationella CSIRT-enheter.
3. NIS1-direktivet säkerställer att cybersäkerhetsåtgärder vidtas inom sju sektorer som är avgörande för vår ekonomi och vårt samhälle och som är starkt beroende av IKT, såsom energi, transport, bank, finansmarknadsinfrastruktur, dricksvatten, hälso- och sjukvård och digital infrastruktur.

Offentliga och privata enheter som av medlemsstaterna identifierats som leverantörer av samhällsviktiga tjänster inom dessa sektorer är skyldiga att genomföra en riskbedömning för cybersäkerhet och införa lämpliga och proportionella säkerhetsåtgärder. De är skyldiga att anmäla allvarliga incidenter till de berörda myndigheterna. Dessutom måste leverantörer av viktiga digitala tjänster (leverantörer av digitala tjänster eller leverantörer av digitala tjänster), såsom sökmotorer, molntjänster och e-marknadsplatser, också uppfylla kraven på säkerhet och anmälan enligt direktivet. Samtidigt omfattas de sistnämnda av ett så kallat ”lätt” regelverk, vilket innebär att dessa enheter inte omfattas av förhandstillsynsåtgärder.

NIS2-direktivet utvidgar tillämpningsområdet för sektorer avsevärt och inför en storlekströskel för att definiera vilka enheter som omfattas av direktivets tillämpningsområde och som skulle vara skyldiga att rapportera betydande cybersäkerhetsincidenter till de nationella behöriga myndigheterna.

NIS2-direktivet syftar till att åtgärda bristerna i de tidigare reglerna, anpassa det till de nuvarande behoven och göra det framtidssäkrat.

I detta syfte utvidgar direktivet tillämpningsområdet för de tidigare reglerna genom att lägga till nya sektorer på grundval av deras grad av digitalisering och sammankoppling och hur viktiga de är för ekonomin och samhället, genom att införa en tydlig storlekströskelregel, vilket innebär att alla medelstora och stora företag i utvalda sektorer kommer att omfattas av tillämpningsområdet. Samtidigt ger det medlemsstaterna visst utrymme för skönsmässig bedömning när det gäller att identifiera mindre enheter med en hög säkerhetsriskprofil som också bör omfattas av skyldigheterna i det nya direktivet.

Genom det nya direktivet avskaffas också åtskillnaden mellan leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster. Entiteterna skulle klassificeras utifrån deras betydelse och delas in i två kategorier: väsentliga och viktiga entiteter, som kommer att omfattas av olika tillsynssystem.

Den stärker och effektiviserar säkerhets- och rapporteringskraven för företag genom att införa en riskhanteringsmetod som ger en minimiförteckning över grundläggande säkerhetsaspekter som måste tillämpas. Genom det nya direktivet införs mer exakta bestämmelser om processen för incidentrapportering, rapporternas innehåll och tidsfrister.

NIS2 hanterar dessutom säkerheten i leveranskedjor och leverantörsrelationer genom att kräva att enskilda företag tar itu med cybersäkerhetsrisker i leveranskedjorna och leverantörsrelationerna. På europeisk nivå stärker direktivet cybersäkerheten i leveranskedjan för viktig informations- och kommunikationsteknik. Medlemsstaterna får i samarbete med kommissionen och Enisa genomföra samordnade säkerhetsriskbedömningar på unionsnivå av kritiska leveranskedjor, med utgångspunkt i den framgångsrika strategi som valts inom ramen för kommissionens rekommendation om cybersäkerhet i 5G-nät.

Genom direktivet införs strängare tillsynsåtgärder för nationella myndigheter, strängare efterlevnadskrav och syftar till att harmonisera sanktionssystemen i medlemsstaterna.

Det stärker också samarbetsgruppens roll när det gäller att utforma strategiska politiska beslut och ökar informationsutbytet och samarbetet mellan medlemsstaternas myndigheter. Det stärker också det operativa samarbetet inom CSIRT-nätverket och inrättar det europeiska nätverket av sambandsorganisationer för cyberkriser (EU-CyCLONe) för att stödja en samordnad hantering av storskaliga cybersäkerhetsincidenter och cyberkriser.

