Inga produkter i varukorgen.
Knappt en vecka med NIS2 och EU vill redan ändra spelreglerna: ”Något är riktigt fel”
COMPLIANCE Fem dagar efter att den nya Cybersäkerhetslagen/NIS2 trätt i kraft kom EU:s Omnibus med förslag på ändringar. Tajmingen väcker kritik. "Att ändringsförslag kommer så kort efter måste ses som ett misslyckande", säger My Bergdahl, Teknikföretagen.
My Bergdahl, Teknikföretagen
Den 15 januari trädde den nya Cybersäkerhetslagen, Sveriges svar på NIS2, i kraft. Bläcket hade knappt hunnit torka innan EU-kommissionen, bara fem dagar senare, presenterade ett Omnibus-förslag med förenklingar och förändringar.
Någonting är fel
Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
Techtidningen premium
Läs vidare – starta din prenumeration
Redan prenumerant? Logga in och läs vidare.
Samtidigt har företag och myndigheter fortfarande fullt upp med att försöka förstå hur de ska tillämpa lagen i praktiken.
– Ska man skratta eller gråta? Att förenklingar kommer är i grunden bra. Problemet är när de kommer och hur det sköts, säger My Bergdahl, näringspolitisk expert på Teknikföretagen.
Ett regelverk i ständig rörelse
Arbetet med NIS2 har dragit ut på tiden. Det har gått fem år från EU-kommissionens första utkast till att Cybersäkerhetslagen nu börjar gälla i Sverige. Syftet har varit att växla upp cybersäkerhetsarbetet jämfört med NIS1 och att harmonisera incidenthantering och rapportering inom EU.
Men processen har präglats av förseningar och osäkerhet.
Tidsplaner, tolkningar och tillämpning har skiljt sig åt mellan länder, marknader och branscher. Det råder fortfarande oklarheter kring allt från vilka verksamheter som omfattas till hur tillsyn och rapportering ska gå till.
Myndigheten för Civilt Försvar (MCF), som är tillsynsmyndighet för NIS2, har varit tydlig med att ansvaret ligger på företag och verksamheter att själva hålla sig uppdaterade. Och det faktum att tillsynen i sommar flyttar från MCF till FRA, Försvarets Radioanstalt, gör inte saken mindre rörig.
Att ett reviderat Omnibus-förslag presenteras så kort efter att den svenska lagen trätt i kraft riskerar enligt kritikerna att spä på osäkerheten ytterligare och skicka helt fel signaler till alla som kämpar med anpassningen.
– Att ändringsförslag kommer så kort efter införandet av en lagstiftning som i praktiken inte är helt färdig måste ses som ett misslyckande. Om det krävs justeringar så snabbt är något fel, säger My Bergdahl.
”Ett misslyckande när lagar är ofärdiga”
My Bergdahl understryker att kritiken inte riktar sig mot ambitionen att förenkla regelverken – tvärtom – utan mot hanteringen och processen.
– Jag är knappast den enda som drömmer om en framtid där lagstiftning är baserad på gedigen analys och där regler är begripliga, tillämpbara och långsiktigt hållbara, säger hon.
Att Sverige varit sent ute gör situationen än mer problematisk. Enligt den ursprungliga tidplanen skulle NIS2 ha börjat gälla redan i oktober 2024.
– Då hade Omnibus-förslaget inte landat lika abrupt. Nu blir det väldigt flagrant. Konsekvensen blir osäkerhet, bristande transparens och misstro mot lagstiftarna, konstaterar hon.
Osäkerheten försvårar företagens och organisationernas möjligheter att planera, investera och fatta långsiktiga beslut.
– När man inte vet vad som gäller är det svårt att arbeta strategiskt. Företag behöver stabila och förutsebara ramar, säger hon.
I förlängningen finns också en överhängande risk för att angelägenhetsgraden sjunker och anpassningsarbetet kommer av sig.
– Om marknadens aktörer vänjer sig vid att regler kan komma att ändras eller justeras kort efter införandet, finns en risk att man inväntar nästa version i stället för att agera, säger My Bergdahl.
Förenklingar som ändå är välkomna
Tajmingen och handhavandet må vara under all kritik. Men flera experter menar att justeringarna i grunden är positiva – och rent av väntade.
I en diskussion på LinkedIn skriver säkerhetsexperten Jonas Koivula.
SNABBKOLL
5 förslag enligt EUs Omnibus
- Gemensamt rapporteringsgränssnitt – för flera EU-regelverk tex NIS2, GDPR, DORA för att minska dubbla rapportyer.
- Harmoniserade processer – Standardiserade processer, mallar rutiner för NIS2, GDPR, DORA m.fl.
- Justering av GDPR‑rapporter – Fokus på hög risk och förlängd tidsfrist till exempe 96 timmar, vilket i förlängningen också påverkar NIS2
- Förenklad compliance – Mindre dubbla krav och överlapp mellan olika regler.
