Hur vet man om man omfattas av NIS2?
Tror du att ditt företag är för litet för att behöva bry sig om nya cybersäkerhetsregler? Tänk om. EU:s NIS2-direktiv kommer att påverka många fler organisationer än man kanske tror.
Den här europeiska regleringen syftar till att stärka cybersäkerheten i viktiga sektorer. I Sverige implementeras den genom den kommande cybersäkerhetslagen (CSL), som förväntas träda i kraft under 2025.
Att avgöra om ens verksamhet omfattas kan vara komplext. Bedömningen baseras på flera faktorer, inklusive storlek och typ av tjänster som erbjuds. Många organisationer kommer att behöva anpassa sig till nya krav.
Vi förstår att detta kan kännas överväldigande. Därför vill vi hjälpa dig att navigera i dessa frågor. Genom att kontakta oss på opsiocloud.com/contact-us/ får du skräddarsydd rådgivning.
Det är viktigt att tidigt identifiera om man berörs. På så sätt kan organisationen förbereda sig i god tid för de kommande kraven. Vår expertis inom området ger dig tydlighet i din situation.
Viktiga punkter
- NIS2-direktivet är en EU-reglering för ökad cybersäkerhet
- I Sverige implementeras det genom cybersäkerhetslagen (CSL)
- Bedömningen baseras på verksamhetens storlek och sektortillhörighet
- Tidig identifiering ger bättre förberedelsetid
- Experthjälp finns tillgänglig för komplexa bedömningar
- Många fler organisationer omfattas än man kan tro
- Professionell rådgivning underlättar anpassningen
Vad är NIS2 och cybersäkerhetslagen?
Cybersäkerhetslandskapet i Sverige genomgår en stor transformation genom införandet av NIS2-direktivet. Denna EU-reglering antogs i december 2022 och syftar till att stärka skyddet för kritiska samhällsfunktioner.
Definitioner och grundläggande begrepp
För att förstå regelverket behöver man känna till viktiga begrepp. Ett cyberhot är en potentiell omständighet som kan skada cybersäkerheten. En incident är en händelse som påverkar tillgänglighet eller säkerhet för data och tjänster.
Skillnaden från det ursprungliga NIS-direktivet från 2016 är betydande. Den nya lagstiftningen omfattar fler sektorer och har strängare krav.
Bakgrund och syfte med regelverken
EU valde att uppdatera regelverket för att skapa enhetligare regler inom unionen. Behovet av högre säkerhetsnivåer motiverade denna förändring.
Syftet med cybersäkerhetslagen är att skydda nätverks- och informationssystem som är kritiska för samhället. Regelverket kommer att ersätta den nuvarande NIS-lagen (2018:1174) när det träder i kraft under 2025.
Vi ser att målet är att öka motståndskraften mot cyberhot. Kontinuitet i samhällsviktiga tjänster säkerställs genom dessa åtgärder.
Hur vet man om man omfattas av NIS2?
Att fastställa om en specifik organisation faller under de nya reglerna bygger på tydliga kriterier. Bedömningen är mer omfattande än många tror och kräver noggrannhet.
Kriterier och tröskelvärden
De primära kraven för att en verksamhet ska omfattas är en omsättning eller balansomslutning på minst 10 miljoner euro. Dessutom krävs minst 50 anställda i form av årsarbetskrafter.
Det är viktigt att notera att undantag görs från dessa storlekskrav. En verksamhet kan ändå omfattas om den är väsentlig för kritiska samhällsfunktioner. Det gäller även om en störning kan påverka människors liv och hälsa betydligt.
Verksamhetens storlek och påverkan
Beräkningen av företagets storlek måste inkludera anknutna företag och partner. Detta är särskilt viktigt om man tillhör en koncern. En korrekt beräkning är avgörande.
En stor förändring är att man nu bedömer hela verksamhetsutövaren. Tidigare tittade man främst på storleken för den specifika verksamhetsdelen. Även om en liten del av er verksamhet erbjuder relevanta tjänster, kan hela organisationen ska omfattas.
