De som omfattas av NIS2 direktivet

Vilka omfattas av NIS2 direktivet?
En komplett guide

NIS 2 direktivet är ett cybersäkerhetsdirektiv och ramverk som kommer omfatta tusentals privata företag i Sverige. Alla offentliga entiteter kommer att omfattas liksom små och medelstora företag som levererar viktiga tjänster till kunder som direkt omfattas.

6000

organisationer omfattas direkt

10000

organisationer omfattas indirekt

Då omfattas ni av NIS2 direktivet

Träffas ni av två delar ska ni följa NIS2

Alla kommunala enheter omfattas, för att omfattas som privat företag behöver man antingen träffas av två delar nedan, eller vara en viktig leverantör till en organisation som direkt omfattas av NIS2 direktivet. Den indirekta omfattningen kommer regleras genom avtal och inte lagkrav.

Har +49 anställda eller omsätter +100m/år.

Ingår i väsentliga eller viktiga entiteter

brancher och de som omfattas av nis2 direktivet

Indirekt omfattning
Viktiga leverantörer till de organisationer som omfattas av NIS2 direktivet omfattas också av NIS2. Detta beror på kravet inom NIS2 direktivet ("Säker leverantörskedja"). Dessa leverantörer ska rapportera enligt NIS2 direktivet till sina beställare. Rent tekniskt kommer leverantörerna inte omfattas i lag, men genom direktivet kommer dessa omfattas av NIS2 direktivet genom avtal. Det är beställaren och ledningens ansvar att följa leverantörernas arbete efter NIS2 direktivet.

Viktiga entiteter som omfattas av nis2 direktivet

Väsentliga entiteter

Särskilt för väsentliga entiteter är:

Rapporteringskrav: Rapport inom 24h, 72h, samt 1 månad. Mindre detaljer behövs än för väsentliga entiteter.

Mindre omfattande tillsyn: Reaktiv tillsyn efter händelse eller bristande efterlevnad, (Tips, anmälan, incident)

Mildare påföljder: Sanktionsavgifter upp till 7M€ eller 1,4 % av omsättning, beroende på vilket som är högre.

Viktiga entiteter

Särskilt för viktiga entiteter är:

Rapporteringskrav: Rapport inom 24h, 72h, samt 1 månad. Mindre detaljer behövs än för väsentliga entiteter.

Mindre omfattande tillsyn: Reaktiv tillsyn efter händelse eller bristande efterlevnad, (Tips, anmälan, incident)

Mildare påföljder: Sanktionsavgifter upp till 7M€ eller 1,4 % av omsättning, beroende på vilket som är högre.

Viktiga entiteter som omfattas av nis2 direktivet
När blir NIS2 direktivet lag i sverige & när träder det i kraft?

När blir NIS2 lag i Sverige?

MSB presenterade information om tidslinjen för NIS2 direktivet. Dom tror att NIS2 direktivet blir gällande lag i Sverige någon gång under sommaren 2025. 

SOU 2024:18 har just nu varit ute på betänkande där flertalet remissinstanser har lämnat sina svar baserat på dom delarna som är applicerbara för de olika instansrna.

 

Kraven inom NIS2-direktivet

Hur följer vi kraven konkret?

Incidentrapportering enligt NIS2-kraven

Organisationer som omfattas av NIS2-direktivet måste rapportera säkerhetsincidenter inom specifika tidsramar:

  • Inom 24 timmar: Inledande rapport för att informera om att en incident inträffat.
  • Inom 72 timmar: En mer detaljerad rapport med analyser och åtgärder.
  • Inom 1 månad: Slutlig rapport som sammanfattar incidenten och vidtagna åtgärder.
    Dessa tidsramar säkerställer snabb kommunikation och tydlighet gentemot myndigheter eller beställare.

Ledningens ansvar och personalutbildning

Det är avgörande att personal som har tillgång till kritiska delar av organisationen utbildas årligen för att minimera risken för incidenter.

  • Årlig utbildning: Personalen ska utbildas i säkerhetspraxis och NIS2-krav.
  • Motivering och dokumentation: Organisationen behöver motivera och dokumentera sitt val av utbildningsstrategi, samt säkerställa att den är tillräcklig för att minska risker kopplade till deras verksamhet.

Säker leverantörskedja

Leverantörernas säkerhetsnivå påverkar direkt er efterlevnad av NIS2. Därför måste ni:

  1. Kartlägga leverantörer: Identifiera vilka leverantörer ni är beroende av och vilka system de använder.
  2. Bedöma leverantörens säkerhet: Säkerställ att leverantörer uppfyller NIS2-krav genom att kartlägga deras cybersäkerhetsramverk och incidenthantering.
  3. Kontinuerligt övervaka: Inför mekanismer för att proaktivt och reaktivt hantera säkerhetsrisker i leveranskedjan.

En säker leverantörskedja är grunden för att möta direktivets krav och för att minimera externa säkerhetsrisker.


Kontinuitet och krishantering

Förberedelser för att hantera incidenter är avgörande för verksamhetens fortlevnad. Organisationer bör:

  • Säkerställa backup-lösningar: Analysera och testa regelbundet.
  • Planera för domänattacker: Identifiera och implementera skyddsmekanismer.
  • Utveckla återställningsplaner: Beskriva tydligt hur IT-miljöer och operativa processer återställs efter incidenter.

Kontinuitet och krishantering stärker organisationens motståndskraft mot cyberhot och bidrar till snabb återhämtning.


Extern insyn och rapportering

Organisationer som omfattas av NIS2 måste upprätthålla transparens och tydligt visa hur de följer direktivet.

  • Löpande dokumentation: Ni måste ha uppdaterade rapporter om er efterlevnad av NIS2.
  • Aktivt arbete: Till skillnad från GDPR krävs inte bara policies utan faktiska åtgärder inom organisationen, inklusive processer och säkerhetslösningar.

En kontinuerlig insyn i säkerhetsarbetet stärker organisationens förtroende och säkerställer att externa krav uppfylls.


Årlig revision

Organisationer måste genomföra en årlig revision för att dokumentera och säkerställa att NIS2-kraven efterlevs. Revisionen bör innehålla:

  1. Interna och externa rapporter: Samla underlag från interna analyser och leverantörers säkerhetsrapporter.
  2. Utbildningsdokumentation: Visa att personalen har utbildats i enlighet med direktivet.
  3. Säkerhetsmekanismer: Dokumentera hur ni arbetar för att upptäcka, förhindra och förebygga incidenter.

Samla allt material i ett tydligt ramverk som förenklar kommande års arbete och revision.


Säkerhetsmekanismer

Organisationer måste ha säkerhetsmekanismer på plats för att möta NIS2-krav och skydda mot cyberhot. Exempel på sådana mekanismer inkluderar:

  • Cyberhygien: Rutiner för lösenordshantering och regelbundna tester mot nätfiske.
  • Systemövervakning: Brandväggar och intrångsdetektering för att identifiera och hantera hot.
  • Notifieringar vid läckor: Implementera system som varnar om läckor från externa plattformar där er data kan finnas.

Genom att kombinera proaktiva och reaktiva åtgärder skapar ni ett starkt skydd mot cyberattacker och säkerställer efterlevnad av direktivet.

+200 företag använder våra tjänster i +15 länder.

Agenda för vår kostnadsfria utbildning. Varaktighet 60 min.

Gratis utbildning i Januari: 60 min