- Stärkt roll för ENISA – Koordinerar och stödjer gemensam rapportering.
”Det är ju lite av en paradox. Här har många jobbat länge för att få cybersäkerhetslagen på plats i Sverige, och så kommer förändringar innan bläcket ens hunnit torka. Samtidigt är det bra att förenklingarna kommer nu, innan vi hunnit köra fast i alltför fyrkantiga tolkningar i praktiken.”
Mats Karlsson Landré, som är expert på it- och ot-säkerhet och står bakom nyhetsbrevet ”OT-sakerhet.se”, är mycket positiv:
– Man har styrt upp flera saker som är direkt trasiga i direktivet. I en mer snabbrörlig värld får vi helt enkelt lära oss att hantera mer snabbrörliga kravmassor, säger han.
Roger Gustavsson på PTS pekar på att förändringstakten delvis är en följd av EU:s sätt att reglera.
– Det är kanske en konsekvens av att man detaljreglerar på EU-nivå. Då behöver man justera oftare.
Vattenfall: begränsad praktisk effekt
Kristin Blomqvist, CISO med ansvar för Vattenfall-koncernens anpassningsarbete är mer avvaktande. I nuläget kan hon inte se att förslaget skulle innebär några större förändringar eller avvikelser från planen.
– Ambitionen är vällovlig, men påverkan är initialt ganska liten. Det är fortfarande de nationella implementationerna av NIS2 som gäller och som vi måste förhålla oss till, säger hon.
De justeringarna hon sett riktar sig mot andra typer av verksamheter, till exempel digitala tjänster eller mindre bolag. Andra får effekt först längre fram.
Ett exempel är förslaget att företag i större utsträckning ska kunna visa regelefterlevnad genom certifieringar.
– Det förutsätter att man tar fram relevanta certifieringar och att de är enklare än alternativen. Men certifieringsprocesser är inte direkt kända för att vara administrativt lättsamma, konstaterar hon.
Inte heller förslaget på ett gemensamt EU-system för incidentrapportering via ENISA ser hon som en avgörande förändring.
– Utmaningen ligger snarare i att veta vad och när vi ska rapportera något, inte i vilket system vi skickar in rapporten.
Budskapet till EU: transparens och långsiktighet
Något som både näringsliv och verksamheter efterlyser är större tydlighet, transparens och förutsägbarhet.
– Företag och lagstiftare behöver arbeta tillsammans för att skapa långsiktiga spelregler. Cybersäkerhet är inget man bygger om vartannat kvartal, säger My Bergdahl.
Vad ska då de som sitter med anpassningsarbete göra? Fortsätta enligt plan eller invänta eventuella revisioner? Slutsatsen för de flesta verksamheter är att fortsätta på inslagen väg.
Trots osäkerheten kring Omnibus-förslaget är rättsläget tydligt: det är den svenska cybersäkerhetslagen som gäller. För de flesta innebär förslaget inga omedelbara förändringar av dagens krav och vad företagen behöver göra.
– Det enda jag sett är att företag som enbart träffas av NIS2 för att de har investerat i solceller kan komma att slippa helt, säger Mats Karlsson Landré.
Hans tips till alla som funderar över NIS2 är att inte fokusera så mycket på vad föreskrifterna kräver.
– Bygg det riskdrivna säkerhetsarbete din verksamhet förtjänar och dubbelkolla att resultatet uppfyller kraven. Håll sedan löpande krav på utvecklingen och anpassa efter hand. Jag inser att det inte är så lätt som det låter, men det gör arbetet fokuserat på verklig nytta.
My Bergdahls budskap till EU-kommissionen är tydligt:
– Förenkla gärna – men gör det rätt. Släpp inte regelverk som inte är färdigtänkta. På ett samhällskritiskt område behövs tydlighet, tillit och stabilitet.
5 tips
Så hanterar du NIS2 Omnibus
- Fortsätt på inslagen väg – den svenska cybersäkerhetslagen gäller och anpassningsarbetet bör fortsätta, trots Omnibus-förslagets osäkerhet.
- Bygg riskdrivet säkerhetsarbete – fokusera på processer och åtgärder som verkligen skyddar verksamheten, inte bara på formella krav.
- Håll dig uppdaterad hos MCF och PTS – myndigheterna kommunicerar löpande tolkningar, tillsyn och krav; se till att vara ajour för att undvika överraskningar.
- Planera för framtida förändringar – Omnibus och andra EU-justeringar kan komma, men låt inte osäkerheten bromsa investeringar eller beslut.
- Fokusera på praktisk nytta, inte bara system – certifieringar och rapporteringsverktyg kan underlätta, men det viktigaste är att arbetet ger verkligt skydd och långsiktig styrka.
