BOKA MÖTE

NIS2 - Vad innebär det och vilka verksamheter omfattas av det nya direktivet med målet att gemensamt öka cybersäkerheten inom EU

Med målet att fastställa gemensamma regler och standarder för att säkerställa skyddet av digitala infrastrukturer och tjänster i vårt alltmer digitaliserade samhälle, har EU uppdaterat det tidigare NIS-direktivet till NIS2.

Vad är NIS2?

Det nya direktivet som har skapats för att se till att skyddet ökar, är en uppdaterad version av det tidigare NIS-direktivet från 2018. Tanken bakom uppdateringen är att gemensamt öka cybersäkerheten inom hela EU. Detta ska uppnås genom att fastställa gemensamma regler och standarder för företag och myndigheter som arbetar med samhällsviktiga produkter och tjänster.

Vilka företag omfattas idag av NIS2?

Det nya NIS 2-direktivet omfattar alla stora och medelstora företag som verkar inom samhällskritiska eller viktiga sektorer.

  • Definitionen av stora företag är företag som har fler än 250 anställda eller en årlig omsättning över 50 miljoner euro. 
  • Definitionen av medelstora företag är företag som har mellan 50-249 anställda och/eller en omsättning över 10 miljoner euro.

Det kan också finnas företag som omfattas av direktivet oavsett omsättning eller antal anställda. Vilka dessa undantag är beskrivs närmare i NIS2-direktivet.

Intervju Mifare DESFire

Vad kan NIS2 innebära för din verksamhet?

Den nya omfattningen och de skärpta reglerna innebär att dessa krav kommer att ställas och det nu finns ett system för sanktioner som kan ge böter.

  • En obligatorisk incidentrapportering till myndigheter inom 24 timmar.
  • Ett hårdare sanktionssystem som kan ge böter upp till 10 miljoner euro eller 2 % av den globala omsättningen.
  • Högre krav på säkerhetsåtgärder och hantering av risker.
  • Ett krav på utbildning inom cybersäkerhet. 
  • Högre krav ska ställas på leverantörer och tredjepartsaktörer.

Hur vet man om man arbetar i en väsentlig eller viktig enhet som omfattas av NIS 2-direktivet?

Direktivet delar in företag och organisationer i två huvudkategorier: väsentliga och viktiga enheter. Vad kännetecknar då varje grupp.

Väsentliga enheter omfattas av de mest strikta kraven på cybersäkerhet. Dessa företag eller organisationer erbjuder tjänster som är avgörande för att samhället ska fungera, exempelvis finansiella tjänster, sjukvård eller leverantörer av energi.

Viktiga enheter har mindre strikta krav på cybersäkerhet, men de måste också följa NIS 2-direktivet. Dessa företag eller organisationer erbjuder tjänster och produkter som inte är lika kritiska, men som ändå har avsevärd påverkan på samhället. Viktiga enheter kan till exempel vara digitala leverantörer, livsmedelsproduktion eller posthantering. 

Här nedan går vi i korta drag igenom vilka sektorer som ingår i varje kategori.

Exempel på branscher som tillhör väsentliga enheter

  • Energi
  • Bank och finans
  • Transport
  • Hälsa och sjukvård
  • Vatten och avlopp
  • Digital infrastruktur och IT
  • Offentlig förvaltning
  • Rymdverksamhet


Exempel på branscher som tillhör viktiga enheter

  • Post- och budtjänster
  • Avfallshantering
  • Produktion och distribution av livsmedel
  • Produktion och distribution av kemikalier
  • Tillverkning av maskiner, motorfordon och transportutrustning eller produktion av medicinska och diagnostiska apparater med mera.
  • Digitala leverantörer som tillhandahåller exempelvis sökmotorer

Vanliga frågor om NIS2

Är man som företag skyldig att själv kontrollera om man omfattas av NIS2?

Ja, det är företagen själva som är skyldiga att kontrollera om de omfattas av NIS2-direktivet och den svenska cybersäkerhetslagen. Ansvaret ligger på varje enskild verksamhet.

Vad händer om man inte kontrollerar?

I de fall som en verksamhet omfattas men inte lever upp till kraven kan det leda till mycket kännbara böter. För väsentliga enheter kan sanktionerna uppgå till 10 miljoner euro eller 2 procent av den globala årsomsättningen.

Vad innebär koncernansvar när det gäller NIS2?

Även dotterbolag som inte når upp till tröskelvärdena för storlek själva kan omfattas av direktivet om de ingår i en koncern där moderbolaget uppfyller kraven som ställs.

Slutsats

Den nya omfattningen och de skärpta reglerna i NIS2 innebär att högre krav kommer att ställas på företag och organisationer som omfattas av direktivet och att det nu finns ett system för sanktioner som kan ge böter.

Med målet att fastställa gemensamma regler och standarder för att säkerställa skyddet av digitala infrastrukturer och tjänster i vårt alltmer digitaliserade samhälle har EU uppdaterat det tidigare NIS-direktivet. I praktiken innebär NIS2 nya gemensamma regler och standarder för företag och myndigheter som arbetar med samhällsviktiga produkter och tjänster, med syfte att öka cybersäkerheten inom hela EU.

Några av våra produkter som hjälper er efterleva NIS2 är:

Vill du veta mer om hur vi kan bidra till efterlevnaden av NIS2 i just din verksamhet? Kontakta oss idag så hjälper vi dig att hitta rätt lösning.

Rulla till toppen

Signa upp för vårt nyhetsbrev!