Klart: EU-parlamentet röstar ja till NIS2

Eu Röstar Igenom Nis Direktiv

Foto: Adobestock

EU-parlamentet har nu röstat igenom NIS2-direktivet. Det är en uppdaterad version av det tidigare NIS-direktivet och innebär ökade krav och skyldigheter för långt fler aktörer än tidigare. 

I omröstningen i EU-parlamentet fick ja-sidan 577 röster, mot nej-sidans 6 röster.

Ransomware och andra cyberhot har förföljt Europa alldeles för länge. Vi måste agera för att göra våra företag, regeringar och samhällen mer motståndskraftiga mot fientliga cyberoperationer, säger Bart Groothuis, en nederländsk EU-parlamentariker, i ett uttalande efter omröstningen. 

2018 trädde det ursprungliga NIS-direktivet i kraft, och syftar till att uppnå en hög gemensam nivå på säkerhet i nätverk och informationssystem inom den europeiska unionen. Alla aktörer som sysslar med samhällsviktig infrastruktur måste vidta åtgärder för att få till den säkerhetsstandard som NIS-direktivet kräver.

Det uppdaterade direktivet, NIS2, medför nya bestämmelser och ökade skyldigheter gällande incidenthantering, kryptering och avslöjande av sårbarheter för många privata och offentliga verksamheter.

Högre krav på leverantörskedjor

En stor förändring är också ett ökat fokus på säkra leverantörskedjor. Många företag som själva inte omfattas av NIS2-direktivet har kunder som gör det. Eftersom dessa kunder nu tvingas ha med motsvarande säkerhetskrav gentemot leverantörer så kan kraven även på verksamheter som inte omfattas av NIS2 öka rejält.

I NIS2 har även EU-ländernas tillsynsmyndigheter fått utökade möjligheter att utdöma sanktioner ifall en aktör brister i sitt arbete. Sanktionerna kan som högst landa på 10 miljoner euro eller 2 procent av den totala omsättningen.

Fler sektorer omfattas

Samtidigt kommer NIS2 att beröra fler verksamheter än föregångaren. Det ursprungliga NIS-direktivet gällde verksamheter inom följande sektorer: sjukvård, digital infrastruktur, transport, energi, vattenförsörjning, digitala tjänsteleverantörer samt bank- och finansieringsrörelser. 

NIS2 fortsätter gälla dessa för sektorer, men man adderar även:

  • Leverantörer av offentliga elektroniska kommunikationsnät eller kommunikationstjänster
  • Avloppsvatten och avfallshantering
  • Tillverkning av vissa väsentliga produkter (till exempel läkemedel, medicintekniska produkter, och kemikalier)
  • Livsmedel
  • Digitala tjänster (till exempel sociala nätverksplattformar och datacentertjänster) 

Direktivet antogs av Europaparlamentet 10 november 2022, och väntar nu på ett slutligt godkännande av EU-rådet. Därefter har medlemsländer 21 månader på sig att att implementera direktivet i sin lagstiftning, så förmodligen lär NIS2 börja gälla som lag i Sverige runt 1 september 2024.

Källa: Horten.dk, Europaparlamentet, Iapp 

11 november 2022Uppdaterad 2 oktober 2023Reporter Fredrik Adolfssonsäkerhet

Läs mer om ämnet:

Voisters nyhetsbrev

Allt om digitalisering, branschens insikter och smartare teknik.

SENASTE NYTT

Stäng