Trots att Sverige ännu inte har infört EU:s nya cybersäkerhetsdirektiv NIS2 i nationell lag, har vissa företag redan börjat omfattas av de nya reglerna. Den 18 oktober var deadline för införandet, men arbetet med att anpassa svensk lagstiftning pågår fortfarande och förväntas vara klart först nästa år. Post- och telestyrelsen (PTS) meddelade dock nyligen att företag inom infrastrukturtjänster måste börja följa direktivets krav från och med den 7 november. Detta gäller bland annat leverantörer av DNS-tjänster, toppdomänregistrering, molntjänster, marknadsplatser online och sökmotorer.
Orsaken till att dessa företag måste följa NIS2 innan den svenska lagen är på plats beror på att de redan omfattas av det tidigare NIS-direktivet. Maria Wiberg, jurist på PTS, förklarar att EU-rätten har företräde, vilket innebär att NIS2-direktivets regler måste börja tillämpas redan nu. Wiberg betonar vikten för dessa företag att sätta sig in i NIS2:s krav för att undvika regelöverträdelser, då den nya regleringen redan är i kraft på EU-nivå.
NIS2 innebär en utökning jämfört med tidigare och omfattar fler sektorer, inklusive områden som sjukvård, vattenförsörjning, energi och transport. Nytt för NIS2 är att även offentlig kommunikation, avfallshantering, läkemedelstillverkning, livsmedelsförsörjning, sociala nätverk och offentlig förvaltning omfattas av reglerna. Det här innebär att fler verksamheter nu berörs av skärpta säkerhetskrav för att skydda samhällsviktiga tjänster mot cyberhot.