iStock photo Getty images Plus
Reglerna kommer att säkerställa ett säkrare och starkare Europa genom en betydande utvidgning av de sektorer och den typ av enheter som omfattas av dess tillämpningsområde och genom skärpta säkerhetskrav för företag.
Den senaste tidens hot har ökat behovet av att snabbt och gemensamt stärka EU:s cybersäkerhet för att skydda medborgare och företag. Det är också avgörande att kritiska sektorer och kritisk infrastruktur förblir säkra och motståndskraftiga. Genom att ta itu med dessa utmaningar ersätter NIS 2-direktivet reglerna om säkerhet i nätverks- och informationssystem (NIS-direktivet), som var den första EU-omfattande lagstiftningen om cybersäkerhet som banade väg för en mer innovativ regleringsstrategi för cybersäkerhet i många medlemsstater.
Skydd av ytterligare viktiga sektorer
Ökad sammankoppling och digitalisering av vissa sektorer leder till fler cyberhot. Att säkerställa att fler sektorer och entiteter måste vidta riskhanteringsåtgärder för cybersäkerhet kommer att öka cybersäkerhetsnivån i Europa. NIS 2-direktivet omfattar nu ytterligare sektorer som är kritiska för ekonomin och samhället, däribland leverantörer av allmänna elektroniska kommunikationsnät och kommunikationstjänster, datacentraltjänster, avloppsvatten och avfallshantering, tillverkning av kritiska produkter, post- och budtjänster samt enheter inom offentlig förvaltning. Reglerna omfattar också hälso- och sjukvårdssektorn i vidare bemärkelse, till exempel genom att inbegripa forskning och utveckling av läkemedel eller tillverkning av läkemedel. Medlemsstaterna kommer att ha viss handlingsfrihet när det gäller att identifiera mindre enheter med en hög säkerhetsprofil som bör omfattas av direktivet.
Förbättrade säkerhetskrav för företag
NIS 2-direktivet stärker också de krav på hantering av cybersäkerhetsrisker som företagen är skyldiga att uppfylla. Precis som enligt NIS-direktivet måste företagen vidta lämpliga och proportionella tekniska, operativa och organisatoriska åtgärder för att hantera cybersäkerhetsriskerna, förebygga och minimera effekterna av potentiella incidenter. Detta krav blir mycket mer konkret i NIS 2 med en förteckning över riktade åtgärder som bland annat omfattar incidenthantering och krishantering, hantering och avslöjande av sårbarheter, strategier och förfaranden för att bedöma ändamålsenligheten i riskhanteringsåtgärder för cybersäkerhet eller hygien och utbildning i cybersäkerhet.
För att bidra till att öka informationsutbytet och samarbetet om hantering av cyberkriser på både nationell nivå och EU-nivå effektiviserar direktivet incidentrapporteringsskyldigheterna med mer exakta bestämmelser om rapportering, innehåll och tidsplan. Dessutom finns det strängare tillsynsåtgärder för nationella myndigheter, liksom strängare efterlevnadskrav, tillsammans med förteckningen över administrativa sanktioner, inbegripet böter för överträdelser av riskhanterings- och rapporteringsskyldigheterna för cybersäkerhet.
Nästa steg
Medlemsstaterna kommer att ha 21 månader på sig att införliva NIS2-direktivet i sin nationella lagstiftning. Under denna tid ska medlemsstaterna anta och offentliggöra de åtgärder som är nödvändiga för att följa detta direktiv.
I december 2022 antog rådet en rekommendation om en unionsomfattande samordningsstrategi för att stärka motståndskraften hos kritisk infrastruktur, där medlemsstaterna uppmanas att påskynda det förberedande arbetet för införlivande och tillämpning av NIS 2 och direktivet om kritiska entiteters motståndskraft.
Bakgrund till tvisten
Cybersäkerhet är en prioritering för kommissionen och en hörnsten i det digitala och uppkopplade Europa.
Den första EU-täckande lagen om cybersäkerhet – NIS-direktivet – trädde i kraft 2016 och bidrog till en gemensam och hög nivå på säkerheten i nätverks- och informationssystem i hela EU. NIS-direktivet omfattade flera sektorer, bland annat energi, transport, bankverksamhet och finans, hälso- och sjukvård, dricksvattenförsörjning och distribution samt digital infrastruktur. Den omfattade också leverantörer av digitala tjänster, särskilt leverantörer av molntjänster, internetbaserade marknadsplatser och sökmotorer.
I december 2020 föreslog kommissionen en översyn av NIS-direktivet som en del av sitt centrala politiska mål att göra Europa rustat för den digitala tidsåldern. EU:s cybersäkerhetsakt, som är i kraft sedan 2019, gav Europa en ram för cybersäkerhetscertifiering av produkter, tjänster och processer och stärkte mandatet för EU:s cybersäkerhetsbyrå (Enisa). I september 2022 antog kommissionen förslaget till rättsakt om cyberresiliens, som fastställer cybersäkerhetskrav för produkter med en digital komponent, som omfattar både hårdvara och programvara.