NIS2 upprättar också en grundläggande ram med ansvariga nyckelaktörer för samordnad sårbarhetsrapportering för nyligen upptäckta sårbarheter i hela EU och skapar en EU-databas för sårbarheter som är kända för allmänheten i IKT-produkter och IKT-tjänster, som ska drivas och underhållas av EU:s cybersäkerhetsbyrå (Enisa).

NIS2 omfattar enheter från följande sektorer:

Sektorer med hög kritiskitet: energi (el, fjärrvärme och fjärrkyla, olja, gas och vätgas). transport (luft-, järnvägs-, vatten- och vägtrafik). bankverksamhet, finansmarknadsinfrastruktur. hälsa, inklusive tillverkning av farmaceutiska produkter, inklusive vacciner. dricksvatten, avloppsvatten, digital infrastruktur (internetutbytespunkter, Leverantörer av DNS-tjänster. Register över toppdomännamn. leverantörer av molntjänster. leverantörer av datacentertjänster. nätverk för innehållsleverans. tillhandahållare av betrodda tjänster, leverantörer av allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster. Förvaltning av IKT-tjänster (hanterade tjänsteleverantörer och leverantörer av förvaltade säkerhetstjänster), offentlig förvaltning och rymden.

Andra kritiska sektorer: post- och budtjänster. avfallshantering, kemikalier, livsmedel, tillverkning av medicintekniska produkter, datorer och elektronik, maskiner och utrustning, motorfordon, släpvagnar och påhängsvagnar samt annan transportutrustning. digitala leverantörer (onlinemarknadsplatser, sökmotorer och plattformar för sociala nätverkstjänster) och forskningsorganisationer.

Utvärderingen av de nuvarande reglerna om krav på säkerhets- och incidentrapportering har visat att medlemsstaterna i vissa fall har genomfört dessa krav på betydligt olika sätt. Detta har skapat en extra börda för företag som är verksamma i mer än en medlemsstat.

När det gäller cybersäkerhetskrav vill vi dessutom vara säkra på att alla företag tar itu med de nödvändiga kärnelementen i sin policy för hantering av cybersäkerhetsrisker.

Av denna anledning innehåller NIS2 en förteckning över tio viktiga delar som alla företag måste ta itu med eller genomföra som en del av de åtgärder de vidtar, inklusive incidenthantering, säkerhet i leveranskedjan, sårbarhetshantering och offentliggörande, användning av kryptografi och i förekommande fall kryptering.

När det gäller incidentrapportering måste vi hitta rätt balans mellan behovet av snabb rapportering för att undvika den potentiella spridningen av incidenter och behovet av djupgående rapportering för att dra värdefulla lärdomar från enskilda incidenter. I det nya direktivet föreskrivs en strategi i flera steg för rapportering av incidenter. Berörda företag har 24 timmar på sig från det att de först får kännedom om en incident att lämna en tidig varning till CSIRT-enheten eller den behöriga nationella myndigheten, vilket också skulle göra det möjligt för dem att söka hjälp (vägledning eller operativ rådgivning om genomförandet av eventuella begränsningsåtgärder) om de begär det. Den tidiga varningen bör följas av en incidentanmälan inom 72 timmar efter att ha fått kännedom om incidenten och en slutrapport senast en månad senare.

Det nya direktivet om nät- och informationssäkerhet sätter tillsyn och tillsyn i centrum för de behöriga myndigheternas uppgifter och fastställer en enhetlig ram för all tillsyns- och tillsynsverksamhet i medlemsstaterna.

För att stärka den tillsyn som bidrar till att säkerställa en effektiv efterlevnad innehåller NIS2 en minimiförteckning över tillsynsmetoder genom vilka behöriga myndigheter får utöva tillsyn över väsentliga och viktiga entiteter. Dessa omfattar regelbundna och riktade revisioner, kontroller på plats och på plats, begäran om information och tillgång till handlingar eller bevis.

I det nya direktivet fastställs dessutom en differentiering av tillsynssystemen mellan väsentliga och viktiga entiteter i syfte att säkerställa en rättvis balans mellan skyldigheter för både enheter och behöriga myndigheter.

