\n
\n
\n
\n
<\/p>\n
\n Anna S\u00f6yland, jurist p\u00e5 PTS, ber\u00e4ttar om den nya cybers\u00e4kerhetslagen som tr\u00e4der i kraft idag den 15 januari.
\n <\/p>\n
\n
\n
\nAnna, vad inneb\u00e4r cybers\u00e4kerhetslagen?<\/p>\n
\u2013 Cybers\u00e4kerhetslagen \u00e4r Sveriges implementering av EU:s NIS2-direktiv. Den h\u00e4r lagen s\u00e4kerst\u00e4ller allts\u00e5 att de krav som st\u00e4lls upp i NIS2-direktivet g\u00e4ller i Sverige.<\/p>\n
NIS2-direktivet, och i f\u00f6rl\u00e4ngningen cybers\u00e4kerhetslagen, syftar till att h\u00f6ja den gemensamma cybers\u00e4kerhetsniv\u00e5n i EU, genom att verksamhetsut\u00f6vare som tr\u00e4ffas av lagstiftningen ska vidta l\u00e4mpliga \u00e5tg\u00e4rder f\u00f6r att kunna hantera de risker som kan hota s\u00e4kerheten i verksamhetens n\u00e4tverks- och informationssystem. \u00a0<\/p>\n
Varf\u00f6r beh\u00f6vs en lag f\u00f6r cybers\u00e4kerhet?<\/p>\n
\u2013 Cyberattacker, cyberhot och incidenter som p\u00e5verkar n\u00e4tverks- och informationssystem \u00e4r problem som forts\u00e4tter v\u00e4xa i samh\u00e4llet. Se bara p\u00e5 Kaseya-incidenten (som tvingade Coop-butiker \u00f6ver hela landet att st\u00e4nga), Tietoevry-incidenten (som slog ut l\u00f6nesystemen f\u00f6r \u00f6ver 100 myndigheter) och Milj\u00f6data-incidenten (som resulterade i \u00f6ver en miljon svenska personuppgifter l\u00e4ckta p\u00e5 Darknet) \u2013 f\u00f6r att n\u00e4mna n\u00e5gra av de mest allvarliga p\u00e5 senare \u00e5r.<\/p>\n
Man har p\u00e5 EU-niv\u00e5 fastst\u00e4llt att s\u00e5dana incidenter kan hindra ut\u00f6vandet av ekonomisk verksamhet p\u00e5 den inre marknaden, generera ekonomisk f\u00f6rlust, och undergr\u00e4va anv\u00e4ndarnas f\u00f6rtroende f\u00f6r EU:s ekonomi och samh\u00e4lle. Det \u00e4r viktigt att komma ih\u00e5g att NIS2 och cybers\u00e4kerhetslagen \u00e4r reglering som ska skydda den inre marknadens funktion \u2013 den \u00e4r allts\u00e5 bredare \u00e4n till exempel. beredskapslagstiftning och s\u00e4kerhetsskydd, och tr\u00e4ffar l\u00e5ngt fler akt\u00f6rer \u00e4n bara de som anses s\u00e4rskilt samh\u00e4llsviktiga.<\/p>\n
Vilka omfattas av lagen?<\/p>\n
\u2013 V\u00e4ldigt m\u00e5nga! Lagen delas upp i 18 sektorer, till exempel bankverksamhet, h\u00e4lso- och sjukv\u00e5rd, forskning, digital infrastruktur, etc. Under varje sektor finns beskrivningar av vilka typer av organisationer som anses falla under respektive sektor. En organisation \u2013 eller \u201dverksamhetsut\u00f6vare\u201d, som det heter i lagen \u2013 omfattas s\u00e5 l\u00e4nge den n\u00e5r upp till storlekskraven, dvs \u00e4r minst ett medelstort bolag\/organisation (50 anst\u00e4llda eller fler eller har \u00f6ver 10 miljoner euro i \u00e5rsoms\u00e4ttning\/balansomslutning). Det finns dock undantag \u2013 vissa typer av verksamhetsut\u00f6vare omfattas av lagen oavsett storlek.<\/p>\n
Vilken \u00e4r PTS roll?<\/p>\n
\u2013 Vi har tv\u00e5 viktiga roller under cybers\u00e4kerhetslagen. Dels \u00e4r vi tillsynsmyndighet f\u00f6r fem av de 18 sektorer som faller under lagen: digital infrastruktur, digitala leverant\u00f6rer, f\u00f6rvaltning av IKT-tj\u00e4nster (mellan f\u00f6retag), rymden och post- och budtj\u00e4nster. Det inneb\u00e4r att vi p\u00e5 PTS jobbar f\u00f6r fullt med f\u00f6reskriftsarbete, kommunikationsaktiviteter, tillsynsplanering och samverkan f\u00f6r att f\u00f6rbereda oss f\u00f6r v\u00e5rt nya tillsynsuppdrag.<\/p>\n
Som myndighet \u00e4r vi \u00e4ven en verksamhetsut\u00f6vare som omfattas av lagstiftningen. D\u00e4rf\u00f6r \u00e4r vi allts\u00e5 skyldiga att vidta l\u00e4mpliga \u00e5tg\u00e4rder och rapportera betydande incidenter \u2013 och vi kan bli f\u00f6rem\u00e5l f\u00f6r tillsyn under cybers\u00e4kerhetslagen. Fr\u00e4mst \u00e4r det ledningen i varje organisation som \u00e4r skyldig att s\u00e4kerst\u00e4lla att verksamheten har en god niv\u00e5 p\u00e5 cybers\u00e4kerhet och uppfyller kraven i lagen.<\/p>\n
Vad h\u00e4nder om en verksamhetsut\u00f6vare inte f\u00f6ljer lagen?<\/p>\n
\u2013 En akt\u00f6r som inte f\u00f6ljer cybers\u00e4kerhetslagen kan bli f\u00f6rem\u00e5l f\u00f6r olika tillsynsverktyg, till exempel anm\u00e4rkning, f\u00f6rel\u00e4ggande (vid vite), och sanktionsavgifter (som h\u00f6gst 2 % av den totala globala \u00e5rsoms\u00e4ttningen eller 10 miljoner euro). I v\u00e4ldigt allvarliga situationer kan en tillsynsmyndighet ans\u00f6ka hos domstol om att en person med ledningsansvar hos en verksamhetsut\u00f6vare ska f\u00f6rbjudas att ut\u00f6va ledningsfunktioner d\u00e4r.<\/p>\n
\u00a0<\/p>\n