Vilka är påföljderna och kontaktpunkter inom NIS2?

Artiklar
Skrivet av Ann Cheng

Fokus NIS2 - Fyra artiklar om NIS2-direktivet - Del 3 av 4

Den europeiska NIS2-direktivet medför att påföljderna vid brist på efterlevnad av direktivet har kommit att bli mer omfattande. Dessutom fastställer direktivet mekanismer för att öka samarbete inom Europa.

I den tredje delen av NIS2-serien tittar vi därför närmare på vad direktivet säger vid brist på efterlevnad, samt vilka är kontaktpunkterna för att öka samarbetet.

Påföljder

Om en entitet inte efterlever de krav som NIS2-direktivet uppställer, kan det bland annat medföra påföljder. Till exempel, brist på efterlevnad skulle kunna vara att inte inkludera de 10 minimumkraven för riskhanteringsåtgärder eller utebliven rapportering vid en inträffad incident.

Påföljderna kan vara i form av sanktionsavgift. I NIS2-direktivet har det dokumenterats allmänna villkor kring sanktionsavgifter för väsentliga och viktiga entiteter:

  • För väsentliga entiteter är sanktionen på högst 10 miljoner EUR eller högst 2% av den totala globala årsomsättningen under det föregående räkenskapsåret, beroende på vilken siffra som är högst.

  • För viktiga entiteter är sanktionen på högst 7 miljoner EUR eller högst 1,4% av den totala globala årsomsättningen under det föregående räkenskapsåret, beroende på vilken siffra som är högst.

Ett högre sanktionsavgift belopp ska tas:

  • Om skadan som inträffat eller kunnat inträffa är allvarlig.

  • Om entiteten tidigare gjort sig skyldig till överträdelser.

  • Om entiteten tjänat eller sparat pengar på överträdelsen. 

Medan ett lägre belopp ska tas: 

  • Om överträdelsen är ringa eller ursäktlig.

  • Om det är oskäligt att ta ut sanktionsavgift.

Vidare får sanktionsavgift inte tas ut:

  • Om vite förelagts och ska utdömas. 

Dessa är allmänna villkor från direktivet, vilket betyder att medlemsländerna ska hålla sig till dem, men de mer specifika reglerna kring sanktioner tar varje medlemsland fram. Medlemsländer ska till kommissionen senast anmäla de bestämda reglerna om sanktioner senast den 17 januari 2025.

Tillsyn

Precis som i det tidigare NIS-direktivet kräver NIS2-direktivet att tillsyn ska ske över det omfattade entiteterna. Medlemsländer behöver därför utse tillsynsmyndigheter där de behöver säkerställa och kontroller att entiteter de är ansvariga över i sektorn, efterlever de krav som direktivet uppställer.

  • För väsentliga entiteter ska efterlevandskontrollåtgärder utföras proaktivt.

  • För viktiga entiteter utförs det i stället reaktivt. Vilket innebär att efterlevandskontrollåtgärden sker till exempel, när tillsynsmyndigheten får bevis, indikator på eller information om att en entitet har underlåtit att fullgöra de krav som denne åläggs i enlighet med NIS2-direktivet.

Nationell kontaktpunkt

En av direktivets tillvägagångsätt för att uppnå sitt mål är att effektivisera och öka samarbetet mellan medlemsländerna gällande säkerheten. Därför ställer direktivet krav på att varje medlemsland ska utse en nationell kontaktpunkt bestående av myndigheter. Denna kontaktpunkt ska ha till i uppgift att samordna frågor angående:

  • Säkerhet i nätverks- och informationssystem,

  • Gränsöverskridande samarbete på unionsnivå.

Varje medlemsland ska även utse en CSIRT (Computer Security Incident Responds Team), vilket i Sverige har MSB denna roll. CSIRT från varje medlemsland ska ingå i ett CSIRT-nätverk där tanken är att dessa CSIRT-enheter ska kunna utbyta information och på så sätt samarbeta.

Enisa som är European Union Agency for Cyber Security kommer även får en större roll inom NIS2-direktivet. Enisa ska bland annat övervaka och analysera medlemsländerna riktlinjer för cyberhygien, samt i samarbete med kommissionen och samarbetsgrupper mottaga rapport om cybersäkerhetssituationen i unionen, som ska sedan lämnas in till europaparlamentet.

Översyn

Översyn kommer också att göras på NIS2-direktivet. Det var bland annat genom översynen från det tidigare NIS-direktivet som avgjorde att NIS2 behövdes. För NIS2 kommer översynen att ske senast den 17 oktober 2027, för att se att detta direktiv fungerar enligt dess syfte. Översynen rapporteras till europaparlamentet och rådet.

Vi på Omegapoint kan hjälpa er

Vi på Omegapoint hjälper er gärna kring era frågor och arbeten inför NIS2-direktivet. Genom vår expertis, samt vårt verktyg O.ciso kan vi tillsammans bidra till effektiviserad arbete för er kring de krav som det nya direktivet uppställer. Tveka därför inte att höra av er om ni vill veta mer!

Referens

Direktivet EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet)

I nästa del går vi igenom hur vi på Omegapoint hjälpa er kring NIS2-direktivet.

Ann Cheng

Informationssäkerhetsspecialist på Omegapoint

https://omegapoint.se/
Föregående

Hur kan vi på Omegapoint hjälpa er?

Nästa

Vilka krav ställer NIS2-direktivet?