top of page
Search

NIS 2 - Den nya cybersäkerhetslagen antagen och beslutad - Vad ställs för krav på utbildning och kompetens?

  • peter@blendifylearning.com
  • 5 hours ago
  • 2 min read

Den 10 december antog riksdagen den nya cybersäkerhetslagen som innebär att NIS2-direktivet i Sverige implementeras. Men vilka krav följer med i lagen – och på vilket sätt?


Till att börja med ställer lagen krav på att personer som ingår i ledningen ska genomgå utbildning, och att verksamhetsutövare ska vidta proportionerliga och lämpliga säkerhetsåtgärder. I dessa säkerhetsåtgärder ingår, enligt punkt 7, grundläggande praxis för cyberhygien och utbildning i cybersäkerhet.


På så sätt skapas en helhet: ledningen ska genomgå utbildning och är samtidigt ansvarig för att vidta säkerhetsåtgärder, där en del av dessa åtgärder är att säkerställa förutsättningar för att kunna ta det ansvaret – och där framhålls utbildning återigen.


Detta innebär konkret att för ledningen (t.ex. VD, styrelse, generaldirektör eller motsvarande) ställs särskilda krav på medvetenhet och ansvar. De ska genomgå utbildning som rör säkerhetsåtgärder, incidentrapportering och informationsskyldighet.


För övrig personal överlåts det till verksamhetsutövaren att bedöma behovet av kompetensutveckling utifrån risk, där regeringen i förarbetet förtydligar att kraven kan innebära att verksamhetsutövare bör erbjuda viss personal att genomgå utbildning.


Säkerhetsåtgärderna ska minst omfatta:

  • strategier för riskanalys och för nätverks- och informationssystemens säkerhet

  • incidenthantering

  • kontinuitetshantering och krishantering

  • säkerhet i leveranskedjan

  • säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem

  • strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna

  • grundläggande praxis för cyberhygien och utbildning i cybersäkerhet

  • strategier och förfaranden för användning av kryptografi och vid behov kryptering

  • personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning

  • vid behov användning av lösningar för autentisering, säkrade kommunikationer och säkra nödkommunikationssystem


Vem bestämmer kraven på utbildning?

Regeringen, eller den myndighet som regeringen bestämmer, får meddela föreskrifter om bland annat utbildning, incidentrapportering, informationsskyldighet och register.


Mycket talar för att den myndigheten blir MSB, som redan under december har uppdaterat offentliga informationssidor avseende kommande krav och tillämpning.


Förelägganden och sanktioner

En tillsynsmyndighet får besluta om förelägganden för att få en verksamhetsutövare att fullgöra sina skyldigheter, exempelvis om en verksamhetsutövare inte låter personer som ingår i ledningen genomgå utbildning.


Vilka räknas som personer i ledningen?

Vilka som omfattas av kravet beror på verksamhetsform:


  • Aktiebolag: styrelsen, verkställande direktören och deras ersättare.

  • Handelsbolag: bolagsmännen.

  • Statliga förvaltningsmyndigheter: myndighetschef, styrelse eller nämnd enligt myndighetsförordningen (2007:515).

  • Regioner och kommuner: styrelsen enligt 6 kap. 1 § kommunallagen (2017:725).


Vad verksamheter bör göra nu — några förslag på praktiska steg

  • Identifiera om verksamheten omfattas av lagen och om ni hanterar kritiska nätverks- och informationssystem.

  • Kartlägg vilka roller som berörs av utbildning: ledning, IT-personal, användare m.fl.

  • Uppdatera policyer och rutiner för cyberhygien, åtkomstkontroll, uppdateringar och incidentrapportering.

  • Planera och erbjud regelbunden utbildning i cybersäkerhet — med särskilt fokus på ledningens ansvar och beslutsfunktioner.

  • Dokumentera utbildningsinsatser och säkerhetsåtgärder — för att kunna visa regelefterlevnad vid tillsyn.


Läs alla detaljer själv här:


Ta sitt första kompetenskliv eller kanske ditt andra här


ree


 
 
 

Comments

bottom of page