För att underlätta bedömningen finns verktyg som PTS e-tjänst “Omfattas vi av CSL?”. Vid komplexa frågor rekommenderar vi professionell rådgivning för en säker bedömning.
Implementeringen av NIS2 i Sverige
Den svenska lagstiftningsprocessen för cybersäkerhetslagen följer ett strukturerat schema med viktiga datum. Vi ser att implementeringen har tagit flera tydliga steg sedan EU-direktivet antogs.
Lagstiftningsprocess och tidslinje
Processen började med utredningen som presenterades i SOU 2024:18. Detta betänkande la grunden för den nya lagen om cybersäkerhet.
Den 12 juni 2025 beslutades om en lagrådsremiss för denna lagstiftning. Den föreslagna ikraftträdandet är planerat till 15 januari 2026. Denna tidslinje ger organisationer möjlighet att förbereda sig.
Myndigheten för samhällsskydd och beredskap (MSB) har det övergripande ansvaret. Sektorsspecifika tillsynsmyndigheter hanterar olika områden.
Övergång från NIS-lagen till cybersäkerhetslagen
Cybersäkerhetslagen kommer att helt ersätta den nuvarande NIS-lagen från 2018. När den nya lagen träder i kraft, upphör den gamla att gälla.
Övergången innebär att alla verksamheter måste anmäla sig på nytt. Även de som redan omfattas av nuvarande regler behöver göra en ny bedömning.
Utredningen behandlar även CER-direktivet som komplement till NIS2. Vi rekommenderar att följa processen och börja förbereda organisationen redan nu.
Vår expertis kan hjälpa er att navigera denna övergång. Vi erbjuder skräddarsydd rådgivning för era specifika behov.
Sektorer och verksamhetsutövare under NIS2
Sektorindelningen utgör en central del i NIS2-direktivets struktur och tillämpning i Sverige. För att effektivt hantera cybersäkerheten har EU definierat specifika branscher som kräver särskild uppmärksamhet.
Olika myndigheter kommer att ha ansvar för övervakning av dessa sektorer. Denna specialisering säkerställer att varje bransch får relevant och expertbaserad tillsyn.
Definierade sektorer enligt EU-direktivet
EU-direktivet specificerar flera kritiska områden som omfattas. Dessa inkluderar både traditionella infrastruktursektorer och moderna digitala tjänster.
Varje kategori har precisa definitioner som avgör vilka verksamhetsutövare som berörs. Det är viktigt att kontrollera dessa definitioner noggrant.
Roller för PTS och Livsmedelsverket
Post- och telestyrelsen (PTS) föreslås ansvara för fem centrala sektorer. Dessa omfattar digital infrastruktur och förvaltning av IKT-tjänster.
Livsmedelsverket kommer att övervaka områden relaterade till samhällsviktiga försörjningskedjor. Deras ansvar inkluderar distribution av livsmedel och vattenförsörjning.
| Myndighet | Ansvariga sektorer | Specifika verksamheter |
|---|---|---|
| PTS | Digital infrastruktur, IKT-tjänster, rymden | Posttjänster, digitala leverantörer |
| Livsmedelsverket | Dricksvatten, avloppsvatten, livsmedel | Produktion, bearbetning, distribution |
| Andra myndigheter | Ytterligare specialiserade områden | Energi, transport, hälso- och sjukvård |
Inom dricksvattensektoren omfattas leverantörer och distributörer enligt EU:s definition. Undantag görs för verksamheter där vattendistribution är en mindre del av verksamheten.
Att identifiera rätt myndighet är avgörande för korrekt efterlevnad. Vi rekommenderar att alla verksamhetsutövare kartlägger sin sektortillhörighet i tid.
