Viktig information om Europeiska unionens cybersäkerhetsdirektiv (NIS2)

Vem berörs av direktivet?

De organisationer som omfattas av direktivet är antingen väsentliga eller viktiga beroende på deras storlek och sektor samt hur kritiska de är.

Utöver det som beskrivs i tabellen är NIS2-direktivet även tillämpligt på aktörer av en typ som avses i bilaga I eller II, oavsett aktörens storlek, när:

• aktören är den enda leverantören i en medlemsstat av en tjänst som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet.
• en störning av den tjänst som aktören tillhandahåller kan ha en betydande påverkan på allmän ordning, allmän säkerhet eller folkhälsa.
• en störning av den tjänst som aktören tillhandahåller kan medföra betydande systemrisker, särskilt för de sektorer där sådana störningar kan få gränsöverskridande konsekvenser.
• aktören är kritisk på grund av sin särskilda betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst, eller för andra sektorer i medlemsstaten som är beroende av denna aktör.

Dessutom tillämpas NIS2-direktivet med stöd av CER-direktivet (Extern länk) på aktörer som definieras som kritiska aktörer oavsett deras storlek. 

Både ovanstående så kallade undantagsbaserade aktörer oavsett storlek och så kallade CER-kritiska aktörer är väsentliga aktörer.

Vilka krav ställer NIS-direktivet?

Fullgörande av skyldigheter i fråga om riskhantering inom cybersäkerhet

Aktören ska ha en aktuell verksamhetsmodell för riskhantering inom cybersäkerhet för att skydda kommunikationsnäten och informationssystemen och deras fysiska miljö mot incidenter och deras effekter.

Aktörerna ska genomföra proportionerliga tekniska, operativa eller organisatoriska hanteringsåtgärder i enlighet med verksamhetsmodellen för riskhantering för att hantera risker som hotar säkerheten i kommunikationsnäten och informationssystemen samt förhindra eller minimera de skadliga effekterna.

I verksamhetsmodellen för riskhantering inom cybersäkerhet och i de hanteringsåtgärder som baserar sig på den ska åtminstone en aktuell förteckning med de tio väsentliga punkter som finns i artikel 21 i NIS2-direktivet beaktas och upprätthållas:

1. strategier för riskanalys och informationssystemens säkerhet,
2. incidenthantering,
3. driftskontinuitet, exempelvis hantering av säkerhetskopiering och katastrofhantering, och krishantering,
4. säkerhet i leveranskedjan, inbegripet säkerhetsaspekter som rör förbindelserna mellan varje aktör och dess direkta leverantörer eller tjänsteleverantörer,
5. säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inbegripet hantering av sårbarheter och sårbarhetsinformation,
6. strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärderna för cybersäkerhet,
7. grundläggande praxis för cyberhygien och utbildning i cybersäkerhet,
8. strategier och förfaranden för användning av kryptografi och, när så är lämpligt, kryptering,
9. personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning,
10. användning inom aktören, när så är lämpligt, av lösningar för multifaktorautentisering eller kontinuerlig autentisering, säkrade röst-, video- och textkommunikationer och säkrade nödkommunikationssystem.

Åtgärderna för riskhantering ska ställas i förhållande till verksamhetens kvalitet och omfattning, de direkta effekterna på aktören av en incident som rimligtvis kan förutses, riskbenägenheten hos aktörens kommunikationsnät och informationssystem, sannolikheten för och allvarlighetsgraden hos incidenter, kostnaderna för åtgärderna samt den aktuella utvecklingen med beaktande av de tekniska möjligheter som finns tillgängliga för att avvärja hotet.

Vid Cybersäkerhetscentret vid Transport- och kommunikationsverket bereds för närvarande en rekommendation för tillsynsmyndigheter om åtgärder för riskhantering inom cybersäkerhet som även innehåller rekommendationer om grundläggande informationssäkerhetspraxis. Beredningen av rekommendationen följer tidsplanen för beredningen av lagstiftningen, och rekommendationen kommer att publiceras efter att lagarna godkänts. En remissbehandling kommer att ordnas för rekommendationen våren 2024. 

Tillsynsmyndigheterna kan inom sina sektorer utfärda preciserande tekniska föreskrifter i fråga om riskhantering.

Bekanta dig också med kommissionens utkast till genomförandeakt, remisstiden går ut den 25 juli 2024. Bestämmelsen gäller följande aktörer: leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av datacentraltjänster, leverantörer av nätverk för leverans av innehåll, leverantörer av hanterade tjänster, leverantörer av hanterade säkerhetstjänster, leverantörer av marknadsplatser online, sökmotorer, plattformar för sociala nätverkstjänster samt tillhandahållare av betrodda tjänster. 

