Omfattas er verksamhet av säkerhetsskyddslagen (2018:585) eller lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster? Omfattas er verksamhet av NIS 2-direktivet?
Regelverket avseende säkerhetsskydd och informationssäkerhet har förändrats och framförallt förstärkts de senaste åren. Många verksamheter omfattas av säkerhetsskyddslagen eller lagen om informationssäkerhet för samhällsviktiga och digitala tjänster utan att känna till det.
Säkerhetsskyddslagen gäller i Sverige sedan 2018. Det finns allt fler enskilda aktörer som bedriver säkerhetskänslig verksamhet och det kan antas att det finns verksamheter av betydelse för Sveriges säkerhet som överhuvudtaget inte tillämpar säkerhetsskyddslagstiftningen. Den verksamhetsutövare som inte är medveten om att verksamheten omfattas av säkerhetsskyddslagen kommer inte heller att följa den. Detta kan få negativa konsekvenser för Sveriges säkerhet och för verksamhetsutövaren.
Vilka risker tar verksamheten om den inte uppfyller skyldigheter enligt lagen?
Tillsynsmyndigheten får besluta att ta ut en sanktionsavgift av en verksamhetsutövare som har åsidosatt sina skyldigheter enligt säkerhetsskyddslagen. Sanktionsavgifter ska i första hand avse överträdelser av bestämmelser med krav som är centrala för säkerhetsskyddet. Det gäller t.ex. underlåtenhet att anmäla en säkerhetskänslig verksamhet, åsidosättande av kravet på att utse en säkerhetsskyddschef, att göra och uppdatera en säkerhetsskyddsanalys, säkerhetsskyddsklassificera uppgifter, kontrollera det egna säkerhetsskyddet, underlåtelse att ingå säkerhetsskyddsavtal, bristande innehåll i säkerhetsskyddsavtal, underlåtelse att samråda och agerande i strid med förbud. En sanktionsavgift ska bestämmas till lägst 25 000 kronor och högst 50 000 000 kronor. Sanktionsavgiften för en statlig myndighet, kommun eller region ska dock bestämmas till högst 10 000 000 kronor.
Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster gäller i Sverige sedan 2018. Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster implementerar Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (NIS-direktivet). Säkerhetsskyddslagen kan vara tillämplig på viss del av verksamheten och lagen om informationssäkerhet för samhällsviktiga och digitala tjänster kan vara tillämpliga på övriga delar av samma verksamhet.
Vilka risker tar verksamheten om den inte uppfyller skyldigheter enligt lagen?
Tillsynsmyndigheten ska ta ut en sanktionsavgift av den som underlåter att göra en anmälan till tillsynsmyndigheten, vidta säkerhetsåtgärder eller rapportera incidenter. En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.
I december 2022 antogs det s.k. NIS-2-direktivet (Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS-2-direktivet). Direktivet ska införlivas i svensk rätt och de svenska bestämmelserna ska tillämpas från och med den 18 oktober 2024. NIS-2-direktivet, som omfattar fler verksamheter än NIS-direktivet och ställer högre krav på leverantörer av samhällsviktiga tjänster.
Vilka risker tar verksamheten om den inte uppfyller skyldigheter enligt NIS-2-direktivet?
Väsentliga entiteter som inte uppfyller kraven på riskhanteringsåtgärder för cybersäkerhet eller rapporteringsskyldigheter, kan påföras sanktionsavgifter på högst 10 000 000 EUR eller högst 2 % av den totala globala årsomsättningen under det föregående räkenskapsåret för det företag som den väsentliga entiteten tillhör, beroende på vilken siffra som är högst.
Viktiga entiteter som inte uppfyller kraven, kan påföras sanktionsavgifter på högst 7 000 000 EUR eller högst 1,4 % av den totala globala årsomsättningen under det föregående räkenskapsåret för det företag som den viktiga entiteten tillhör, beroende på vilken siffra som är högst.
För att få ett fungerande skydd behövs kunskap om regelverken, hur de ska omsättas till fungerande säkerhetsåtgärder samt kunskap om verksamheten. LawSec Sweden AB har den juridiska och praktiska kunskap om säkerhetsskydd som behövs. Verksamhetskunskapen har ni.
LÅT OSS ARBETA TILLSAMMANS!