Riskhanteringsåtgärder och incidentrapportering
För verksamheter som omfattas av CSL blir proaktiv riskhantering och strukturerad incidenthantering centrala delar av arbetet. Dessa åtgärder syftar till att skydda nätverks- och informationssystem från cyberhot.
Alla verksamhetsutövare måste kunna identifiera vad som utgör en betydande incident. En sådan händelse kan orsaka allvarlig driftsstörning, ekonomisk skada eller påverka andra med betydande materiell eller immateriell skada.
Identifiering av betydande incidenter
Varje organisation har ansvar att själv bedöma om en incident är rapporteringspliktig. Vid osäkerhet rekommenderas att rapportera incidenter för att undvika att bryta mot lagkraven.
Vissa branscher har specifika regler från EU-kommissionen om vilka incidenter som måste rapporteras. Det är viktigt att känna till dessa branschspecifika krav.
Rapporteringsprocess och ansvarsområden
All rapportering sker till Myndigheten för samhällsskydd och beredskap (MSB). CERT-SE tar emot alla rapporter oavsett sektortillhörighet.
Processen för att rapportera incidenter följer en tydlig tidsram. Första rapportering måste ske inom 6 timmar efter att verksamhetsutövare identifierat incidenten som betydande.
Within 24 timmar krävs en komplettering. Slutlig rapport ska lämnas inom fyra veckor. Tiderna räknas från identifieringsögonblicket, inte från incidentens start.
MSB vidarebefordrar rapporterna till relevant tillsynsmyndighet för uppföljning. Denna struktur säkerställer att alla verksamhetsutövare får korrekt hantering av sina incidenter.
Systematiskt informationssäkerhetsarbete
Ett systematiskt informationssäkerhetsarbete utgör grunden för att uppfylla kraven i cybersäkerhetslagen. Detta innebär att skydda alla uppgifter som lagras, behandlas eller överförs inom organisationen.
För att arbetet ska vara effektivt måste det bedrivas kontinuerligt och metodiskt. Det kräver tydlig rollfördelning med specifikt utpekat ansvar för säkerhetsfrågor.
Metodik för riskanalys
En riskbaserad metodik är central i informationssäkerhetsarbetet. Detta innebär att identifiera, analysera och hantera risker som kan påverka säkerheten i tjänster och system.
Cybersäkerhetslagen ställer krav på att riskanalyser genomförs minst en gång per år. Ytterligare analyser behövs när väsentliga förändringar sker i verksamheten eller teknikmiljön.
Analysen ska omfatta alla system och processer som kan påverka säkerheten. Genom segmentering av nätverk kan verksamheter begränsa omfattningen av riskanalysen till kritiska områden.
De åtgärder som beslutas baseras direkt på riskanalysens resultat. Metodiken kan anpassas efter verksamhetens storlek och komplexitet, men måste uppfylla grundläggande krav.
Organisationer som redan följer NIS-lagen har ofta goda förutsättningar. Deras etablerade säkerhetsarbete kan anpassas till de nya kraven i cybersäkerhetslagen.
Genomförandeakter och tillhörande vägledning
EU-kommissionens genomförandeakter ger detaljerad vägledning för specifika sektorer. Dessa dokument kompletterar direktivet med mer precisa regler för vissa verksamheter.
De erbjuder tydligare riktlinjer om hur organisationer ska uppfylla kraven.
EU-kommissionens regler
En genomförandeförordning trädde i kraft den 7 november 2024. Den specificerar exakta riskhanteringsåtgärder och rapporteringspliktiga incidenter.
Förordningen riktar sig till flera kategorier av leverantörer och tjänster. Den ställer krav på tydliga processer för säkerhetsarbete.
Bland de omfattade verksamheterna finns leverantörer av DNS-tjänster och molntjänster. Även datacentraltjänster och CDN-nätverk ingår.
Listan inkluderar dessutom hanterade säkerhetstjänster och marknadsplatser online. Sökmotorer och sociala nätverksplattformar omfattas också.