När det gäller verkställighet har det hittills funnits en allmän ovilja i medlemsstaterna att tillämpa sanktioner mot enheter som inte vidtar säkerhetsåtgärder eller rapporterar incidenter. Detta kan få negativa konsekvenser för entiteternas cyberresiliens. För att verkställigheten ska bli effektiv fastställs i det nya direktivet en enhetlig ram för påföljder i hela unionen. I direktivet fastställs därför en minimiförteckning över administrativa sanktioner för överträdelser av de skyldigheter avseende cybersäkerhetsriskhantering och rapportering som fastställs i NIS2-direktivet. Dessa sanktioner omfattar bindande instruktioner, för att genomföra rekommendationerna från en säkerhetsrevision, för att se till att säkerhetsåtgärder överensstämmer med NIS-kraven och administrativa böter. När det gäller administrativa sanktionsavgifter görs det i det nya NIS-direktivet åtskillnad mellan väsentliga och viktiga entiteter. När det gäller väsentliga entiteter åläggs medlemsstaterna att föreskriva en viss administrativ sanktionsavgift, särskilt högst 10 000 000 EUR eller 2 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket som är högst. När det gäller viktiga enheter kräver NIS2 att medlemsstaterna föreskriver ett högsta bötesbelopp på minst 7 000 000 EUR eller minst 1,4 % av den totala globala årsomsättningen under föregående budgetår, beroende på vilket som är högst.

När de behöriga myndigheterna utövar sina tillsynsbefogenheter bör de ta vederbörlig hänsyn till de särskilda omständigheterna i varje enskilt fall, såsom överträdelsens art, allvar och varaktighet, den skada som orsakats eller de förluster som uppstått, överträdelsens uppsåt eller oaktsamhet.

För att säkerställa verklig ansvarsskyldighet för cybersäkerhetsåtgärder på organisatorisk nivå inför NIS2 bestämmelser om ansvar för fysiska personer med ledande befattningar i de enheter som omfattas av det nya NIS-direktivet.

De nya reglerna förbättrar EU:s sätt att förebygga, hantera och reagera på storskaliga cybersäkerhetsincidenter och cyberkriser. De gör detta genom att införa tydliga ansvarsområden, lämplig planering och mer EU-samarbete. NIS2 kräver att medlemsstaterna utser nationella myndigheter med ansvar för cyberkrishantering, inför nationella storskaliga planer för cybersäkerhetsincidenter och krishantering och inrättar det europeiska nätverket av sambandsorganisationer för cyberkriser (EU-CYCLONe) för att stödja en samordnad hantering av storskaliga cybersäkerhetsincidenter och cyberkriser på operativ nivå. Detta nätverk är en nyckelkomponent som bidrar till inrättandet av den EU-ram för hantering av cyberkriser som kommissionen lade fram 2017 med rekommendationen om samordnade insatser vid storskaliga incidenter och kriser.

Som regel anses väsentliga och viktiga entiteter omfattas av jurisdiktionen i den medlemsstat där de är etablerade. Om enheten är etablerad i mer än en medlemsstat bör den omfattas av var och en av dessa medlemsstaters jurisdiktion. De behöriga myndigheterna var och en av dessa medlemsstater bör samarbeta, ge ömsesidigt bistånd till varandra och vid behov genomföra gemensamma tillsynsåtgärder. Det finns flera undantag från denna regel:

• leverantörer av allmänna elektroniska kommunikationsnät eller leverantörer eller allmänt tillgängliga elektroniska kommunikationstjänster skulle omfattas av jurisdiktionen i den medlemsstat där de tillhandahåller sina tjänster.
• offentliga förvaltningsorgan skulle omfattas av jurisdiktionen för den medlemsstat som inrättade dem.
• vissa typer av enheter skulle omfattas av den medlemsstats jurisdiktion där de har sitt huvudsakliga verksamhetsställe i unionen. Dessa entiteter omfattar leverantörer av domännamnssystem, toppdomänregister, enheter som tillhandahåller domännamnsregistreringstjänster, leverantörer av molntjänster, leverantörer av datacentertjänster, leverantörer av innehållsleveransnätverk, hanterade tjänsteleverantörer, leverantörer av hanterade säkerhetstjänster samt leverantörer av internetbaserade marknadsplatser, sökmotorer och plattformar för sociala nätverk. Detta för att säkerställa att sådana enheter inte ställs inför en mängd olika rättsliga krav, eftersom de tillhandahåller tjänster över gränserna i särskilt hög grad. För en effektiv tillsyn kommer dessa typer av enheter att åläggas av medlemsstaterna att bland annat anmäla om enhetens huvudsakliga verksamhetsställe och dess andra juridiska etableringsställen i unionen eller, om de inte är etablerade i unionen, den plats där enhetens företrädare utses. Enisa skulle vara skyldigt att upprätta och föra ett register med den information som medlemsstaterna tillhandahåller på denna grundval.

