När kommer artikel 13 införas

NIS2-direktivet antogs från EU-parlamentet inom månad 2022 samt den svenska lagen likt implementerar direktivet väntas träda inom kraft den 1 januari 2025.

Artikel 13 existerar enstaka från 32 punkter inom EU:s nya upphovsrättsdirektiv liksom röstades igenom inom EU-parlamentet 26 mars.

NIS2-direktivet är allmänt strukturerat samt den närmare tillämpningen äger varit svår för att förutspå inom detalj - tills för tillfället. inom mars inom år presenterades detta svenska lagförslaget mot enstaka färsk cybersäkerhetslag. Nedan följer ett översiktlig sammanställning från den nya NIS2-utredningen, vilket den innebär samt hur ni kunna förbereda er aktivitet tillsammans med anledning från detta nya regelverket.

önskar ni känna till mer alternativt önskar hjälp tveka ej för att kontakta oss.

Lindahl besitter grundlig expertis inom rättsområden likt regelefterlevnad, informationssäkerhet, IT/Tech samt dataskydd.

---

NIS2-direktivet skärper kraven till verksamhetsutövare samt innehåller bestämmelser ifall en mer långtgående samarbete inom EU jämfört tillsammans sin föregångare NIS1. detta omfattande syftet tillsammans med dem nya reglerna existerar för att att nå ett mål eller resultat enstaka högre cybersäkerhet till detta utökade antal sektorer vilket pekas ut inom lagstiftningen.

Den 5 mars 2024 överlämnade ”Utredningen ifall genomförande från NIS2- samt CER-direktiven” delbetänkandet Nya regler ifall cybersäkerhet (SOU 2024:18) tillsammans tillsammans med förslaget mot den nya cybersäkerhetslagen.

Cybersäkerhetslagen, såsom ersätter den nuvarande NIS-lagen, föreslås träda inom kraft den 1 januari 2025 samt medför några viktiga förändringar vid informationssäkerhets- samt cybersäkerhetsområdet.

Det finns framför allt numeriskt värde viktiga skillnader mellan gällande lagstiftning samt detta nya lagförslaget:

1. Bredare tillämpning samt antal sektorer utökas: Cybersäkerhetslagen föreslås omfatta fler aktörer.

   Antalet sektorer utökas ifrån 7 mot 18 stycken.

   
   
2. 



modell vid nya sektorer liksom för tillfället omfattas är: avloppsvatten, förvaltning från IKT-tjänster (mellan företag), offentlig förvaltning (vilket innebär för att nästan all den offentliga sektorn inklusive kommuner samt regioner omfattas), rymden, post- samt budtjänster, avfallshantering, tillverkning, produktion samt leverans från kemikalier samt livsmedel, tillverkning, digitala leverantörer samt forskning.

3. Hela verksamheten omfattas: Förslaget innebär för att kraven kommer för att gälla på grund av kurera verksamheten, ej bara dem likt anses artikel samhällsviktiga alternativt erbjuder digitala tjänster.

   detta införs även en storlekskrav till privata verksamhetsutövare, var enstaka aktivitet måste sysselsätta minimalt 50 personer alternativt äga ett årsomsättning liksom överstiger 10 miljoner euro på grund av för att omfattas från lagens krav.

   Om personuppgifter likt rör enstaka registrerad individ samlas in ifrån den registrerade, bör den personuppgiftsansvarige, då personuppgifterna erhålls, mot den registrerade lämna upplysning angående följande: a) Identitet samt kontaktuppgifter på grund av den personuppgiftsansvarige samt inom tillämpliga fall på grund av dennes företrädare.

   Dock förmå även mindre dock särskilt kritiska verksamheter pekas ut från Myndigheten på grund av samhällsskydd samt beredskap (MSB) vilka även måste följa lagens krav.

---

Utöver ovan numeriskt värde nyheter önskar oss inom korthet lyfta ytterligare några delar ur detta nya förslaget.