Konkret vägledning för verksamheter
Tillsynsmyndigheter som PTS kan få mandat att utveckla kompletterande vägledning. Exakt föreskriftsmandat för olika myndigheter är ännu inte fastställt.
Verksamheter som faller under förordningen måste följa dessa specifika regler. Kraven gäller utöver de allmänna bestämmelserna i cybersäkerhetslagen.
Vi erbjuder expertstöd för att tolka och implementera dessa krav. Vår vägledning hjälper er att anpassa er verksamhet till de nya reglerna.
Skillnader mellan NIS-lagen och cybersäkerhetslagen
Övergången från den nuvarande NIS-lagen till den nya cybersäkerhetslagen innebär flera väsentliga förändringar. Dessa skillnader påverkar hur organisationer bedöms och vilka krav de måste uppfylla.
När den nya lagen träder i kraft, kommer den att ersätta den gamla regleringen helt. Alla verksamheter omfattas av nya bedömningsregler.
Övergångsperiod och praktiska konsekvenser
En stor förändring gäller hur verksamheter bedöms. Den gamla lagen tittade på specifika verksamhetsdelar. Den nya cybersäkerhetslagen bedömer hela organisationens storlek.
Även tidigare registrerade verksamheter måste anmäla sig på nytt. Detta gäller bland annat leverantörer av digitala tjänster. Övergången kräver noggrann planering.
Specifika regler och anmälningskrav
Kraven blir tydligare och mer detaljerade i den nya lagen. Ledningens ansvar för säkerhet betonas starkare. Sanktionerna vid bristande efterlevnad ökar betydligt.
Fler sektorer kommer att omfattas jämfört med tidigare. Dokumentationskraven blir mer omfattande. Organisationer behöver anpassa sina processer.
| Område | NIS-lagen (2018) | Cybersäkerhetslagen (CSL) |
|---|---|---|
| Bedömningsgrund | Specifik verksamhetsdel | Hela verksamhetsutövaren |
| Anmälningskrav | För specifika tjänster | Alla måste anmäla sig på nytt |
| Sanktionsnivåer | Lägre belopp | Högre böter och avgifter |
| Ledningsansvar | Mindre specifikt | Tydligt definierat ansvar |
| Sektorsomfång | Begränsat antal sektorer | Utökad sektortäckning |
Vi erbjuder gap-analyser för att identifiera skillnader. Vårt stöd hjälper er att förbereda er för övergången. Kontakta oss för skräddarsydd rådgivning.
Struktur och uppbyggnad av cybersäkerhet i verksamheter
En välstrukturerad cybersäkerhetsorganisation är avgörande för att möta kraven i den nya lagstiftningen. Denna struktur måste byggas på tydliga roller och ansvarsområden inom verksamheten.
Ledningen har ett särskilt ansvar för att säkerställa att säkerhetsarbetet integreras i alla affärsprocesser. Detta kräver en tydlig styrningsmodell med beslutsvägar.
Interna processer och säkerhetspolicys
Dokumenterade policys bildar grunden för ett effektivt säkerhetsarbete. Alla verksamheter behöver ha tydliga riktlinjer för informationshantering.
Interna processer måste täcka hela livscykeln från incidentupptäckt till rapportering. Systematisk övervakning och kontroll av åtgärder är nödvändigt för att visa efterlevnad.
| Roll | Ansvarsområde | Dokumentationskrav |
|---|---|---|
| Säkerhetsansvarig | Övergripande cybersäkerhet | Policyutveckling och revision |
| Incidenthanterare | Upptäckt och rapportering | Incidentloggar och utredningar |
| Ledningsrepresentant | Beslutsfattande och resurser | Styrningsprotokoll och beslut |
Integration med den övergripande riskhanteringen säkerställer att säkerhetsarbetet följer verksamhetens behov. Dokumentation av processer och beslut är avgörande vid tillsyn.
