NIS2- och CER-utredningen publicerar sitt slutbetänkande

2024-09-23

Den utredning som tittat på hur kraven i NIS2 och CER kan införlivas i svensk lag har nu redovisat sitt slutbetänkande.

I oktober 2022 antogs direktiven NIS2 (om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen) och CER (om kritiska entiteters motståndskraft) av EU. NIS2 ersätter det tidigare NIS-direktivet med förnyade krav på cybersäkerhet i samhällsviktiga tjänster i hela unionen. CER-direktivet ska komplettera NIS2 med krav på incidenthantering, kontinuitetsplanering, fysisk säkerhet och personalsäkerhet.

Tillsynsmyndigheten beslutar om vem som omfattas

Enligt förslaget ska CER införas i svensk rätt med en ny lag om motståndskraft hos kritiska verksamhetsutövare. Huruvida en verksamhet omfattas av den nya lagen ska avgöras av tillsynsmyndigheten för respektive sektor genom ett beslut som bland annat baseras på en nationell riskbedömning som ska genomföras av Myndigheten för samhällsskydd och beredskap, MSB.

Utredningen har tidigare föreslagit att Livsmedelsverket blir tillsynsmyndighet enligt NIS2 för sektorerna dricksvatten, avloppsvatten, respektive produktion, bearbetning och distribution av livsmedel. I slutbetänkandet föreslås myndigheten även få tillsynsansvar för motsvarande sektorer i CER.

Den nya lagen kommer att ställa krav på genomförande av en riskbedömning och införande av åtgärder som ska förhindra incidenter att uppstå och som ska förbereda verksamheten på att reagera på, stå emot och begränsa konsekvenserna av incidenter. Det ställs även krav på fysiskt skydd av lokaler samt krav på personalsäkerhet genom bland annat bakgrundskontroller.

Utredningen föreslår att den nya lagen ska träda i kraft den 1 augusti 2025. Livsmedelsverket kommer att lämna ett remissvar på utredningens slutbetänkande. Slutbetänkandet går att ta del av på regeringen hemsida, se länk nedan.