Genom bestämmelserna preciseras riskhanteringsskyldigheterna enligt artikel 21 i NIS2-direktivet samt när incidenten enligt artikel 23 ska anses vara betydande.

Skyldighet att anmäla betydande incidenter

Med betydande incident avses en incident som har orsakat eller kan orsaka allvarliga driftsstörningar för tjänsterna eller ekonomiska förluster för den berörda aktören, eller en incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

Med incident avses en händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos tjänster som erbjuds genom eller är tillgängliga via kommunikationsnät och informationssystem.

En aktör som omfattas av NIS2-direktivets tillämpningsområde ska utan dröjsmål anmäla betydande incidenter som drabbat dess tjänster till tillsynsmyndigheten. 

Anmälningsskyldigheten består av tre steg, det vill säga aktören ska inom 24 timmar från upptäckten av incidenten lämna en första anmälan till tillsynsmyndigheten och inom 72 timmar lämna en kompletterande anmälan om incidenten. Efter att incidenten har avvärjts ska aktören lämna en slutrapport till tillsynsmyndigheten.

Aktören ska utan dröjsmål meddela mottagarna av dess tjänster om incidenten, om det är sannolikt att den betydande incidenten stör tillhandahållandet av tjänsterna.

Hur anmäler man en betydande incident?

En aktör som omfattas av NIS2-direktivets tillämpningsområde ska utan dröjsmål anmäla betydande incidenter som drabbat dess tjänster till tillsynsmyndigheten. 

I Finland kan anmälan göras med en NIS2-anmälningsapplikation, som för närvarande utvecklas vid Cybersäkerhetscentret vid Traficom.

När Cybersäkerhetscentrets NIS2-anmälningsapplikation används förmedlas informationen till tillsynsmyndigheten, men även till Cybersäkerhetscentret. Cybersäkerhetscentret använder informationen som det får för att sammanställa en lägesbild över den nationella cybersäkerheten och förmedla allmän kunskap om informationssäkerhet.   

Frivillig anmälan till Cybersäkerhetscentret vid Traficom 

Alla företag och organisationer kan anmäla informationssäkerhetsincidenter som de utsatts för, till exempel nätfiske eller överbelastningsangrepp samt försök till sådana incidenter, till Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficom. 

Det är värt att göra en anmälan även om det inte skulle vara fråga om en sådan betydande informationssäkerhetsincident som avses i NIS-direktivet, eftersom Cybersäkerhetscentret på basis av mängden kontakttillfällen kan hjälpa offer med den tekniska utredningen av informationssäkerhetsincidenten. Dessutom använder Cybersäkerhetscentret informationen som det får för att sammanställa en lägesbild över den nationella cybersäkerheten och förmedla allmän kunskap om informationssäkerhet. Behandlingen av anmälningar är konfidentiell.

Börja fylla i blanketten nedan genom att välja om du är en privatperson eller representerar en organisation. Du kan även lämna ett anonymt tips. Blanketten tar dig vidare och ger råd för de vanligaste informationssäkerhetsstörningarna. 

Hur ska man förbereda sig för direktivets krav på riskhantering inom cybersäkerhet?

Cybersäkerhetscentret vid Transport- och kommunikationsverket bereder en rekommendation om åtgärder för riskhantering inom cybersäkerhet. Rekommendationen utarbetas som stöd för tillsynsmyndigheterna vid tillämpningen av de åtgärder för riskhantering inom cybersäkerhet som föreskrivs i NIS2-direktivet samt för ledning, rådgivning och övervakning av aktörerna.

Rekommendationen baserar sig på NIS2-direktivet och den nationella lagstiftning som bereds för närvarande samt följer allmän god praxis för cybersäkerhet, så att de lämpar sig förutom för tillsynsmyndigheternas behov, även för aktörernas behov samt behoven för myndigheter och aktörer inom andra sektorer.

Rekommendationen kommer att innehålla exempel på hur man kan genomföra och verifiera åtgärder för riskhantering inom cybersäkerhet samt länkar till de vanligaste standarderna, referensramarna och verktygen. I rekommendationen föreslås dock inte införande av någon standard eller referensram.

Rekommendationen kommer att innehålla en länk från åtgärderna för riskhantering inom cybersäkerhet till Cybermätaren, som tillhandahålls av Cybersäkerhetscentret vid Transport- och kommunikationsverket. Cybermätaren är en uppsättning indikatorer som skapats utifrån god, grupperad praxis för upprepad bedömning, utveckling och rapportering av cybersäkerhetens mognadsnivå. Målet med länkningen är att främja tillämpningen av rekommendationen, växelverkan mellan olika intressentgrupper samt utvecklingen av cybersäkerheten även på nationell nivå. 