Vi erbjuder stöd i att bygga upp en ändamålsenlig struktur anpassad efter era förutsättningar. Enligt officiella krav måste varje verksamhet ha ett systematiskt arbetssätt.
Nyckelkrav och framtida åtgärder
Den proaktiva verksamheten som investerar i cybersäkerhet idag kommer att ha en betydande fördel när nya regler träder i kraft. Cybersäkerhetslagen ställer krav på ett omfattande säkerhetsarbete som sträcker sig långt bortom tekniska lösningar.
De centrala kraven omfattar systematisk riskhantering, strukturerad incidentrapportering och kontinuerliga säkerhetsåtgärder. Organisationer behöver etablera tydliga processer för att identifiera och hantera cyberhot.
Förebyggande insatser och säkerhetsåtgärder
Förebyggande åtgärder bör implementeras redan nu för att underlätta övergången. Detta inkluderar utveckling av säkerhetspolicyer och investeringar i medarbetarutbildning.
Specifika säkerhetskrav kan komma att preciseras i framtida föreskrifter från MSB och sektorsmyndigheter. Att följa den regulatoriska utvecklingen är därför avgörande.
Framtida lagkrav och anpassningsbehov
Verksamheter med etablerat riskbaserat arbetssätt har goda förutsättningar att möta kommande krav. Livsmedelsverket bedömer att organisationer som redan följer NIS-lagen är väl förberedda.
Planering för framtida investeringar i säkerhetsteknologi och kompetensutveckling är essentiell. Vi kan hjälpa er att identifiera de mest kritiska åtgärderna för er specifika verksamhet och tjänsten.
Proaktivt cybersäkerhetsarbete skyddar inte bara mot regulatoriska krav utan även verksamhetens kontinuitet och rykte. Genom att agera i tid skapar organisationer en hållbar säkerhetskultur.
Jurisdiktionsregler och rapporteringsansvar
Jurisdiktionsfrågor blir avgörande för företag med verksamhet i flera EU-länder under CSL-implementeringen. Att förstå vilken lagstiftning som gäller är väsentligt för korrekt efterlevnad.
Nationellt kontra internationellt ansvar
Regeln om Huvudsakligt Etableringsställe förenklar rapporteringsskyldigheter. Verksamheter behöver endast förhålla sig till ett medlemslands lagstiftning.
Avgörande är var centrala beslut om säkerhetsåtgärder fattas. Tydlig dokumentation av etableringsställe undviker oklarheter.
| Jurisdiktionsregel | Rapporteringskrav | Praktisk påverkan |
|---|---|---|
| Huvudsakligt Etableringsställe | Rapportering i ett land | Förenklad process |
| Etablerad eller Tillhandahåller | Rapportering i flera länder | Komplex hantering |
| Gränsöverskridande incident | Multi-jurisdiktionell rapportering | Samordnad kommunikation |
Specifika rapporteringsscenarier
För incidenter som påverkar flera länder gäller särskilda regler. Rapporteringsskyldigheten beror på incidentens omfattning.
En generell rättsprincip förhindrar dubbla sanktioner för samma överträdelse. Detta skyddar verksamheter från orättvis behandling.
Vi kan analysera vilken jurisdiktionsregel som gäller för er organisation. Vår expertis hjälper er navigera komplexa rapporteringskrav.
Sektorsspecifika krav: Post, molntjänster och mer
Posttjänster, molnleverantörer och andra branscher möter distinkta krav enligt den kommande lagstiftningen. Varje sektor har sin egen definitionen som avgör vilka verksamhetsutövare som berörs.
Unika utmaningar inom olika sektorer
För post- och budtjänster gäller att leverantörer som tillhandahåller minst ett led i leveranskedjan omfattas. Detta inkluderar insamling, sortering, transport eller distribution av försändelser.
Molntjänster kräver att tjänsterna tillhandahålls externt till kunder. Operatörer enligt lagen om elektronisk kommunikation omfattas automatiskt oavsett storlek.
