Utredningen föreslår nämligen att samtliga kommuner i sin helhet ska omfattas av Nis2-direktivet. Utredningen har därmed tagit tillfället i akt och utnyttjat den möjlighet som varje medlemsstat har att sträcka ut direktivet även till myndigheter på lokal nivå.
Om utredningens förslag står sig innebär det att alla statliga myndigheter, regioner och kommuner kommer att omfattas av den kommande cybersäkerhetslagen.
Det innebär i sin tur att samtliga it-system som dessa parter använder därmed även troligtvis kommer att omfattas av de krav som ställs enligt Nis2-direktivet, och i förlängningen av den kommande cybersäkerhetslagen.
Draget till sin spets innebär det att även exempelvis en kommunal utbildningsnämnd behöver inrätta strategier för användning av kryptografi för verksamhetens samtliga nätverks- och informationssystem.
Vad innebär det här då för upphandlingarna? Jo, eftersom Nis2-direktivet ställer krav på att även leveranskedjorna ska tryggas behöver upphandlingsavdelningarna säkerställa att de it-upphandlingar som görs innehåller det underlag som behövs för att uppfylla kraven i Nis2-direktivet.
Även om utredningens förslag i viss mån innebär att fler verksamheter omfattas än vad som kanske hade krävts från EU-nivå, innehåller utredningen även ett antal ljusglimtar. Utredningen anser nämligen att skyldigheten att trygga leveranskedjorna bara avser ett led av leverantörskedjan, alltså i förhållande till den part som myndigheten ingår avtal med direkt.
Det bör i de flesta fall betyda att upphandlarna kan utgå från den sortens kontinuitetskrav och liknande som redan i dagsläget ställs i de flesta it-upphandlingar, när de ser över hur deras upphandlingar behöver anpassas för att uppfylla de framtida kraven.
På motsatt sätt föreslår utredningen att de mycket hårda sanktioner som Nis2-direktivet innehåller lättas upp till viss del. Det blir bland annat inte fråga om ett personligt ansvar på ett fullt lika ingripande sätt som Nis2-direktivet öppnar upp för.
Kommer utredningens förslag att stå sig, när lagen väl träder i kraft? Tja, det beror delvis på vad remissinstanserna har att säga när remisstiden går ut den 28 maj. För den som vill få möjlighet att påverka sina framtida arbetsuppgifter, finns all anledning att komma in med ett remissyttrande!
Viktor Robertson
William Lökke
Kahn Pedersen
Kommentatorerna ansvarar för sina egna kommentarer