Skip to main content
EU-kommissionens logotyp
Shaping Europe’s digital future
Policy and legislation | Publikation

Förslag till direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen

Kommissionen har antagit ett förslag till ett reviderat direktiv om säkerhet i nätverks- och informationssystem (NIS 2-direktivet).

Proposal for directive on measures for high common level of cybersecurity across the Union

Trots dess anmärkningsvärda resultat har direktivet om säkerhet i nätverks- och informationssystem (NIS-direktivet), som banade väg för en betydande förändring av tankesättet, institutionernas och regelverkets syn på cybersäkerhet i många medlemsstater, nu också bevisat sina begränsningar. Den digitala omvandlingen av samhället (som intensifierats av covid-19-krisen) har utvidgat hotbilden och medför nya utmaningar som kräver anpassade och innovativa lösningar.
Nu kan alla störningar, även om de ursprungligen var begränsade till en enhet eller en sektor, få en bredare kaskadeffekt, vilket kan leda till långtgående och långvariga negativa effekter på tillhandahållandet av tjänster på hela den inre marknaden.

För att ta itu med dessa utmaningar, som tillkännagavs i meddelandet Att forma Europas digitala framtid, påskyndade kommissionen översynen av direktivet till slutet av 2020 och genomförde en konsekvensbedömning och lade fram ett nytt lagstiftningsförslag.

Centrala delar av kommissionens förslag

Kommissionens nya förslag syftar till att åtgärda bristerna i det tidigare direktivet om nät- och informationssäkerhet, anpassa det till de nuvarande behoven och göra det framtidssäkrat.

I detta syfte utvidgas tillämpningsområdet för det nuvarande direktivet om nät- och informationssäkerhet genom att nya sektorer läggs till på grundval av deras kritiska betydelse för ekonomin och samhället och genom att ett tydligt storlekstak införs, vilket innebär att alla medelstora och stora företag i utvalda sektorer kommer att omfattas av tillämpningsområdet. Samtidigt ger det medlemsstaterna viss flexibilitet att identifiera mindre enheter med hög säkerhetsriskprofil.

Förslaget undanröjer också skillnaden mellan leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster. Entiteter skulle klassificeras på grundval av sin betydelse och delas in i väsentliga respektive viktiga kategorier, med följden att de skulle omfattas av olika tillsynssystem.

Förslaget skärper säkerhetskraven för företagen genom att införa en riskhanteringsmetod som ger en minimiförteckning över grundläggande säkerhetsaspekter som måste tillämpas. Genom förslaget införs mer exakta bestämmelser om processen för incidentrapportering, rapporternas innehåll och tidsfrister.

Dessutom föreslår kommissionen att man ska ta itu med försörjningskedjornas och leverantörsrelationernas säkerhet genom att kräva att enskilda företag tar itu med cybersäkerhetsrisker i leveranskedjor och leverantörsrelationer. På europeisk nivå stärker förslaget cybersäkerheten i leveranskedjan för viktig informations- och kommunikationsteknik. Medlemsstaterna kommer i samarbete med kommissionen och Enisa att genomföra samordnade riskbedömningar av kritiska leveranskedjor, med utgångspunkt i den framgångsrika strategi som valts inom ramen för kommissionens rekommendation om cybersäkerhet i 5G-nät.

Genom förslaget införs strängare tillsynsåtgärder för nationella myndigheter, strängare efterlevnadskrav och syftar till att harmonisera sanktionssystemen i medlemsstaterna.

Förslaget stärker också samarbetsgruppens roll när det gäller att utforma strategiska politiska beslut om ny teknik och nya trender, och ökar informationsutbytet och samarbetet mellan medlemsstaternas myndigheter. Det stärker också det operativa samarbetet, bland annat när det gäller hantering av cyberkriser.

I kommissionens förslag inrättas en grundläggande ram med ansvariga nyckelaktörer för samordnad information om sårbarheter för nyligen upptäckta sårbarheter i hela EU och inrättande av ett EU-register över det som drivs av Europeiska unionens cybersäkerhetsbyrå (Enisa).
 

Nästa steg

Relevanta åtgärder för nästa steg är följande:

  • Förslaget kommer att bli föremål för förhandlingar mellan medlagstiftarna, särskilt Europeiska unionens råd och Europaparlamentet.
  • När förslaget har godkänts och följaktligen antagits måste medlemsstaterna införliva NIS2-direktivet inom 18 månader.
  • Kommissionen måste regelbundet se över NIS2-direktivet och för första gången rapportera om översynen 54 månader efter ikraftträdandet.
  • Europeiska kommissionen ser fram emot att genomföra den nya cyberstrategin under de kommande månaderna.

 

Related content

Last update

2 april 2024

Skriv ut som pdf