Jan Bryme | Advokatbyrå AB

Rapport – Att använda ISO/IEC 27001 som stöd för DORA

Jan Bryme — Sun, 24 Nov 2024 11:56:48 +0000

Använder din organisation ISO/IEC 27001 och lyder under EU-förordningen DORA (Digital Operational Resilience Act)?

Vänligen läs Veriscan Security Sweden ABs rapport om hur ISO/IEC 27001 kan användas som stöd för DORA – en rapport som framtagits i samarbete med Bryme Advokatbyrå, och är en generell principiell översikt för att ge en grundläggande insikt.

Rapporten går att läsa här.

The post Rapport – Att använda ISO/IEC 27001 som stöd för DORA first appeared on Jan Bryme | Advokatbyrå AB.

Cybersäkerhet och NIS2: EUs Genomförandeförordning gäller nu

Jan Bryme — Sun, 24 Nov 2024 09:32:06 +0000

Post- och telestyrelsen (PTS) har publicerat ett förtydligande om rättsläget vad gäller NIS2 mot bakgrund av att den kommande cybersäkerhetslagen är försenad och inte börjar gälla förrän under 2025, trots att NIS2-direktivet skulle ha implementerats i svensk lag den 18 oktober 2024. Kontentan är att vissa EU-regler på området kommer att gälla redan nu:

(följande är hämtat från https://pts.se/internet-och-telefoni/central-lagstiftning2/informationssakerhet-for-samhallsviktiga-och-digitala-tjanster-nis/nis2-eu-regler-for-cybersakerhet/vad-galler-innan-nis2-direktivet-har-genomforts-i-svensk-ratt/)

NIS2-direktivet påverkar tolkningen av nuvarande NIS-lag

Den 18 oktober 2024 skulle NIS2-direktivet vara genomfört i nationell lagstiftning. Enligt SOU 2024:18 (Nya regler om cybersäkerhet – Regeringen.se) finns ett förslag på en ny cybersäkerhetslag som ska genomföra NIS2-direktivet i svensk rätt och ersätta den nu gällande NIS-lagen. I Sverige, liksom i många andra EU-länder, pågår dock fortfarande lagstiftningsarbetet och cybersäkerhetslagen kommer inte träda i kraft förrän tidigast under 2025.

Den 18 oktober 2024 publicerade EU-kommissionen en så kallad genomförandeförordning, som specificerar NIS2-direktivets krav på riskhanteringsåtgärder och incidentrapporteringskrav för vissa verksamhetsutövare. Dessa regler börjar gälla den 7 november 2024.

Verksamhetsutövare bedöms påverkas i olika utsträckning

PTS bedömning kring vad som principiellt gäller under övergångsperioden (dvs. 18 oktober 2024 till och med det datum cybersäkerhetslagen träder ikraft) för de verksamhetsutövare som omfattas av NIS2-direktivet och förslaget till cybersäkerhetslag är följande.

Verksamhetsutövare som omfattas av NIS-lagen

Verksamhetsutövare som omfattas av skyldigheter enligt NIS-lagen måste även i fortsättningen uppfylla motsvarande skyldigheter i NIS2-direktivet och NIS2-genomförandeförordningen. Under övergångsperioden gäller att nuvarande bestämmelser i NIS-lagen måste beaktas och tolkas i ljuset av den nya EU-lagstiftningen (NIS2-direktivet).

Det finns mer detaljerade regler kring riskhanteringsåtgärder och incidentrapportering i artikel 21 i NIS2-direktivet och i ovannämnda genomförandeförordning. Till stor del är grunderna desamma: verksamhetsutövare ska vidta åtgärder för att hantera riskerna i de tjänster som tillhandahålls, och rapportera incidenter. Det finns dock tydligare detaljer i nämnda bestämmelser om exakt vad detta innebär, varför verksamhetsutövare bör fortsätta arbetet med övergången till de nya reglerna.

