CSL lagen implementerar det så kallade NIS 2 direktivet och innefattar bland annat företag som bedriver läkemedelsutveckling- och forskning, läkemedelstillverkare samt tillverkare av medicintekniska produkter som anses vara kritiska vid hot mot folkhälsan. Även tillverkning av medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik omfattas av CSL men utgör inte en högkritisk sektor men likväl så kallad annan kritisk sektor.
CSL delar in verksamhetsutövare i två kategorier; viktiga och väsentliga verksamhetsutövare. Båda kategorierna är anmälningspliktiga men skiljer sig åt när det gäller tillsyn och sanktionsnivåer.
För att omfattas av CSL är huvudregeln att företaget ska vara av en viss storlek. Utgångspunkten är att bolaget ska vara åtminstone ett medelstort företag för att vara en viktig verksamhetsutövare under CSL. Ett medelstort företag har färre än 250 anställda och en omsättning på upp till 50 miljoner euro eller en balansomslutning på upp till 43 miljoner euro. Ett litet företag med färre än 50 anställda och en omsättning eller balansomslutning på upp till 10 miljoner euro omfattas som huvudregel inte överhuvudtaget av CSL även om en nödvändig nivå av cybersäkerhet bör uppnås av alla bolag. Gränsbeloppen baseras på senaste räkenskapsår men ett företag ändrar kategori först om förändringar rörande antalet anställda eller årsomsättning och balansomslutning på årsbasis inträffar under två på varandra följande år.
CSL syftar till att säkerställa en hög gemensam nivå av cybersäkerhet för organisationer i samhällsviktiga och andra viktiga sektorer. Det åligger verksamhetsutövaren att säkerställa en nivå på säkerheten i nätverks- och informationssystemen som är lämplig i förhållande till risken, bedömningen ska utgå ifrån ett allriskperspektiv.
CSL ställer krav på säkerhetsåtgärder som åtminstone ska avse bland annat strategier för riskanalys och för nätverks- och informationssystemens säkerhet, incidenthantering, kontinuitetshantering och krishantering, säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna, personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning, och vid behov användning av lösningar för autentisering, säkrade kommunikationer och säkrade nödkommunikationssystem. CSL ställer även krav på att ledningen hos verksamhetsutövarna ska få relevant utbildning i cybersäkerhet.
Myndigheteten för civilt försvar, tidigare Myndigheten för samhällsskydd och beredskap, har en övergripande samordnande roll och den myndighet dit verksamhetsutövare ska anmäla sig till samt rapportera väsentliga incidenter.
För life science-sektorn är Läkemedelsverket den sektorspecifika tillsynsmyndigheten som ansvarar för att övervaka efterlevnaden av CSL hos läkemedels- och medicinteknikföretag. Läkemedelsverket har befogenhet att bland annat genomföra inspektioner och begära information från företag, utfärda förelägganden om åtgärder vid brister och besluta om administrativa sanktionsavgifter vid bristande efterlevnad.
Informationen har sammanställts av Hanna Tilus och Per Hedman på Cirio Advokatbyrå.
