Skip to content
  • Prenumerera på Inköpsrådets nyhetsbrev
Inköpsrådet
  • Ämnen
    • EU-domstolen
    • Hyresundantaget
    • Kvalificering
    • Likabehandlingsprincipen
    • Processregler
    • Ramavtal
    • Sekretess
    • Upphandlingsskadeavgift
  • Karriär
    • Lediga jobb
    • Lönestatistik
    • Rekrytera smart med Inköpsrådet
  • Utbildning
  • Konferenser
  • Annonsera
    • Annonsera
    • Platsannonsera
  • Om oss
    • Kontakta oss
    • Integritetsspolicy

Nis2 ställer nya krav på upphandlare

Nis2-direktivet ska bli svensk lag senast den 18 oktober 2024 och innebär krav som direkt påverkar alla it-upphandlingar, skriver Liv Zettergren, bolagsjurist, och Åsa Edman, chefsjurist, på Adda.

| 2024-03-06
Liv Zettergren, bolagsjurist, och Åsa Edman, chefsjurist, på Adda.

Ni har nog inte missat ransomware-attacken som Tietoevry och dess kunder blivit utsatta för under början av året. Antagligen blev några av er påverkade av attacken som tvingade ett av Sveriges största lönesystem till nedstängning. Listan av drabbade organisationer var lång, däribland Sveriges riksdag.

I dagspressen anför Tietoevry tech services att det är kunderna som måste bedöma hur kritiska deras verksamheter är och utifrån det besluta vilken nivå av säkerhet som de köper in.

Där är intressant, särskilt mot bakgrund av förändringarna i det så kallade. Nis-regelverket. Nis1-direktivet har efter en översyn inom ramen för EU:s cybersäkerhetsstrategi ersatts av Nis2-direktivet.

Nis reglerar informationssäkerhet för samhällsviktiga och digitala tjänster

Det äldre Nis-direktivet beslutades 2016 och infördes i juni 2018 genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

I Nis-lagen finns bestämmelser om systematiskt informationssäkerhetsarbete, årliga riskanalyser och åtgärdsplaner, tekniska och organisatoriska säkerhetsåtgärder, incidenthantering och incidentrapportering. Allt för att skydda de informationssystem som används av verksamheter i sektorer som definierats som samhällsviktiga.

De verksamheter som berörs av den gällande Nis-lagen är leverantörer av tjänster inom sektorerna energi, transport, bank, finansmarknad, hälso- och sjukvård, dricksvatten samt digital infrastruktur. Vidare omfattas leverantörer av digitala tjänster som exempelvis webbaserade marknadsplatser, sökmotorer och molntjänster (med etableringsställe i Sverige och en årsomsättning över tio miljoner euro eller fler än 50 anställda).

Fler verksamheter omfattas av Nis2
Nis2 ska vara implementerat och klart i Sverige senast den 18 oktober. Med det nya direktivet utökas informationssäkerhetskraven till att även omfatta offentlig förvaltning i landets myndigheter, regioner och kommuner.

Exakt var gränserna går får vi förhoppningsvis reda på i regeringens utredning som blir klar inom kort. (Tillägg: utredningen är nu publicerad och återfinns här.) Men redan nu kan vi konstatera att kunskaperna om informationssäkerhet behöver förstärkas markant, inte minst bland upphandlare.

Kommuner har hittills, enligt nuvarande Nis1, varit mottagare av samhällsviktiga tjänster (förutom i fråga om vatten och energi där man är ansvarig utförare). I övrigt är det leverantörerna av dessa tjänster som har haft det lagstadgade ansvaret för riskhanteringsåtgärder i de system som används. Därför har inte ”Nis-krav” behövt ställas i upphandling.

Snart måste dock kommunerna själva klara av att hantera riskerna kopplade till säkerheten i sina nätverks- och informationssystem eftersom de i princip blir leverantörer av samhällsviktig verksamhet enligt Nis2. Om driften läggs ut på entreprenad behöver  kommunerna försäkra sig om att relevanta krav ställs i upphandlingen.

För att vägleda de samhällsviktiga verksamheterna (”entiteterna”) har EU i Nis2 bjudit på en lista med minimikrav. Förutom de gamla vanliga informationssäkerhetskraven på exempelvis incidenthantering, kryptering och åtkomstkontroll så finns bland minimikraven ”säkerhet i leveranskedjan, inbegripet säkerhetsaspekter som rör förbindelserna mellan varje entitet [kommun/region] och dess direkta leverantörer eller tjänsteleverantörer”. 

