Välkommet förslag i grevens tid
Redan i mars 2024 presenterade en statlig utredning (en s.k. SOU) en rapport till regeringen med förslag på hur NIS 2-direktivet ska implementeras i Sverige. Sedan dess har det varit tyst från regeringen och många har undrat hur det går. Men igår bröt regeringen tystnaden genom att presentera en lagrådsremiss om hur Sverige ska implementera reglerna. Att det här förslaget ser dagens ljus är både efterlängtat och välkommet. Vi är nämligen redan sent ute. NIS 2-direktivet ska egentligen vara implementerat sedan den 17 oktober 2024 – och EU-kommissionen hytte med fingret åt försenade medlemsstater senast för en månad sedan.
Reglerna föreslås träda i kraft den 15 januari 2026. En lagrådsremiss är det sista steget innan regeringen tar fram en proposition till riksdagen. Nu ska regeringen bara springa till Riddarholmen och prata med justitieråden i Lagrådet, därefter kommer propositionen. Vi kan alltså räkna med att det blir NIS 2-regler den 15 januari 2026 om inget oförutsett inträffar längs vägen.
Är det några skillnader mot vad vi redan hade på bordet? Och i vilka delar instämmer regeringen med utredningen? Regeringens förslag är i stora drag likt det förslag som presenterades i den statliga utredningen 2024, men några grejer är värda att lyfta fram:
1. Bråttom att anmäla i januari
Regeringen är, liksom utredningen, restriktiv med tidsfristen för verksamheter att anmäla sig. Anmälan ska göras ”så snart det kan ske”, vilket innebär en minimal respit efter 15 januari 2026.
2. Alla system omfattas
Vissa remissinstanser ville begränsa omfattningen till specifika system kopplade till den samhällsviktiga verksamheten. Men regeringen håller fast vid utredningens bredare perspektiv: hela verksamheten omfattas av kraven.
3. Fler uttryckliga krav på säkerhetsåtgärder – närmare direktivets formulering
Utredningen bestämde sig för att avvika lite från NIS 2-direktivets formulering av de närmare kraven på informationssäkerhet, framförallt eftersom de tyckte att en del krav framgick implicit i andra delar av reglerna. I utredningens förslag var det t.ex. nio punkter med krav, till skillnad från tio i direktivet. Regeringen föreslår, med inspiration från länder som Belgien, Kroatien och Italien, en formulering som ligger närmare direktivet, innehållande tio punkter med krav.
4. Det blir fortfarande flera tillsynsmyndigheter – men alltjämt inte klart vilka
Regeringen håller med utredningen om att tillsynen bör spridas över flera myndigheter. Någon central tillsynsmyndighet föreslås alltså inte, trots viss kritik från bland annat Naturvårdsverket och Tillväxtverket. Det är dock fortfarande inte klart om det blir samma tillsynsmyndigheter som föreslagits eller om det blir fler eller färre – det kommer regeringen att bestämma i förordningar som kommer lite längre fram.
5. Lägre tröskel för tillsyn mot viktiga aktörer
En mindre men intressant justering är att tillsynsåtgärder mot viktiga (men inte väsentliga – där tillsyn kan ske när som helst) aktörer ska kunna vidtas redan när myndigheten ”har anledning att anta” att regler inte följs, istället för ”befogad anledning att anta” som utredningen föreslog.
6. Handläggningsavgifter i vissa delar
Till skillnad från utredningens förslag om finansiering genom ökade anslag, föreslås nu handläggningsavgifter för tillsyn i vissa delar – i förhållande till verksamhetsutövare som tillhandahåller allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster. Avgifterna ska motsvara myndigheternas kostnader för hanteringen av ärenden. Ytterligare ett gott skäl att se till att vara compliant i god tid alltså.
7. Utbildning av personal – kravet gäller men uttrycks inte
Regeringen anser inte att det är nödvändigt att uttryckligt reglera krav på utbildning om cybersäkerhet till anställda, utan menar att detta ändå kommer att ske genom generella säkerhetsåtgärder och krav på cyberhygien.
8. Systematiskt informationssäkerhetsarbete
Någon uttrycklig bestämmelse om krav på ett systematiskt, riskbaserat informationssäkerhetsarbete behövs inte enligt regeringen, eftersom detta anses framgå implicit av övriga säkerhetskrav.
9. Förtydligande angående förbud mot att inneha ledningsfunktion
Regeringen klargör att förbud mot ledningsfunktion endast ska kunna riktas mot ledare i väsentliga verksamheter, inte mot ledare för verksamhetsutövare i kategorin viktiga verksamheter.
10. Offentliga aktörer – smärre justeringar
I lagrådsremissen är det endast statliga myndigheter med befogenheter som påverkar gränsöverskridande rörlighet för personer, varor, tjänster eller kapital som omfattas. Träffytan mot andra offentliga aktörer justeras också; bland annat undantas alla myndigheter under riksdagen, och lite justeringar sker vad gäller kommunalförbund och utbildningsinstitutioner.
Regeringen är ikapp, men bolagen då?
Sammanfattningsvis är regeringens lagrådsremiss en betydande och nödvändig pusselbit i den större bilden av ökad cybersäkerhet inom EU. Även om detaljerna skiljer sig något från utredningens förslag är ambitionen tydlig: att Sverige äntligen kommer ikapp – om än i sista stund. Med detta har deadline – januari 2026 – kommit mycket närmare att vara en realitet. Räkna med att detta kommer att bli av – och se till att vara redo!
