Testa gratis
Boka demo

Vilka omfattas av NIS2 direktivet

Vilka omfattas egentligen av det nya NIS2 direktivet?

Skrolla för kunskap

NIS2 direktivet är ett cybersäkerhetsdirektiv och ramverk som kommer omfatta tusentals privata företag i Sverige. (SOU 2014:18) Alla offentliga entiteter kommer att omfattas liksom små och medelstora företag som levererar viktiga tjänster till kunder som direkt omfattas.

6000

organisationer omfattas direkt

10000

organisationer omfattas indirekt

Då omfattas ni av NIS2 direktivet

Dessa är de som omfattas av NIS2

Alla kommunala enheter omfattas, för att omfattas som privat företag behöver man antingen träffas av två delar nedan, eller vara en viktig leverantör till en organisation som direkt omfattas av NIS2 direktivet. Den indirekta omfattningen kommer regleras genom avtal och inte lagkrav. (Läs här)

Har +49 anställda eller omsätter +100m/år.

Ingår i väsentliga eller viktiga entiteter

brancher och de som omfattas av nis2 direktivet

Vilka omfattas av nis2 direktivet genom Indirekt omfattning?
Viktiga leverantörer till de organisationer som omfattas av NIS2 direktivet omfattas också av NIS2. Detta beror på kravet inom NIS2 direktivet ("Säker leverantörskedja"). Dessa leverantörer ska rapportera enligt NIS2 direktivet till sina beställare. Rent tekniskt kommer leverantörerna inte omfattas i lag, men genom direktivet kommer dessa omfattas av NIS2 direktivet genom avtal. Det är beställaren och ledningens ansvar att följa leverantörernas arbete efter NIS2 direktivet.

Viktiga entiteter som omfattas av nis2 direktivet

Väsentliga entiteter

Särskilt för väsentliga entiteter är:

Rapporteringskrav: Rapport inom 24h, 72h, samt 1 månad. Mindre detaljer behövs än för väsentliga entiteter.

Mindre omfattande tillsyn: Reaktiv tillsyn efter händelse eller bristande efterlevnad, (Tips, anmälan, incident)

Mildare påföljder: Sanktionsavgifter upp till 7M€ eller 1,4 % av omsättning, beroende på vilket som är högre.

Ta del av vår checklista här >

Viktiga entiteter

Särskilt för viktiga entiteter är:

Rapporteringskrav: Rapport inom 24h, 72h, samt 1 månad. Mindre detaljer behövs än för väsentliga entiteter.

Mindre omfattande tillsyn: Reaktiv tillsyn efter händelse eller bristande efterlevnad, (Tips, anmälan, incident)

Mildare påföljder: Sanktionsavgifter upp till 7M€ eller 1,4 % av omsättning, beroende på vilket som är högre.

Ta del av vår checklista här >

Viktiga entiteter som omfattas av nis2 direktivet
När blir NIS2 direktivet lag i sverige & när träder det i kraft?

När blir NIS2 lag i Sverige?

 

MSB presenterade information om tidslinjen för NIS2 direktivet. Dom tror att NIS2 direktivet blir gällande lag i Sverige någon gång under sommaren 2025. 

SOU 2024:18 har just nu varit ute på betänkande där flertalet remissinstanser har lämnat sina svar baserat på dom delarna som är applicerbara för de olika instansrna.

Ta del av vår checklista här >

Kraven inom NIS2-direktivet

Hur följer vi kraven konkret?

Incidentrapportering enligt NIS2-kraven

Organisationer som omfattas av NIS2-direktivet måste rapportera säkerhetsincidenter inom specifika tidsramar:

  • Inom 24 timmar: Inledande rapport för att informera om att en incident inträffat.
  • Inom 72 timmar: En mer detaljerad rapport med analyser och åtgärder.
  • Inom 1 månad: Slutlig rapport som sammanfattar incidenten och vidtagna åtgärder.
    Dessa tidsramar säkerställer snabb kommunikation och tydlighet gentemot myndigheter eller beställare.