Verksamhetsutövare som omfattas av NIS-lagen och genomförandeförordningen

Fem typer av verksamhetsutövare träffas av och behöver beakta genomförandeförordningen redan den 7 november 2024. Detta eftersom den nuvarande nationella lagstiftningen kommer att tolkas i ljuset av ny EU-reglering. Dessa är leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av marknadsplatser online och leverantörer av sökmotorer, vilka sedan tidigare är reglerade enligt den svenska NIS-lagen.

MSB ansvarar för att motta incidenter enligt nuvarande reglering och kan svara på frågor kring uppdaterade regler om incidentrapportering med anledning av genomförandeförordningen (NIS2-CER@msb.se).

Verksamhetsutövare som inte omfattas av NIS-lagen men av NIS2-direktivet

Datacentraltjänster, nätverk för leverans av innehåll, plattformar för sociala nätverkstjänster, förvaltning av IKT-tjänster, rymden och post och budtjänster som inte omfattas av skyldigheter enligt NIS-lagen omfattas inte heller av skyldigheter enligt NIS2-direktivet innan Sverige genomfört NIS2-direktivet (dvs. när cybersäkerhetslagen träder i kraft). Dessa verksamhetsutövare bör emellertid fortsätta arbetet med att förbereda sin verksamhet inför ikraftträdandet av cybersäkerhetslagen.

The post Cybersäkerhet och NIS2: EUs Genomförandeförordning gäller nu first appeared on Jan Bryme | Advokatbyrå AB.

Bryme Advokatbyrå samarbetar med Veriscan Security Sweden AB

Jan Bryme — Tue, 05 Nov 2024 07:24:37 +0000

Cyber- och informationssäkerhet för en organisation får allt fler legala dimensioner, men ett robust säkerhetsarbete kräver expertis inom just cyber-/informationssäkerhet. Bryme Advokatbyrå samarbetar med Veriscan Security Sweden AB för att kunna erbjuda våra klienter även den kompetensen.

Men det omvända gäller också, att när en organisation söker expertis inom cyber-/informationssäkerhet måste den också förstå de legala aspekterna, vilket Bryme Advokatbyrå bidrar till. Tillsammans arbetar vi därför för att utbyta erfarenheter och dela kunskaper, och genom samarbetet delas insikter och bästa praxis för att stärka vår förmåga att leverera värdefulla lösningar till våra kunder och klienter. Under 2024 har samarbetet fortgått och vi har bland annat framtagit en rapport om att använda ISO/IEC 27001 som stöd för DORA som kommer publiceras inom kort. Vi ser fram emot det fortsatta samarbetet med Veriscan!

Se mer om Veriscan Security Sweden AB: https://www.veriscan.se/

The post Bryme Advokatbyrå samarbetar med Veriscan Security Sweden AB first appeared on Jan Bryme | Advokatbyrå AB.

EU:s Digital Decade och lagstiftning för cybersäkerhet och digitalisering

Jan Bryme — Mon, 10 Jun 2024 12:00:49 +0000

Framöver kommer jag på den här sidan att fokusera på legala nyheter inom cybersäkerhet och artificiell intelligens, men först lite om bakgrunden – det större sammanhanget, nämligen EU:s ”Digital Decade”.

Digital Decade är en vision och plan som syftar till att väsentligt förbättra digital infrastruktur, färdigheter och tjänster i hela Europa fram till år 2030.

Programmet innehåller fyra huvudmål:

Digital infrastruktur: Säkerställa att alla EU-medborgare har tillgång till gigabitanslutningar och att alla viktiga områden är täckta av 5G-nätverk.
Digitala färdigheter: Minst 80% av alla vuxna i EU ska ha grundläggande digitala färdigheter och att det ska finnas 20 miljoner sysselsatta IT-specialister i EU.
Digitalisering av företag: Öka antalet små och medelstora företag som använder digitala teknologier, med ett specifikt mål att minst 75% av företagen ska använda molntjänster, big data och AI.
Digitala offentliga tjänster: Målet är att 100% av de viktiga offentliga tjänsterna ska vara tillgängliga online, och att alla medborgare ska ha tillgång till sina elektroniska medicinska journaler.

