Direktivet om åtgärder för en hög gemensam nivå av cybersäkerhet i hela unionen (Network and Information Systems 2 Directive, NIS2-direktivet) beslutades den 14 december 2022.
Syftet med NIS2-direktivet är att ytterligare bygga upp informations- och cybersäkerhetskapaciteten i EU och utifrån ett allriskperspektiv begränsa hoten mot nätverks- och informationssystem som används för att tillhandahålla samhällsviktiga tjänster i centrala sektorer och säkerställa kontinuiteten i sådana tjänster när de utsätts för incidenter, och därigenom bidra till unionens säkerhet och till att dess ekonomi och samhälle kan fungera effektivt.
NIS2-direktivet innebär en uppdatering av den befintliga rättsliga ramen för vilka åtgärder som kan vidtas för att motverka det ökade informations- och cybersäkerhetshotet. NIS2-direktivet utgör en del i ett paket av åtgärder som syftar till att ytterligare förbättra robustheten och resiliensen både i den digitala och fysiska infrastrukturen hos såväl offentliga som privata verksamheter, behöriga myndigheter och unionen i dess helhet.
NIS2-direktivet utökar tillämpningsområdet till fler sektorer, utifrån deras betydelse för den ekonomiska och samhälleliga verksamheten samt deras storlek. Samtliga stora och medelstora verksamheter som verkar eller tillhandahåller tjänster inom relevanta sektorer omfattas av direktivet medan små företag och mikroföretag undantas. Förslaget lämnar dock utrymme för medlemsstater att inkludera även mindre verksamheter om de bedöms ha en nyckelroll inom relevanta sektorer.
NIS2-direktivet skärper säkerhetskraven genom att tillhandahålla en lista med minimikrav för åtgärder som ska tillämpas för att särskilt samhällsviktiga och samhällsviktiga enheter ska kunna hantera riskerna kopplat till säkerheten i respektive enhets nätverks- och informationssystem. Listan omfattar bland annat incident- och krishantering, utvärdering av riskhanteringsåtgärder för cybersäkerheten och användning av kryptering. Vidare ska säkerheten i leveranskedjan för samhällsviktiga enheter hanteras och stärkas.
Strängare tillsynsåtgärder införs för behöriga myndigheter och strängare tillämpningskrav för att harmonisera sanktionssystemen i medlemsstaterna, såsom djupgående tillgång till känsliga uppgifter, höga sanktioner, nedstängning av den tillsynade tjänsten, tillsättande av en medarbetare inom organisationen som ska ansvara för att av tillsynsmyndigheten beslutade åtgärder genomförs och genomförs i tid, temporärt suspendera verksamhet hos den tillsynade leverantören av tjänsten, samt temporärt avsättande av personer i chefsställning.
Administrativa sanktionsavgifter vid överträdelser av direktivet införs och dessa ska, för väsentliga entiteter kunna uppgå till 10 000 000 euro eller högst 2 procent av den totala globala årsomsättningen under det föregående räkenskapsåret för det företag som den väsentliga entiteten tillhör, beroende på vilken siffra som är högst. För viktiga entiteter ska administrativa sanktionsavgifter kunna påföras motsvarande högst 7 000 000 euro eller högst 1,4 procent av den totala globala årsomsättningen under det föregående räkenskapsåret för det företag som den viktiga entiteten tillhör, beroende på vilken siffra som är högst.
NIS2-direktivet börjar tillämpas den 18 oktober 2024. Den 23 februari 2023 fattade regeringen beslut om att ge en särskild utredare i uppdrag att föreslå de anpassningar av svensk rätt som är nödvändiga för att NIS2-direktivet ska kunna genomföras. Uppdraget ska redovisas senast 23 februari 2024.