Livsmedelssektorn har särskilda regler där grossisthandel och industriell bearbetning omfattas. Primärproduktion undantas från dessa krav. Liknande undantag finns inom vattendistribution där icke-väsentlig verksamhet kan undantas.
Varje bransch har unika tekniska utmaningar som påverkar implementeringen. Vi erbjuder sektorsspecifik expertis för att hjälpa leverantörer av olika tjänster med sina säkerhetskrav.
Sanktioner och rättsliga konsekvenser under NIS2
Sanktioner utgör en viktig del av cybersäkerhetslagens verktyg för att säkerställa efterlevnad. Tillsynsmyndigheter har flera verktyg till sitt förfogande för att hantera överträdelser av reglerna.
Vid bristande efterlevnad kan myndigheter utfärda förelägganden, sanktionsavgifter och i allvarliga fall böter. Det är viktigt att förstå att sanktioner endast utdöms vid faktiska regelöverträdelser.
Böter, sanktionsavgifter och ansvar
En incident i sig innebär inte automatiskt att en överträdelse skett. Organisationer kan undvika sanktioner genom proaktivt arbete med regelefterlevnad. God dokumentation och transparens mot tillsynsmyndigheter är centralt.
NIS2-direktivet medför betydligt högre sanktionsbelopp jämfört med tidigare krav. Ledningspersoner kan hållas personligt ansvariga för att säkerställa att organisationen följer regelverket.
En generell rättsprincip förhindrar dubbla böter för samma överträdelse. Tillsynsmyndigheterna har mandat att använda olika verktyg, bland annat förelägganden och sanktionsavgifter.
Kostnaden för bristande cybersäkerhet är ofta mycket högre än investeringar i säkerhetsåtgärder. Vi kan hjälpa er att minimera risken för sanktioner genom strukturerat arbete.
Intern kommunikation och utbildning inom cybersäkerhet
Medarbetarnas kunskap och medvetenhet utgör den första försvarslinjen mot cyberhot. Ett systematiskt informationssäkerhetsarbete innebär bland annat att arbetet bedrivs långsiktigt och metodiskt med tydlig rollfördelning.
Regelbundna utbildningsinsatser är en grundläggande del av ett effektivt säkerhetsarbete. Vi rekommenderar olika typer av aktiviteter som passar olika målgrupper inom verksamheten.
Träning och workshops för medarbetare
Introduktionsutbildning för nya anställda säkerställer att alla startar med rätt kunskap. Årliga uppdateringar håller teamet informerade om aktuella hot och bästa praxis.
Specialiserad utbildning för nyckelroller och simuleringsövningar stärker praktiska färdigheter. Ledningens synliga engagemang i cybersäkerhet främjar en stark säkerhetskultur.
Informationsspridning och intern policy
Kontinuerlig kommunikation om säkerhetsfrågor bör inkludera incidentuppdateringar och preventiva åtgärder. Anpassa budskapen till varje målgrupps behov och arbetsroller.
Effektiviteten mäts genom tester och uppföljning av utbildningsinsatser. Vi erbjuder stöd med skräddarsydda program och material för att höja säkerhetsmedvetenheten.
Kontakta oss för experthjälp med cybersäkerhet
Navigera i cybersäkerhetsregleringen kräver expertkunskap och praktisk erfarenhet. Vårt team av specialister har omfattande kompetens inom NIS2 och cybersäkerhetslagen. Vi erbjuder personligt anpassad hjälp för att möta era specifika utmaningar.
Vår expertis och rådgivning
Vi ger stöd genom hela processen från initial bedömning till full implementering. Våra tjänster inkluderar gap-analyser, policyutveckling och incidenthanteringsprocesser. Varje lösning skräddarsys efter er verksamhetens unika förutsättningar.
Med vår vägledning kan ni identifiera om organisationen ska omfattas av de nya kraven. Vi hjälper er att etablera robusta säkerhetsrutiner som uppfyller lagens krav. Tidigt engagemang ger bättre förberedelsetid och minskar stress.