Ny klassificering: Både offentliga samt enskilda verksamhetsutövare föreslås omfattas från den nya cybersäkerhetslagen.

dem verksamheter vilket omfattas bör dock klassificeras antingen såsom väsentliga alternativt viktiga verksamheter utifrån innebörd samt storlek. Reglerna existerar inom princip identisk oavsett kategori, dock vad gäller tillsyn samt sanktioner skiljer sig dessa åt beroende vid klassificering.

Ansvarsskyldighet på grund av den högsta ledningen till verksamhetsutövarens överträdelser: Direktivet ställer ökade krav vid ledningens deltagande inom organisationens cybersäkerhetsarbete.

Utredningen föreslår för att detta bör införas enstaka tillfälle till tillsynsmyndigheten för att hos domstol ansöka ifall för att enstaka individ tillsammans med ledningsansvar hos ett central verksamhetsutövare bör förbjudas för att utöva ledningsfunktioner.

Utredningen kommer för att lämna förslag vid sådan införlivning inom en slutbetänkande inom september 2024.

Detta gäller exempelvis till styrelseledamöter samt verkställande direktörer. Övriga sanktioner riktar sig mot verksamhetsutövaren inom form eller gestalt från juridisk individ. Denna sanktion riktar sig inom stället mot fysiska personer samt bör ses såsom enstaka yttersta åtgärd till för att åstadkomma en visst agerande.

Tydliga krav vid säkerhetsåtgärder: Verksamhetsutövare bör vidta lämpliga riskhanteringsåtgärder samt genomföra riskanalyser på grund av för att skydda sina nätverk samt informationssystem mot incidenter.

Åtgärderna bör utvärderas samt baseras vid enstaka riskanalys samt bör existera proportionella inom förhållande mot risken.

Artikel 13 handlar inom korthet ifall för att den liksom äger enstaka foto, ord alternativt film bör erhålla betalt då den sprids.

Dessutom behövs detta för att verksamhetsutövare anmäler sig mot ett tillsynsmyndighet. på grund av för att säkerställa enstaka enhetlig tillämpning samt övervakning från dessa krav föreslås tillsynsmyndigheter på grund av varenda zon, var vissa myndigheter får utökade ansvarsområden samt nya tillsynsmyndigheter etableras till för att hantera dem utökade kraven.

Kraven inom sin totalitet kommer sannolikt artikel klarlagda inledningsvis då dessa tillsynsmyndigheter utfärdat detaljerade föreskrifter, likt fallet då NIS1-direktivet implementerades inom svensk rätt.

Vidare ställs detta krav vid för att verksamhetsutövaren bör bedriva en systematiskt samt riskbaserat informationssäkerhetsarbete samt verksamhetens ledning bör genomgå utbildningar samt dem anställda bör erbjudas erforderlig utbildning.

Krav vid säkerhet inom leverantörskedjor: Verksamheternas krav vid för att vidta åtgärder inkluderar även leveranskedjan.

Däremot bör varenda verksamhetsutövare enbart ansvara till ett länk inom leveranskedjan, d.v.s. behöva vidta riskhanteringsåtgärder inom förhållande mot sina leverantörer samt ej några underleverantörer.

Det förmå bli en minne blott ifall enstaka sektion inom en nytt lagförslag klubbas igenom inom Europa-parlamentet.

detta kommer finnas krav vid för att cybersäkerhet bör regleras inom leverantörsavtalen, vilket medför för att befintliga samt nya avtal kommer behöva ses ovan på grund av för att anpassas efter dessa krav.

Utökade krav vid incidentrapportering: Incidentrapportering blir tvingande samt detta inkluderar även leveranskedjan.

Verksamhetsutövaren existerar således ansvarig för att meddela avgörande incidenter mot MSB inom vissa bestämda tidsgränser. enstaka varning bör lämnas inom 24 timmar ifrån för att verksamhetsutövaren fått kunskap ifall den avgörande incidenten. Därefter bör enstaka incidentanmälan göras inom 72 timmar samt ett slutrapport inom enstaka månad.

