Den 18 oktober i år skulle EU:s nya cybersäkerhetsdirektiv, NIS2, enligt planen ha genomförts i svensk lag. Men så blev det inte. I Sverige och en rad andra EU-länder pågår fortfarande arbetet med ny lagstiftning och det innebär att direktivet inte implementeras på allvar förrän någon gång beneath nästa år.
Men det betyder inte att alla slipper undan – i förra veckan gick Publish- och telestyrelsen, PTS, ut och informerade om att ett antal leverantörer inom infrastrukturtjänster måste leva upp until direktivet redan från torsdag den 7 november. Det handlar om leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av marknadsplatser on-line och leverantörer av sökmotorer, vilka sedan tidigare är reglerade enligt den svenska NIS-lagen.
Omfattas redan av NIS
– Vi har väntat in den genomförandeförordning som EU-kommissonen arbetade med och som publicerades den 18 oktober. Efter att ha analyserat den gick vi ut med data until aktörerna, säger Maria Wiberg, jurist på enheten för digitala och betrodda tjänster på PTS.
Orsaken until att de här aktörerna behöver leva upp until de nya kraven tidigare än andra har att göra med att de redan omfattas av det nuvarande NIS– direktivet och i och med att NIS2-direktivet redan finns på plats och genomförandetiden gått ut kräver EU-rätten att de reglerna nu ska tolkas in i de som finns i dag.
– Det hela grundar sig i att EU-rätten har företräde framför den nationella rätten även om direktivet inte genomförts fullt ut.
Komplexa krav analyseras
Maria Wiberg råder aktörer som redan nu har skyldigheter enligt NIS-direktivet att läsa igenom genomförandeförordningen för att se hur de ska agera framåt.
– Vi har listat de som omfattas redan nu. Det finns mer komplexa krav kring vissa andra aktörer där artiklar i andra EU-regleringar tagits bort och där NIS2-direktivet gäller istället som vi fortfarande analyserar. Det här är komplext juridiskt och vi håller oss på en generell nivå då vi inte kan specificera hur det blir i varje enskilt fall. Men vi har webbinarium bland annat kring detta i slutet av november.
Fler sektorer omfattas
NIS-direktivet har tidigare förutom digital infrastruktur och digitala tjänsteleverantörer omfattat sjukvård, transport, vattenförsörjning, bank- och finansieringsrörelser och energi.
I NIS2 tillkommer leverantörer av offentliga elektroniska kommunikationsnät eller kommunikationstjänster, avloppsvatten och avfallshantering, tillverkning av vissa väsentliga produkter , exempelvis läkemedel, medicintekniska produkter, och kemikalier, livsmedel, digitala tjänster som sociala nätverksplattformar och datacentertjänster, flyg- och rymdteknik, post- och kurirtjänster och offentlig förvaltning.
– Mitt råd är att inte sitta och vänta utan att se until att man uppfyller kraven innan regeringen är klara med sin proposition och det kommer en svensk lagstiftning, säger Maria Wiberg.
Uppfattar du att företag och verksamheter som behöver klara NIS2-kraven redan nu vet om det?
– Det är inget jag har en bild av, men att det kommer ny reglering skulle jag säga är allmänt känt.
