Regelefterlevnad – Digitala verktyg och personligt stöd

På Lantero följer vi noga utvecklingen kring NIS2-direktivet och hur cybersäkerhetskraven kommer att utvecklas för svenska organisationer. Från och med den 18 oktober 2024 skulle NIS2-direktivet ha implementerats i nationell lagstiftning. Men liksom många andra EU-länder dröjer implementeringen något för Sverige. Enligt SOU 2024:18 är en ny cybersäkerhetslag på väg att ersätta den nuvarande NIS-lagen och anpassa Sverige till ramarna i NIS2, men detta kommer inte att träda i kraft förrän i början av 2025. 7 november 2024 EU-kommissionen antar en förordning som specificerar NIS2:s krav för riskhantering och incidentrapportering, vilket etablerar nya ramar för vissa operatörer, inklusive molntjänstleverantörer, DNS-leverantörer och online-marknadsplatser. För operatörer som för närvarande omfattas av NIS-lagen representerar denna period en kritisk övergångsfas, där tidigare NIS-förpliktelser fortfarande gäller, men där man även måste börja beakta NIS2. Ramverket blir nu bredare, särskilt inom riskhantering och incidentrapportering enligt artikel 21 i direktivet. Vem berörs? - NIS2 kommer att bredda omfattningen jämfört med NIS. Direkt berörda grupper kommer nu även att inkludera leverantörer inom sektorer som DNS-tjänster, molntjänster och online-marknadsplatser. - Många företag och organisationer kommer att beröras indirekt i egenskap av leverantörer till direkt påverkade organisationer. I praktiken innebär det att de flesta organisationer måste ta hänsyn till de nya kraven för att kunna konkurrera långsiktigt. Lanteros LawLogic-koncept stöttar företag och organisationer i arbetet med att förstå och förhålla sig till de nya reglerna. Allt från vägledning om praxis till förenklade mallar och checklistor ingår i upplägget, så att ni kan säkerställa risker och minimera risker, utan att sätta externa konsulter i förarsätet. Med de nya reglerna ställer sig många frågan om huruvida de berörs av de nya reglerna, men frågan som borde ställas är snarast hur man berörs. Att man behöver förhålla sig till reglerna torde vara klart och Lanteros verktyg syftar till att göra materien tydlig och strukturerad, så att arbetet kan formuleras i konkreta aktiviteter och påbörjas.