Ledningens ansvar och personalutbildning

Det är avgörande att personal som har tillgång till kritiska delar av organisationen utbildas årligen för att minimera risken för incidenter.

  • Årlig utbildning: Personalen ska utbildas i säkerhetspraxis och NIS2-krav.
  • Motivering och dokumentation: Organisationen behöver motivera och dokumentera sitt val av utbildningsstrategi, samt säkerställa att den är tillräcklig för att minska risker kopplade till deras verksamhet.

Säker leverantörskedja

Leverantörernas säkerhetsnivå påverkar direkt er efterlevnad av NIS2. Därför måste ni:

  1. Kartlägga leverantörer: Identifiera vilka leverantörer ni är beroende av och vilka system de använder.
  2. Bedöma leverantörens säkerhet: Säkerställ att leverantörer uppfyller NIS2-krav genom att kartlägga deras cybersäkerhetsramverk och incidenthantering.
  3. Kontinuerligt övervaka: Inför mekanismer för att proaktivt och reaktivt hantera säkerhetsrisker i leveranskedjan.

En säker leverantörskedja är grunden för att möta direktivets krav och för att minimera externa säkerhetsrisker.

Kontinuitet och krishantering

Förberedelser för att hantera incidenter är avgörande för verksamhetens fortlevnad. Organisationer bör:

  • Säkerställa backup-lösningar: Analysera och testa regelbundet.
  • Planera för domänattacker: Identifiera och implementera skyddsmekanismer.
  • Utveckla återställningsplaner: Beskriva tydligt hur IT-miljöer och operativa processer återställs efter incidenter.

Kontinuitet och krishantering stärker organisationens motståndskraft mot cyberhot och bidrar till snabb återhämtning.

Extern insyn och rapportering

Organisationer som omfattas av NIS2 måste upprätthålla transparens och tydligt visa hur de följer direktivet.

  • Löpande dokumentation: Ni måste ha uppdaterade rapporter om er efterlevnad av NIS2.
  • Aktivt arbete: Till skillnad från GDPR krävs inte bara policies utan faktiska åtgärder inom organisationen, inklusive processer och säkerhetslösningar.

En kontinuerlig insyn i säkerhetsarbetet stärker organisationens förtroende och säkerställer att externa krav uppfylls.

Årlig revision

Organisationer måste genomföra en årlig revision för att dokumentera och säkerställa att NIS2-kraven efterlevs. Revisionen bör innehålla:

  1. Interna och externa rapporter: Samla underlag från interna analyser och leverantörers säkerhetsrapporter.
  2. Utbildningsdokumentation: Visa att personalen har utbildats i enlighet med direktivet.
  3. Säkerhetsmekanismer: Dokumentera hur ni arbetar för att upptäcka, förhindra och förebygga incidenter.

Samla allt material i ett tydligt ramverk som förenklar kommande års arbete och revision.

Säkerhetsmekanismer

Organisationer måste ha säkerhetsmekanismer på plats för att möta NIS2-krav och skydda mot cyberhot. Exempel på sådana mekanismer inkluderar:

  • Cyberhygien: Rutiner för lösenordshantering och regelbundna tester mot nätfiske.
  • Systemövervakning: Brandväggar och intrångsdetektering för att identifiera och hantera hot.
  • Notifieringar vid läckor: Implementera system som varnar om läckor från externa plattformar där er data kan finnas.

Genom att kombinera proaktiva och reaktiva åtgärder skapar ni ett starkt skydd mot cyberattacker och säkerställer efterlevnad av direktivet.

+200 företag använder våra tjänster i +15 länder.

Vanliga frågor och svar

Kan vi testa systemet?

Såklart! Vi vill att ni ska prova både systemet och vår fantastiska samt erfarna personal som hjälper er att komma igång med enkel och professionell regelefterlevnad inom ”compliance”.

Vårt mål är att försöka skapa den optimala lösningen för er och detta gör vi i grunden med vårt logiska och tydliga system kombinerat med vår hängivna personal.

➡️ Aktivera er gratis testperiod här

Hur fungerar era konsulter & rådgivning?

Våra konsulter med rådgivning, stöd och support ingår utan extra kostnad för alla användare – så mycket ni vill och som vi hinner med.