För att stödja dessa mål har EU planerat olika åtgärder, inklusive investeringar i digital infrastruktur och forskning, utveckling av en digital policy och lagstiftning som syftar till att uppmuntra digital innovation och samtidigt som man vill prioritera dataskydd och användarsäkerhet.

Lagstiftning utgör ett viktigt instrument för att uppnå målen. Här har vi bl a:

Digital Services Act (DSA)

Syftet med denna förordning är att skapa en säkrare digital miljö där användarnas rättigheter skyddas och plattformars ansvar tydliggörs. Den är en uppdatering av e-handelsdirektivet från 2000 och omfattar alla digitala tjänster som förmedlar varor, tjänster eller innehåll till konsumenter, inklusive sociala medier, online-marknadsplatser och andra onlineplattformar.

DSA är designad att fungera tillsammans med Digital Markets Act (DMA) för att reglera stora onlineplattformar och marknader, för att främja en mer rättvis, transparent och säker digital marknad inom EU.

Digital Markets Act (DMA)

Den här lagstiftningsprodukten inriktar sig på att reglera de största och mest inflytelserika digitala plattformarna, ”gatekeepers”, i syfte att främja rättvis konkurrens och innovation.

European Digital Rights and Principles

Den Europeiska digitala rättighetsdeklarationen är ett initiativ för att stärka och skydda grundläggande individuella rättigheter i den digitala eran. Den är också en del av EU:s övergripande Digital Compass-strategi.

Data Governance Act (DGA)

Medan GDPR reglerar hur personuppgifter får samlas in, användas och skyddas, skapar DGA en strukturerad ram för hur data kan delas säkert, inklusive personuppgifter under specifika omständigheter.

AI Act

AI-förordningen riktar in sig på att skapa en reglerad miljö för utvecklingen och användningen av artificiell intelligens inom EU. Regelverket syftar till att främja innovation och förtroende inom AI-teknologi, samtidigt som det ska utgöra ett skydd för medborgarnas rättigheter och säkerhet.

För att uppnå målen med Digital Decade spelar cybersäkerhet en mycket viktig roll. Centrala delar i lagstiftningen på cybersäkerhetsområdet är:

NIS 2-direktivet

Detta direktiv är en uppdatering av det ursprungliga Nätverks- och Informationssäkerhetsdirektivet (NIS), som stärker och breddar EU:s krav på cybersäkerhet till att omfatta fler sektorer och typer av enheter. Det för med sig ökade skyldigheter för både offentliga och privata aktörer inom viktiga sektorer som energi, transport, hälsa och digital infrastruktur att vidta åtgärder för att skydda sina nätverk och informationssystem.

Digital Operational Resilience ACT (DORA)

DORA-förordningen syftar till att bidra med en ökad digital operativ motståndskraft inom EU:s finanssektor. Den trädde i kraft den 16 januari 2023 och börjar gälla den 17 januari 2025. Den kommer att vara bindande för samtliga EUs medlemsländer.

Critical Entities Resilience Directive (CER)

Direktivet om resiliens för kritiska enheter (CER) är ett EU-direktiv som syftar till att stärka motståndskraften hos kritisk infrastruktur i medlemsstaterna. Det fokuserar på att säkerställa att viktiga tjänster, såsom energi, transport, hälsa och digital infrastruktur, kan motstå och återhämta sig från olika risker, inklusive naturkatastrofer, terrorism och cyberattacker.

Cybersecurity Act

Den här förordningen trädde i kraft 2019 och innebar inrättandet av en permanent och förstärkt ram för Europeiska unionens byrå för nät- och informationssäkerhet (ENISA) och ett EU-omfattande system för cybersäkerhetscertifiering.

Cyber Resiliance Act (CRA)

CRA är ett förslag till EU-förordning som syftar till att stärka cybersäkerheten för produkter med digitala element. Förslaget godkändes av EU-parlamentet den 12 mars i år och man väntar för närvarande på det formella godkännandet av rådet.

I det följande kommer alltså fokus att ligga på utvalda legala nyheter inom cybersäkerhet och AI.

The post EU:s Digital Decade och lagstiftning för cybersäkerhet och digitalisering first appeared on Jan Bryme | Advokatbyrå AB.