NIS2-direktivet, vilket betyder Network and Information Security Directive, syftar till att stärka cybersäkerheten och motståndskraften mot cyberhot inom EU. Direktivet är en uppdatering av det tidigare NIS-direktivet och tar en rad nya steg för att öka kraven på företag och offentliga institutioner som hanterar kritisk infrastruktur eller viktiga tjänster. ### Påverkan på företag - Ökade kostnader: Företag kommer behöva investera mer i cybersäkerhet, inklusive teknik, utbildning och personal, för att uppfylla de nya kraven. - Större fokus på riskhantering: Cybersäkerhet måste integreras i företagets övergripande riskhanteringsprocess, och företagen måste vara förberedda på både att upptäcka och hantera cyberattacker snabbt. - Ökat tryck på leverantörer: Eftersom företag också ansvarar för sina leverantörers säkerhet, kan detta sätta press på hela leveranskedjan att implementera strikta säkerhetsåtgärder. Vid första påsyn kan NIS2 uppfattas som en angelägenhet för ett visst segment av näringsliv och offentlig förvaltning, men den troligaste effekten är att hela samhället lyfter nivån inom cybersäkerhet. Det beror dels på att berörda organisationer och företag behöver ha koll på sina leverantörer, men också för att den allmänna "hygiennivån" lär höjas och acceptansen för säkerhetsbrister generellt blir svårare att motivera. ### Utökad tillämpning Jämfört med den ursprungliga NIS-lagstiftningen kommer tillämpningen att utökas och omfatta flera områden. Förutom energi, transport, finans och hälsosektorn omfattas nu även: - Tillverkning av kritiska produkter (kemikalier, livsmedel) - Posttjänster och avfallshantering - Digitala tjänster (inklusive molntjänster, datacenter) - Rymdsektorn Vissa mindre företag som tidigare var undantagna kan också komma att inkluderas beroende på storlek och betydelse för samhällskritiska funktioner. ### Specifika krav Säkerhetskraven kommer generellt att bli hårdare, med konkreta krav inom riskhantering, säkerhetsövervakning, incidenthantering och att regelbundet genomföra sårbarhetsbedömningar. Vidare finns det en ambition om mer samordning på samhällsnivå när det gäller rapportering av incidenter. Därför ställs krav på formerna för rapportering från företag, inklusive vad som har gjorts för att hantera incidenten. Kraven backas upp med risk för betydande böter för det företag eller den organisation som inte rapporterar i tid. Bötesnivåerna kan likna de nivåer som tillämpas inom GDPR och steg tas också för att kunna gå på företagsledning och styrelseledamöter personligen. Sammanfattningsvis etableras sanktionsmöjligheter som syftar till att tvinga fram kraftiga och omedelbara insatser för att höja säkerhetsnivån hos alla berörda företag och organisationer. Idén om samordning tas också vidare till annan typ av informationsdelning, så att nationella cybersäkerhetsmyndigheter ska bli bättre på att jobba tillsammans och koordineringen förfinas mellan såväl länder som samhällssektorer.
Sammanfattningsvis är NIS2 en naturlig fortsättning på NIS, med samma underliggande anda, men med avsevärda uppstramningar i tillämpningen. För den som inte sneglat på NIS sedan tidigare och börjat att arbeta med frågorna ligger ett digert arbete i korten för de närmaste åren.

Lantero arrangerar ett seminarium för kommuner om visselblåsning och några vanliga frågeställningar i hanteringen av visselblåsarärenden. Det går av stapeln den 6 november klockan 15-16.30. I mer än tio år har Lantero arbetat med visselblåsarlösningar och är idag störst i Sverige inom kommunsektorn. Dagligen hjälper Lantero kommunkunder med visselblåsarärenden, vilket ger oss en unik möjlighet att guida inom både vad som gäller rent legalt och hur praxis ser ut bland olika typer av kommuner. Några vanliga frågeställningar som kommer att belysas på Lanteros seminarium är: * Jävssituation och hur de kan hanteras * Hur man ska förhålla sig till sekretessfrågan vid begäran av allmän handling * Vad som gäller kring GDPR när ett ärendet utreds vidare utanför visselblåsarsystemet och visselblåsarprocessen * Hur man ska se på begreppet "allmänintresse" i lagen när det gäller oegentligheter i kommunal verksamhet Målgruppen för detta seminarium är främst handläggare som arbetar med kommuners visselblåsartjänst och kommunjurister som tidvis involveras i handläggning eller ärendebedömning. Men det kan också vara aktuellt för en bredare krets, som på olika sätt är intresserade av det generella arbetet mot olika typer av missförhållanden i kommuner och i offentlig sektor i stort. Eftersom frågan knyter an till bredare frågor om hur kommuner och offentlig verksamhet fungerar, bedrägerier och välfärdsbrottslighet i stort, så kan det också vara aktuellt för välfärdssamordnare eller handläggare av mer specifika frågeställningar att delta vid detta seminarium. Det innebär också att exempelvis verksjurister på myndigheter eller regioner kan ha nytta av diskussionerna. Seminariet görs i form av ett webinarium, men det är också möjligt att delta hos oss på Lantero på Drottninggatan 71c i Stockholm. – Vi får ofta propåer från våra kommunkunder kring den här typen av aktiviteter, då man bland handläggare i visselblåsarfunkionerna hos kommuner uppenbarligen gärna vill utbyta erfarenheter med kollegor i andra kommuner eller externa experter, säger Andreas Wahlström, som ansvarar för seminariet från Lanteros sida. Vi kommer att göra vad vi kan för att involvera deltagarna och skapa en dynamisk diskussion.