Pågående lagstiftningsinitiativ på EU-nivå för att förstärka cybersäkerhet och digital operativ motståndskraft
Just nu behandlas förslag från EU-kommissionen som syftar till att förstärka (i) cybersäkerheten inom samhällsviktiga tjänster, genom ett förslag till ett nytt NIS-direktiv (NIS 2) och (ii) digital operativ motståndskraft, genom ett förslag till ny förordning om digital operativ motståndskraft för finanssektorn.
Förslaget till NIS 2 presenterades av EU-kommissionen den 16 december 2020 som en del av en ny EU-strategi för cybersäkerhet. NIS 2 syftar till att åtgärda brister som EU-kommissionen har identifierat i det nuvarande NIS-direktivet. Några av de viktigaste delarna av NIS 2 är följande: (i) tillämpningsområdet ökar dels genom att nya sektorer läggs till utifrån hur kritiska de är för ekonomin och samhället, dels genom att alla medelstora och stora företag i de utvalda sektorerna kommer att omfattas av direktivet (även mindre enheter med hög säkerhetsriskprofil kan omfattas); (ii) distinktionen mellan leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster avskaffas; (iii) säkerhets- och rapporteringskraven skärps och effektiviseras; (iv) säkerheten i leveranskedjor och leverantörsförbindelser åtgärdas; och (v) tillsynsåtgärder och påföljder skärps.
Den 12 mars 2021 meddelade den europeiska dataskyddsstyrelsen (EDPS) att EDPS ställer sig positiv till förslaget till NIS 2. Om förslaget antas ska NIS 2 införlivas av medlemsstaterna inom 18 månader från det att det träder i kraft, vilket för svensk del innebär att lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (som införlivar nuvarande NIS-direktiv) kommer att behöva ändras.
Förslaget till ny förordning om digital operativ motståndskraft (eng. DORA) presenterades av EU-kommissionen den 24 september 2020 som en del av EU:s paket för digitalisering av finanssektorn, vilket syftar till att möjliggöra och främja den digitala finanssektorns potential och samtidigt minska tillhörande risker. Mer specifikt syftar DORA till att harmonisera EU:s nuvarande regler rörande riskhantering inom informations- och kommunikationsteknik (eng. ICT). Vid sidan av banker och andra kreditinstitut föreslås DORA omfatta även ett antal andra finansiella bolag (bland annat värdepappersbolag, värdepapperscentraler, kreditvärderingsinstitut, försäkringsbolag, mfl.) samt tredjepartsleverantörer av ICT-tjänster.
Utöver det mycket breda tillämpningsområdet rör några av de viktigaste delarna i DORA följande: (i) krav på central styrning av företagets riskhantering, såsom att etablera ramverk, system och policies inom riskhantering; (ii) specifika ICT-krav, såsom att inrätta och upprätthålla motståndskraftiga ICT-verktyg, fortlöpande identifiera ICT-risker, vidta skyddsåtgärder, upptäcka onormal verksamhet och införa kontinuitets, katastrof- och återställningsplaner; (iii) krav på incidenthanteringsprocesser och incidentrapportering (i linje med NIS-direktivet); (iv) krav på regelbunden beredskapstestning; och (v) krav på övervakning och hantering av risker kopplade till tredjepartsleverantörer av ICT-tjänster, däribland krav på vad avtal med ICT-leverantörer måste innehålla inom detta område. Vad gäller ICT-leverantörer är en annan nyhet i DORA att kritiska ICT-leverantörer ska omfattas av EU:s centrala tillsyn, bland annat genom att sådana leverantörer ska registreras i en förteckning som upprättas av de europeiska tillsynsmyndigheterna på EU-nivå.
DORA är förnärvarande föremål för allmän konsultation som kommer avslutas av EU-kommissionen den 18 maj 2021. Om DORA antas, efter fortsatt behandling inom EU:s lagstiftningsapparat, föreslås förordningen börja tillämpas 12 månader från det att den träder i kraft.