Få träffsäker rådgivning från våra experter per möte, telefon eller chatt direkt i systemet.

Hur gör ni oss compliant med NIS2?

Vår checklista är granskad och reviderad av fler oberoende jurister med spetskompetens inom IT. 

Genom att hjälpa er som användare på det sättet som passar er bäst (Möte, telefon, mejl eller chatt) så guidar vi er grundligt utifrån er kompetensnivå om de nödvändiga stegen som ni behöver ta utifrån er organisation, omfattning och nuläge.

Vi har hjälpt över 250 Svenska företag, chefer, IT-ansvariga, HR-chefer att få enkla och smidiga lösningar utefter sina behov inom compliance.

Vem ska hantera cybersäkerhetslagen?

Ledningen har det övergripande ansvaret men uppgifterna bör fördelas till ansvariga ”systemägare”. 

Detta betyder att om ekonomiansvarige är bäst på ert ekonomisystem, då bör hen vara definierad systemägare för den individuella datapunkten. 

Men mycket som ni inte behöver tänka på är redan förberett i systemet, allt för att ni ska spara tid.

Hur följer vi kraven på egen hand?

Ni använder vårt system, antingen som gratisversion eller som betalande kund.

Enligt våra analyser hos våra pilotgrupper var tidsbesparingen över 75% och omkring 200 timmar, vilket gör att vårt system faktiskt är en positiv investering från första minuten ni börjar använda IntegritySpot.

Hur automatiseras leverantörskedjan?

Vår innovation inom leverantörskedjan heter SNMS vilket står för ”Supply chain network management system”. 

Detta innebär att alla era leverantörer som ni lägger in i systemet med en enkel .CSV upload digitaliseras.

När ni har lagt in alla leverantörer skickar ni ut ett grundläggande och enkelt formulär som de får svara på, utifrån detta formulär avgörs även en inledande riskprognos som avgör om ni behöver vidta ytterligare åtgärder eller inte enligt NIS2. 

Om en leverantör sedan uppdaterar sin information i systemet, ja då uppdateras den för alla som har adderat denna organisation som leverantör. 

Därför är vår grundläggande gratisversion ytterst viktig för oss men framförallt för alla våra användare, så att vi tillsammans kan skapa ett nät av enkel och tydligt flödande information mellan olika organisationer och dotterbolag.

Ingår utbildning hos er?

Ja, vi håller i kreativa och lärorika utbildningar två gånger per år när kalendrarna har som minst tryck, alltså efter semestern i Augusti samt efter nyårsafton i Januari.

Hur går er onboarding till?

Vår uppstart och onboarding går till på så vis att vi bokar in ett uppstartsmöte där ni kommer igång och får känna på vår höga och tydliga effekt innan ni bestämmer er om ni vill använda vårt system långsiktigt.

Vår idé är att investera helhjärtat i varje användare, oavsett om ni önskar använda gratisversionen eller bli betalande kund.

Vår mission är att hjälpa 10.000 personer inom compliance, gör vi det kommer vi med all säkerhet ha väldigt mycket kunder, samlad kunskap och insikt från vanliga organisationers utmaningar och behov.

I uppstartsmötet tar våra experter hand om allt där konto, leverantörer och grundstrukturen läggs.

Efter mötet tilldelas ni den första av sju uppgifter i er resa mot compliance inom NIS 2 varpå ett uppföljningsmöte bokas in för att hjälpa er hela vägen. 

Gå vidare till >

Artiklar om cybersäkerhetslagen

Sammanfattning
Krav & checklista
Gratis GAP mall

Gör compliance enkelt och bli guidad från A till Ö av systemet.

Linkedin
Våra System
Företaget

Tech Brows AB      Sysslomansgatan 22, Stockholm
Integritetspolicy / Cookies / NDA

Agenda för vår kostnadsfria utbildning. Varaktighet 60 min.

  • Vad kräver lagen? (10 min)
  • Vilka omfattas? (10 min)
  • Live Demo & Test (40 min)

Gratis utbildning i Januari: 60 min