Införandet från sanktioner: NIS2-direktivet innehåller detaljerade regler avseende tillsynsmyndigheternas ingripanden samt dess möjligheter för att utfärda sanktionsavgifter.

Lägstanivån vid sanktionsavgifterna föreslås existera 5 000 kronor (som tidigare).

vad gäller maximinivån till sanktionsavgifterna fastställer NIS2-direktivet numeriskt värde olika beräkningsgrunder samt belopp, baserade vid ifall verksamhetsutövaren existerar central alternativt viktig.

För väsentliga verksamhetsutövare bör maxbeloppet på grund av sanktionsavgiften uppgå mot detta högsta alternativet från 10 000 000 euro, alternativt 2 andel från den totala globala årsomsättningen beneath föregå-ende räkenskapsår.

på grund av viktiga verksamhetsutövare bör motsvarande belopp uppgå mot detta högsta alternativet från 7 000 000 euro, alternativt 1,4 andel från den totala globala årsomsättningen beneath föregående räkenskapsår.

---

Parallellt tillsammans med NIS2-direktivet bör CER-direktivet, liksom handlar angående för att stärka kritiska verksamheters motståndskraft, införlivas inom land.

Utbildningen får erbjudas ifrån samt tillsammans med andra kalenderhalvåret detta kalenderår personen fyller år 18 år.

Utredningen kommer för att lämna förslag vid sådan införlivning inom en slutbetänkande inom september 2024. CER-direktivet omfattar inom delar liknande krav likt NIS2-direktivet dock omfattar ej bara cybersäkerhet utan även andra hot liksom naturkatastrofer, terrorism m.m.

Medlemsstaterna bör, i enlighet med CER-direktivet, känna igen aktörer såsom tillhandahåller samhällsviktiga tjänster inom utvalda sektorer (energi, försändelse, bankverksamhet, finansmarknadsinfrastruktur, hälso- samt medicinsk hjälp, vatten, avloppsvatten, digital infrastruktur, offentlig förvaltning, rymden samt produktion, bearbetning samt transport från livsmedel).

Vidare ordinerar direktivet enstaka skyldighet på grund av liknande aktörer för att bland annat vidta åtgärder på grund av för att stärka sin motståndskraft samt meddela incidenter. Direktivet innehåller även bestämmelser ifall tillsyn samt sanktioner. CER-direktivet innehåller alltså liknande krav vilket NIS2-direktivet dock användningen existerar samordnad samt nära överlappning bör NIS2-direktivet gälla sålunda länge CER-direktivet ej ställer mer långtgående krav.

Slutligen förmå även nämnas för att flera organisationer kommer för att omfattas från både säkerhetsskyddslagen (2018:585) samt cybersäkerhetslagen.

Utgångspunkten existerar då för att på grund av dem delar från verksamheten likt omfattas från säkerhetsskyddslagen, gäller endast en begränsat antal bestämmelser inom cybersäkerhetslagen, angående anmälnings- samt uppgiftsskyldighet.

Vi att föreslå eller råda något samtliga organisationer för att redan för tillfället påbörja arbetet tillsammans med efterlevnaden från NIS2-direktivet samt den nya cybersäkerhetslagen.

dem organisationer liksom existerar osäkra vid angående verksamheten omfattas från lagen behöver genomföra enstaka sådan granskning, inklusive ett evaluering från vilka delar från verksamheten (om några) vilket omfattas från säkerhetsskyddslagen. dem organisationer såsom redan besitter gjort denna undersökning behöver påbörja enstaka riskanalys till för att fastställa vilka IT-tjänster likt existerar kritiska på grund av verksamheten.

---

Det bör avslutningsvis nämnas för att detta ovanstående endast existerar ett omfattande beskrivning från vissa problem att diskutera kring NIS2-direktivet samt förslaget mot ett färsk cybersäkerhetslag.

Denna produkt utgör således ej juridisk rådgivning inom en enskilt fall.