Vad betyder det? Vi hänvisar återigen till regeringens pågående utredning och de kommande föreskrifterna.

För den upphandlande organisationen är det värt att reflektera kring de ekonomiska aspekterna av de nya säkerhetskraven, det vill säga när kommuner och regioner behöver köpa in tjänster av leverantörer som inte själva träffas direkt av regelverket. Hur gör vi med det?

Kommer leverantören självmant ta på sig ansvaret för de kanske kostsamma säkerhetsåtgärderna? Om så inte är fallet blir det en fråga för avtalet. Enligt Nis1 ska en sådan utredning ha gjorts av leverantörerna själva. De har nämligen varit skyldiga att tillämpa MSB:s föreskrifter (2021:9) om anmälan och identifiering av leverantörer av samhällsviktiga tjänster.

Exempelvis har leverantörer inom dricksvatten betraktats som samhällsviktiga om de tillhandahållit vattentjänster till minst 20 000 personer eller till ett akutsjukhus. Hur bedömning görs och vem som kommer att ansvara för den efter den 18 oktober återstår att se.

Åter till hackerattacken som drabbade lönesystemet Primula, vem är ansvarig? Ja, om Primula är en molntjänst enligt definitionen i gällande Nis-regelverk, ansvarar Tietoevry själv för säkerheten.

Uppfylls inte kriterierna i definitionen får man söka svaret i avtalet. Kanske har då Tietoevry rätt i att det är upp till kunderna att själva ”välja” säkerhetsnivå? Möjligen spelar den valda nivån ingen roll i sammanhanget eftersom Tietoevry inte tycks veta hur hackarna tagit sig in eller riktigt vad som hänt (DN 2024-02-11).

En sak som är förhållandevis säker är att kommunen, regionen eller myndigheten blir ansvarig för säkerheten i sina informationssystem när Nis2 träder i kraft. Och inte nog med det. Precis som med GDPR kommer det nya direktivet med sanktioner, tillsyn och ett strängare ledningsansvar.

Vi vill därför redan nu uppmana upphandlaren till att beakta MSB:s föreskrifter och vägledande dokument om Nis1. De materiella reglerna kommer inte att skilja sig åt markant mellan direktiven, utan det är främst nyheterna om de utökade verksamheterna och ansvarsfrågan som kommer att påverka upphandlingen.

Liv Zettergren
Bolagsjurist
Åsa Edman
Chefsjurist
Adda

Texten uppdaterades 2024-03-06 16:30 med information om att NIs2-betänkandet är publicerat.

 

 

 

Läs mer: Upphandling

Kommentatorerna ansvarar för sina egna kommentarer

En kommentar på “Nis2 ställer nya krav på upphandlare”

  1. GUP skriver:
    2024-03-07 kl. 10:27

    Jag tror många organisationer skulle vara betjänta av ett tydligare arbete kring ledning och styrning av sitt informationssäkerhetsarbete. Många gånger är min erfarenhet att ledningen inte förstår skillnaden mellan IT-säkerhet, informationssäkerhet och GDPR. Upphandlaren ska definitivt vara bevandrad i vilka kravområden som är relevanta för det specifika inköpet (i detta fall NIS1/2) men ska i den bästa av världar ha interna kravställare inom varje område. Inom informationssäkerhetsområdet finns ett oroväckande stort jobb att göra.

    Svara

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler artiklar

Lediga jobb

Upphandlingsjurister till Statens inköpscentral på Kammarkollegiet

Svenska Bostäder söker entreprenadupphandlare

Avtalscontroller inom välfärdsbrottslighet till Sollentuna kommun

  • Rekrytera rätt kompetens med Inköpsrådet
ANNONS FRÅN UPPHANDLING24

Pernilla Norman

Kursen gör SUA begripligt

Anna David, upphandlare vid Jönköping Energi, rekommenderar alla som upphandlar något skyddsvärt att gå utbildningen Säkerhetsskyddad upphandling:
– Kursen är jättebra, pedagogisk, lätt att förstå och följa, säger Anna David.

