– I grunden är vi positiva till att kraven blir tydligare, framför allt vad gäller tillsynsmyndigheterna, men även för kommuner och regioner. Men det är viktigt att nya uppdrag till kommuner och regioner också får den finansiering som krävs. Här ser vi risker med de nu presenterade förslagen, säger Ola Odebäck, chef för avdelningen för ekonomi och styrning på SKR, i ett pressmeddelande.
Regeringens särskilda utredare har i dag lämnat över ett delbetänkande om förslag på anpassningar av svensk rätt för att EU:s NIS2-direktiv om cybersäkerhet ska kunna genomföras. Delbetänkandet innehåller bland annat förslag om att kommunerna ska omfattas.
SKR ska nu tillsammans med kommuner och regioner analysera förslagen och konsekvenserna av dem. Bland annat de ökade kostnaderna som staten kan komma att lägga på kommunerna.
Flera kommunala sektorer med särskilda krav på informationssäkerhet kommer att bli granskade, därför befarar SKR att kommunerna kommer att behöva förhålla sig till många och eventuellt motsägande regler från olika tillsynsmyndigheter. De framhåller därför betydelsen av att nationella myndigheter har en enhetlig och tydlig styrning för kommuner och regionen att förhålla sig till.
Bakgrund till de nya kraven
• Europaparlamentet och Europeiska rådet antog under 2022 två nya EU-direktiv: Direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet) och direktivet om kritiska entiteters motståndskraft (CER-direktivet).
• Regeringen har därefter gett en särskild utredare uppdrag att föreslå de anpassningar av svensk rätt som är nödvändiga för att NIS2-direktivet och CER-direktivet ska kunna genomföras.
• Den 5 mars lämnade utredaren över sitt delbetänkande avseende hur anpassningen för NIS2-direktivet skulle kunna genomföras.
• EU:s medlemsländer har till den 17 oktober 2024 på sig att införliva NIS2 i nationell lagstiftning.