Samspel mellan lagar och EU-initiativ

Översikt över relaterade lagar, EU-initiativ och svenska regelverk som påverkar cybersäkerhet, informationssäkerhet och kritisk infrastruktur. 

Cybersäkerhetslagen och NIS2-direktivet existerar inte i ett vakuum. De är en del av en bredare europeisk och nationell strategi för att säkra det digitala och fysiska samhället. Här är de viktigaste regelverken som samverkar med den nya lagstiftningen:

1. CER-direktivet (Critical Entities Resilience)

Där NIS2 fokuserar på den digitala säkerheten, fokuserar CER på den fysiska motståndskraften hos kritiska entiteter. Det handlar om skydd mot naturkatastrofer, terrorism eller sabotage.

• Samspel: Verksamheter som identifieras som kritiska enligt CER kommer i de flesta fall även att omfattas av NIS2 för sin cybersäkerhet. Dessa två direktiv ska implementeras parallellt för att skapa ett heltäckande skydd.

2. DORA-förordningen (Digital Operative Resilience Act)

DORA är en speciallagstiftning för finanssektorn. Den trädde i kraft den 17 januari 2025 och ställer mycket specifika krav på banker, försäkringsbolag och deras IT-tjänsteleverantörer.

• Samspel: Enligt principen om lex specialis (speciallag går före allmän lag) ersätter DORA de flesta kraven i NIS2 för finanssektorn. Om du omfattas av DORA, uppfyller du i regel kraven för cybersäkerhet genom att följa denna förordning.

3. DSA & DMA (Digital Services Act / Digital Markets Act)

Dessa reglerar främst innehåll och konkurrens på digitala plattformar.

• DSA: Handlar om ansvar för olagligt innehåll och transparens för användare.

• DMA: Säkerställer rättvisa och öppna digitala marknader genom att begränsa "grindvakters" (stora techbolag) makt.

• Samspel: Medan NIS2 skyddar infrastrukturen bakom tjänsterna, reglerar DSA/DMA hur tjänsterna får bete sig mot användare och konkurrenter.

4. Säkerhetsskyddslagen (Svensk lagstiftning)

Den svenska säkerhetsskyddslagen gäller för verksamheter som är av betydelse för Sveriges nationella säkerhet eller som omfattas av internationella säkerhetsskyddsåtaganden.

• Samspel: Det finns en viktig gränsdragning här. Om en verksamhet omfattas av säkerhetsskyddslagen, kan den vara undantagen från vissa delar av cybersäkerhetslagen för att undvika dubbelreglering, då kraven i säkerhetsskyddslagen ofta är ännu strängare.

5. AI-akten (Artificial Intelligence Act)

Som ett nyare tillskott reglerar AI-akten användningen av artificiell intelligens baserat på risknivå.

• Samspel: Organisationer som använder AI-system i kritiska processer (enligt NIS2) måste se till att dessa system både är säkra enligt cybersäkerhetskraven och etiskt korrekta enligt AI-akten.

Observera: Innehållet är vägledande och inte juridisk rådgivning.