Förslag 2: Gör teckal-undantaget mer lättlästFörslag 2: Gör teckal-undantaget mer lättläst
Hur allvarligt fel krävs för uteslutning?Hur allvarligt fel krävs för uteslutning?
Så ändras överprövnings- och skadeståndsreglernaSå ändras överprövnings- och skadeståndsreglerna
Avsteg från centralt villkor medförde upphandlingsskadeavgiftAvsteg från centralt villkor medförde upphandlingsskadeavgift
Ny vägledning för att hantera leverantörer utanför EUNy vägledning för att hantera leverantörer utanför EU
Misstanke om jäv räcker inte för att avbrytaMisstanke om jäv räcker inte för att avbryta
Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skälFörslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Krävs mer än spekulationer för utredningsansvarKrävs mer än spekulationer för utredningsansvar

Nytt från Upphandling24

  • UKÄ tvingas böta 90 000
  • Tveksamt asfaltsköp på Åland
  • Kvinnor dominerar växande kår
  • Falkenberg rekryterar dubbelt
  • Mot nollutsläpp med nya grepp
  • Livsmedelsupphandlare med många järn i elden
  • Pionjär inom cirkulära förkläden

Kommentarer från läsarna

Andreas : Hur allvarligt fel krävs för uteslutning?
Någon som har målnummer på kammarrättspraxis angående de fakultativa grunderna och att man kan välja tillämpning där? Hade missat det.
Upphandlare : Hur allvarligt fel krävs för uteslutning?
En fråga till författarna med anledning av analysens första stycke. Skulle det alltså vara ok att UM behåller valfriheten att…
Mikael Johansson : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Tack för att du lyfter detta. Det borde rimligtvis bli större möjligheter att använda det alla fall. Jobbade med LUF…
Anna : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag är helt med på Davids linje att genomföra förhandlat förfarande i ett steg. Jag har även kombinerat konkurrenspräglad dialog…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Håller helt med! Jag har genomfört förhandlade förfaranden i ett steg och så länge ingen lider skada ser jag inget…
David Sundgren : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Ja, men vad är det som hindrar att anbuden justeras efter ett anbudsmöte i ett öppet förfarande om inga obligatoriska…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Precis! Kostnader, såsom transaktionskostnader, måste som du är inne på alltid vägas mot nyttan. Min uppfattning är dock att det…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Intressanta reflektioner. Jag har dock lite svårt att se att risken för oproportionerligt ökad favorisering och korruption skulle vara större…
Undrande upphandlare : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Jag har personligen alltid under alla år jag har jobbat med detta (ca 20) undrat över varför ett förhandlat förfarande…
Kristian Pedersen : Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
Det stämmer att anbudspresentationer och andra typer av möten kan genomföras även i exempelvis öppna förfaranden, men några förhandlingar får…

Senaste inläggen

  • Förslag 2: Gör teckal-undantaget mer lättläst
  • Hur allvarligt fel krävs för uteslutning?
  • Så ändras överprövnings- och skadeståndsreglerna
  • Avsteg från centralt villkor medförde upphandlingsskadeavgift
  • Ny vägledning för att hantera leverantörer utanför EU
  • Misstanke om jäv räcker inte för att avbryta
  • Förslag 1: Förhandlat förfarande bör tillåtas utan angivna skäl
  • Krävs mer än spekulationer för utredningsansvar
  • Ogiltigt, oacceptabelt, olämpligt – en orimlig (o)ordning?
  • Advokatbyråns 15 förbättringsförslag
  • Oklara omständigheter för preklusionsregler
  • Upphandlingsrättsliga föreningen firade 15 år
  • Annika är upphandlingsjuristen som inte ville bli jurist
  • Allvarligt fel när vd begått brott
  • Fel att förkasta anbud som onormalt lågt

Aktuella utbildningar

Delta på distans eller på plats i Stockholm. Valet är ditt.

  • Säkerhetsskyddad upphandling | 14 maj
  • Kvalificerad entreprenad­upphandlare | 22-23 oktober
  • Ramavtal – fördjupningskurs | 6 november
  • Kvalificerad IT-upphandlare | 12-13 november
  • Leda upphandlingar effektivt | 20 november
  • Entreprenadupphandling och AMA AF | 25 november
  • LOU på två dagar | 2-3 december
  • Kvalificerad IT-upphandlare – Steg 2 praktisk tillämpning | Hösten 2025
  • Få fart på er avtals­förvaltning | Hösten 2025