Ledningens förberedelser inför ny säkerhetslagstiftning 2025
För att underlätta implementering och skapa förutsättningar för myndigheternas effektiva resursutnyttjande, har eSams arbetsgrupp för NIS2 och CER-direktiven, tagit fram ett stöd för ledningen.
Sammanfattning
Knappt hälften av svenska myndigheter lever upp till det nuvarande regelverket för strategiskt och systematiskt arbete med informationssäkerhet. Enligt mätningen Cybersäkerhetskollen från MSB - Myndigheten för samhällsskydd och beredskap - uppfyller endast fyra av tio myndigheter kraven enligt föreskrifterna MSBFS 2020:6 och 2020:7.
EU har beslutat om förändringar som får stor betydelse för både offentliga och privata aktörer inom säkerhetsområdet. Två direktiv trädde i kraft i oktober 2024 - NIS2 och CER - som syftar till att höja cybersäkerheten och öka motståndskraften i samhällsviktiga tjänster i alla medlemsländer.
NIS2-direktivet ställer krav på åtgärder för en högre lägsta cybersäkerhetsnivå i hela EU. Det innehåller bland annat krav på att ledningen ska genomgå säkerhetsutbildning och risker i digitala leveranskedjor ska hanteras.
CER-direktivet syftar till att stärka kritiska verksamhetsutövares förmåga att upprätthålla samhällsviktiga tjänster på den inre marknaden.
EU:s nya regler påverkar alla statliga myndigheter och kan jämföras med införandet av dataskyddsförordningen, GDPR. En ny lag om cybersäkerhet träder i kraft den 15 januari 2026 och lagen om motståndskraft hos kritiska verksamhetsutövare förväntas träda i kraft tidigast därefter. Föreskrifter och utbildningar för ledningen från MSB lär dröja ytterligare.
Arbetsgruppens bedömning som stöds av MSB, är att nuvarande regelverk för informationssäkerhet fortsätter att vara relevant. Myndigheterna bör därför utgå från MSB:s befintliga föreskrifter, vägledningar och stöd. Analys av regeringens lagrådsremiss från juni 2025 gällande lag om cybersäkerhet, har inte hunnit analyseras av arbetsgruppen i denna delrapport. En sådan analys fortsätter till hösten.
Rekommendationer och idag gällande anvisningar till statliga myndigheter från arbetsgruppen
Starta anpassningsarbetet till de nya lagkraven redan nu. Fortsätt att utveckla myndighetens befintliga systematiska arbete med risker och sårbarheter, istället för att starta om från ruta ett.
- Följ upp att ledningen är medveten om ansvaret att säkerställa en verksamhetsanpassad implementation av nya lagkraven, utse ansvariga för förändringsarbetet och identifiera intressenter.
- Besluta om åtgärder, avsätt resurser och dokumentera arbetet i myndighetens ledning.
- Förändringasarbetet på myndigheten analyserar skillnader mellan nuläget och lagkraven samt integrerar utvecklingen av säkerhetsarbetet i myndighetens ordinarie processer.
- Säkerställ att myndigheten följer MSB:s föreskrifter. Det innebär att myndigheten når nivå 3 i Cybersäkerhetskollen eller motsvarande säkerhetsnivå i andra mätverktyg.
- Utbilda och tillhandahåll utbildningar för medarbetarna på den egna myndigheten. enligt de nya kraven.
Förslagsvis kan eSams styrgrupp både vara en arena för stöd i arbetet med att implementera NIS2/CER och en kanal för att etablera eller vidareutveckla ett systematiskt och riskbaserat arbete med informationssäkerhet i myndigheterna.