EU-samarbetet förs vidare genom att medlemsstaterna kan agera gemensamt och ta itu med de framväxande säkerhetsrisker som den pågående digitala omvandlingen medför.

Mer specifikt kommer medlemsstaterna att gemensamt kunna övervaka genomförandet av EU:s regler och ömsesidigt bistå varandra vid gränsöverskridande oegentligheter, ha en mer strukturerad dialog med den privata sektorn och samordna avslöjandet av sårbarheter i programvara och hårdvara som säljs på den inre marknaden. De kommer också att kunna arbeta på ett samordnat sätt för att bedöma säkerhetsrisker och hot i samband med ny teknik, vilket görs för första gången med 5G.

Medlemsstaterna kommer att utnyttja EU-samarbetet för att förbättra den nationella kapaciteten genom personalutbyte mellan myndigheter och inbördes utvärderingar. De befintliga grupperna, särskilt samarbetsgruppen som samlar nationella cybersäkerhetsmyndigheter och nätverket av enheter för hantering av it-incidenter (CSIRT) kommer att bidra till att främja samarbetet på både strategisk och teknisk nivå.

NIS2-direktivet är nära kopplat till två andra initiativ, nämligen direktivet om kritiska entiteters motståndskraft och förordningen om digital operativ motståndskraft för finanssektorn (lagen om digital operativ motståndskraft, DORA).

Tillämpningsområdet för NIS 2 och direktivet om kritiska entiteters motståndskraft har i stor utsträckning anpassats för att säkerställa att kritiska entiteters fysiska och cyberresiliens hanteras på ett övergripande sätt. Entiteter som identifierats som kritiska entiteter enligt CER-direktivet kommer också att omfattas av cybersäkerhetskraven i NIS2-direktivet. Dessutom måste nationella behöriga myndigheter enligt CER- och NIS2-direktiven samarbeta och regelbundet utbyta relevant information, t.ex. om risker, cyberhot och cyberincidenter samt om icke-cyberrisker, hot och incidenter. Samarbetsgruppen inom ramen för NIS2 måste sammanträda regelbundet och minst en gång per år med den grupp för kritiska entiteters motståndskraft som inrättats enligt CER-direktivet.

När det gäller den finansiella sektorn omfattar det nya NIS-direktivet kreditinstitut, operatörer av handelsplatser och centrala motparter inom dess tillämpningsområde, men DORA kommer att tillämpas på dessa enheter när det gäller riskhantering och rapporteringsskyldigheter för cybersäkerhet. Samtidigt är det viktigt att upprätthålla ett starkt samband för informationsutbyte mellan finanssektorn och de andra sektorer som omfattas av NIS 2. I detta syfte skulle de europeiska tillsynsmyndigheterna för finanssektorn och den finansiella sektorn enligt DORA kunna delta i diskussionerna i samarbetsgruppen för nät- och informationssäkerhet. Dessutom skulle DORA:s behöriga myndigheter kunna konsultera och dela relevant information med den gemensamma kontaktpunkten (SPOC) och CSIRT-enheter som inrättats inom ramen för NIS2. De behöriga myndigheterna, de gemensamma kontaktpunkterna eller de CSIRT-enheter som inrättats enligt NIS2 skulle också få information om större IKT-relaterade incidenter från de behöriga myndigheterna inom ramen för DORA. Dessutom bör medlemsstaterna fortsätta att inkludera finanssektorn i sina cybersäkerhetsstrategier och nationella CSIRT-enheter får omfatta finanssektorn i sin verksamhet.

Medlemsstaterna måste införliva direktivet senast den 17 oktober 2024 (21 månader efter ikraftträdandet av NIS2). Kommissionen måste därefter regelbundet se över hur direktivet fungerar och rapportera om detta för första gången senast den 17 oktober 2027 till parlamentet och rådet.