Det nya NIS 2-direktivet ska ersätta de nuvarande nätverks- och informationssäkerhetsreglerna (NIS-direktivet).
– Tveklöst förblir cybersäkerhet en central utmaning under de kommande åren. Våra ekonomier och medborgare står inför enorma utmaningar. Vi har nu tagit ännu ett steg för att förbättra vår förmåga att motverka detta hot, säger Ivan Bartoš, Tjeckiens vice premiärminister med ansvar för digitalisering och minister för regional utveckling.
NIS 2-direktivet utgör basen för riskhanteringsåtgärder och rapporteringskrav på cyberområdet i alla sektorer som omfattas av direktivet, såsom energi, transport, hälso- och sjukvård samt digital infrastruktur.
Syftet med det reviderade direktivet är att harmonisera de olika medlemsländernas cybersäkerhetskrav och tillämpning av cybersäkerhetsåtgärder. Därför fastställs miniminivåer för ett regelverk och mekanismer för ett effektivt samarbete mellan de berörda myndigheterna i varje medlemsland. Förteckningen över sektorer och verksamhet som omfattas av cybersäkerhetsskyldigheter uppdateras, och korrigerande åtgärder och sanktioner föreskrivs för att garantera att lagstiftningen följs.
Genom direktivet inrättas formellt Europeiska kontaktnätverket för cyberkriser (EU-CyCLONe), som ska bidra till en samordnad hantering av storskaliga cyberincidenter och -kriser.
Enligt det gamla NIS-direktivet var det medlemsländerna som bestämde vilka entiteter som uppfyllde kriterierna för att anses vara leverantörer av samhällsviktiga tjänster. Genom det nya NIS 2-direktivet införs en storleksbaserad allmän regel för identifiering av reglerade entiteter. Detta innebär att alla medelstora och stora entiteter som verkar inom de sektorer eller tillhandahåller de tjänster som omfattas av direktivet täcks av dess tillämpningsområde.
Denna allmänna regel bibehålls i det reviderade direktivet. Texten innehåller också ytterligare bestämmelser för att garantera proportionalitet, en högre nivå av riskhantering och tydliga kritiska kriterier så att nationella myndigheter kan fastställa ytterligare entiteter som omfattas.
I texten klargörs också att direktivet inte är tillämpligt på entiteter med verksamhet inom områden som försvar eller nationell säkerhet, allmän säkerhet och brottsbekämpning. Rättsväsende, parlament och centralbanker omfattas inte heller av direktivet.
NIS2 kommer också att gälla för offentliga förvaltningar på central och regional nivå. Dessutom får medlemsländerna besluta att direktivet ska gälla även för sådana entiteter på lokal nivå.