Nytt steg framåt för NIS 2-direktivet

I december 2020 lämnade EU-kommissionen ett förslag om ett nytt NIS-direktiv, Directive on Security of Network and Information Systems, kallat NIS 2-direktivet. Efter flera vändor i EU har EU-parlamentet och rådet nu kommit överens om det nya direktivets lydelse vilket innebär att NIS2-direktivet troligen träder i kraft till hösten.

NIS 2-direktivet justerar och ersätter det nu gällande NIS-direktivet till att bli mer detaljerat angående informationssäkerhetsåtgärder i EU-länderna och för att möta rådande och framtida säkerhetsbehov. I korthet innebär NIS 2 följande:

  • Tillämpningsområdet för NIS utökas så att direktivet ska gälla fler sektorer än idag, För VA-sektorn är det största förändringen att även aktörer som tar emot avloppsvatten samt berörda verksamheters leverantörer och underleverantörer omfattas. 
  • Medlemsländerna ska på ett mer harmonierat sätt att arbeta med informationssäkerhet. Minimiregleringar och mekanismer för ett mer effektivt samarbete mellan myndigheter införs i varje medlemsland. Rapporteringsskyldigheten effektiviseras för att undvika att orsaka överrapportering som skapar en onödigt stor börda för de som omfattas.
  • Direktivet föreskriver rättsmedel och sanktioner för att säkerställa verkställighet av regleringen 
  • Direktivet kommer formellt att inrätta organisationen European Cyber Crises Liaison Organisation Network, EU-CyCLONe, för att stödja samordnad hantering av storskaliga cybersäkerhetsincidenter
  • Justeringar för att matcha andra direktiv såsom CER-direktivet 

EU-parlamentet och Europeiska rådet har i trilog med kommissionen den 17 juni 2022 enats om utformningen av NIS2-direktivet. Det innebär att direktivet nu med all sannolikhet har fått sin slutgiltiga utformning, även om omröstning i rådet och parlamentet återstår innan direktivet slutligen kan publiceras i Europeiska unionens officiella tidning och 20 dagar efter det träda i kraft. Då hela Europa nu är i semestertider kommer omröstningar i parlament och råd troligen inte att ske förrän framåt september månad. 

Från det att direktivet sedan publicerats kommer medlemsländerna att ha 21 månader på sig att implementera de nya bestämmelserna i nationell lagstiftning. Vad NIS 2-direktivet slutligen kommer att innebära för den svenska VA-sektorn återstår att se. Medlemsländerna har utrymme att själva komma fram till hur direktivet ska komma till uttryck i nationella lagar. Svenska regeringen och myndigheter kommer i lag och föreskrifter kunna bestämma närmare detaljer och kriterier som ska uppnås för att avloppsreningsverk och dricksvattendistributörer ska omfattas av NIS 2. 

Svenskt Vatten kommer att följa utvecklingen.

Mer om det nu gällande NIS-direktivet kan du läsa här