Länkarna som ges vid åtgärderna i rekommendationen leder till olika avsnitt och mål som innehåller flera exempel på god praxis som man kan välja. Olika, mer noggranna länkningar kan framöver skapas på praktisk nivå, så att man kan beakta exempelvis sektorspecifika särdrag och hotprofiler som inverkar på den skicklighet som behövs för att skydda sig mot cyberhot och trygga verksamhetens kontinuitet. Även i det här avseendet kan Cybermätaren helt och hållet anpassas efter organisationens behov. 

Hur stöder myndigheterna kritiska aktörer?

Cybersäkerhetscentret vid Transport- och kommunikationsverket stöder de organisationer som omfattas av NIS-direktivet i att upprätthålla och utveckla sin informationssäkerhet genom olika tjänster. 

Cybersäkerhetscentret producerar flera olika lägesbildsprodukter som organisationerna kan använda. Lägesbildsprodukterna ger användarna aktuell information om händelser och fenomen som påverkar cybersäkerheten. 

Cybersäkerhetscentret administrerar sändlistor för olika sektorer. Listorna används för att skicka ut informationssäkerhetsmeddelanden om aktuella ämnen som berör sektorn. Förfrågningar om att bli tillagd i en sändlista kan skickas till kyberturvallisuuskeskus@traficom.fi .

Påföljdsavgifter

Administrativa påföljdsavgifter påförs av påföljdsavgiftsnämnden på framställning av tillsynsmyndigheten. Den administrativa påföljdsavgiften åläggs att betalas till staten.

Det maximala beloppet av den administrativa påföljdsavgiften för väsentliga aktörer är 10 000 000 euro eller 2 procent av aktörens globala årliga totala omsättning för den föregående räkenskapsperioden, beroende på vilket av dessa belopp som är större. Det maximala beloppet av den administrativa påföljdsavgiften för andra än väsentliga aktörer är 7 000 000 euro eller 1,4 procent av aktörens globala årliga totala omsättning för den föregående räkenskapsperioden, beroende på vilket av dessa belopp som är större.

Vilka roller har andra myndigheter i frågor om cybersäkerhet och dataskydd? 

Polisen 

Polisen är behörig myndighet i fråga om förhindrande, utredning och lämnande till åtalsprövning av brott som görs med hjälp av datanät. Majoriteten av alla brott som görs med hjälp av datanät utreds av den lokala polisen. Alla polisinrättningar har enheter som är specialiserade på hantering och analys av digitalt bevismaterial. Polisens riksomfattande rådgivningstjänst betjänar på numret 0295 419 800 (vardagar kl. 8–16.15) eller per e-post på neuvontapalvelu@poliisi.fi

Centralkriminalpolisen (CKP) är en riksomfattande polisenhet, som har hela Finland som verksamhetsområde. Vid Centralkriminalpolisen finns en enhet som är specialiserad på förundersökning av brott som görs med hjälp av datanät, polisens centrum mot cyberbrottslighet. Vid enheten utreds i huvudsak omfattande och samhälleligt betydande helheter av brott av prejudikatkaraktär som görs med hjälp av datanät och som riktar sig mot datanätsmiljöer. Brottsanmälan ska göras med en elektronisk blankett för brottsanmälan eller genom att informera den lokala polisen om brottet. 

Du kan göra en brottsanmälan på nätet eller genom att besöka din lokala polisstation. Nättips är en anmälningskanal för anmälning av också små cyberstörningar eller observationer som inte uppfyller rekvisitet för ett brott. Organisationen ansvarar själv för de första insatserna samt för de begränsande åtgärderna och andra åtgärder när den upptäcker en informationssäkerhetsincident. För polisens utredning är det skäl för organisationen att se till att bevismaterial säkras för en eventuell brottsutredning i ett senare skede. I praktiken innebär detta att man så noggrant som möjligt dokumenterar mål, händelser, åtgärder och tidpunkter. Det är av högsta vikt att ta tillvara system och loggar över datakommunikationen på ett så omfattande och heltäckande sätt som möjligt. Loggdata ska tas tillvara samt förvaras i ursprunglig och oföränderlig form.

Dataombudsmannens byrå 

Dataombudsmannen är en nationell tillsynsmyndighet som övervakar efterlevnaden av dataskyddslagstiftningen. Dataombudsmannens uppgifter omfattar bland annat att övervaka efterlevnaden av dataskyddslagstiftningen och övriga lagar som gäller behandling av personuppgifter, främja kännedomen om risker, regler, skyddsåtgärder, skyldigheter och rättigheter som är förknippade med behandling av personuppgifter, göra utredningar och granskningar samt påföra administrativa påföljder för brott mot dataskyddsförordningen.