Boka konsultation
Har ni frågor om cybersäkerhetskraven? Vår kostnadsfria initial konsultation ger er tydlighet i nästa steg. Vi erbjuder både kortsiktiga projekt och långsiktiga partnerskap.
Ta kontakt med oss redan idag för att boka ett möte. Tillsammans skapar vi en säker framtid för er organisation. Besök opsiocloud.com/contact-us/ för att komma igång.
Vår hjälp anpassas efter er mognadsnivå och resurser. Vi har erfarenhet från många framgångsrika implementeringar. Låt oss hjälpa er att navigera era frågor med säkerhet.
Slutsats
Sammanfattningsvis står svenska företag inför omfattande förändringar i cybersäkerhetsarbetet. Den nya lagstiftningen utvidgar kraven för skydd av samhällsviktiga tjänster betydligt.
Fler sektorer omfattas nu, inklusive produktion och distribution av livsmedel. Även mindre aktörer kan beröras om deras verksamhet är kritisk för samhällsfunktioner.
Med ikraftträdande planerat till januari 2026 är det viktigt att agera nu. Nyckelkraven omfattar systematiskt säkerhetsarbete och rapportering av incidenter.
Proaktivt arbete med nätverks- och informationssystem skyddar inte bara mot regler. Det säkerställer även verksamhetskontinuitet och förtroende.
Myndigheter som PTS och MSB erbjuder vägledning för specifika krav. Vi rekommenderar att läsa mer om era sektorsspecifika förpliktelser.
Kontakta oss på opsiocloud.com/contact-us/ för professionell hjälp med implementering. Vårt stöd säkerställer att er verksamhet är redo när kraven träder i kraft.
FAQ
Vilka typer av verksamheter omfattas av den nya lagen?
Direktivet omfattar ett brett spektrum av sektorer. Det gäller både leverantörer av samhällsviktiga tjänster och andra viktiga aktörer inom områden som energi, transport, bankväsen och digital infrastruktur. Till skillnad från tidigare lagstiftning kan även mindre företag ingå om deras verksamhet bedöms som essentiell.
När träder cybersäkerhetslagen i kraft i Sverige?
Den nationella implementeringen, baserad på sou 2024:18, förväntas träda i kraft den 17 januari 2026. Detta ger verksamheter tid att anpassa sina nätverks- och informationssystem för att uppfylla kraven.
Vilka är de viktigaste skillnaderna mellan NIS-lagen och NIS2?
Den nya lagstiftningen ställer högre krav på riskhanteringsåtgärder och incidentrapportering. Den har en bredare definition av vilka verksamheter som omfattas och inför tydligare regler för leverantörer, inklusive specifika sanktioner vid bristande efterlevnad.
Vad klassificeras som en betydande incident som måste rapporteras?
En incident anses vara betydande om den har en allvarlig negativ inverkan på tjänstens leverans eller på distributionskedjor. Detaljerade kriterier finns i direktivet och den nationella vägledningen för att hjälpa verksamhetsutövare i sitt arbete med att identifiera sådana händelser.
Var kan vi hitta officiell vägledning och stöd för att förbereda vår verksamhet?
Myndigheter som PTS och Livsmedelsverket kommer att publicera sektorsspecifik vägledning. Vi rekommenderar att ni följer den officiella lagstiftningsprocessen och de genförandeakter som EU-kommissionen fastställer för att säkerställa att ert systematiska informationssäkerhetsarbete är korrekt upplagt.
Behöver vår verksamhet omedelbart vidta åtgärder?
Ja, det är viktigt att påbörja arbetet med att utvärdera er nuvarande cybersäkerhet. Genom att inleda en riskanalys och utveckla en plan för att uppfylla de framtida lagkraven kan ni säkerställa en smidig övergång. Vi erbjuder expertstöd för denna process.
