Vi hjälper dig med NIS2 compliance – Kontakta oss idag

Visste du att en typisk process för att uppfylla kraven enligt EU:s nya cybersäkerhetsdirektiv tar ungefär 12 månader att genomföra? Denna tidsram, som inkluderar säkerhetsbedömningar och implementering av nya åtgärder, understryker behovet av att agera proaktivt.

Directive (EU) 2022/2555, officiellt publicerat i december 2022, representerar en betydande förändring för europeiska organisationer. Det utökade ramverket trädde officiellt i kraft för tillämpning i oktober 2024 och omfattar nu fler sektorer och enheter än tidigare.

För många medelstora och stora företag inom kritiska områden innebär detta att cybersäkerhet blir en direkt fråga för ledningen. Ansvarigheter är tydligare definierade, vilket kräver en helt ny approach till hantering av digital risk.

Vi välkomnar dig till vår guide där vi förklarar hur vårt företag kan stödja er organisation på er resa. Vår expertis ligger i att erbjuda skräddarsydd hjälp för att möta dessa nya krav på ett effektivt sätt.

Genom att kombinera djup kunskap med praktisk erfarenhet strävar vi efter att göra er övergång så smidig som möjligt. Vårt mål är att stärka er säkerhetsposition och samtidigt minska den operativa bördan.

Viktiga punkter

• NIS2-direktivet trädde i kraft för tillämpning i oktober 2024.
• Direktivet omfattar betydligt fler organisationer och sektorer.
• Ledningen har ett direkt ansvar för cybersäkerhet.
• En fullständig implementation kan ta upp till 12 månader.
• Proaktiv planering är avgörande för framgång.
• Behovet av robusta säkerhetsåtgärder har ökat kraftigt.
• Expertstöd kan effektivisera hela processen avsevärt.

Introduktion till NIS2 compliance

I en tid av accelererad digitalisering står europeiska organisationer inför nya utmaningar för att skydda sina nätverks- och informationssystem. Denna skyddsnivå handlar inte längre enbart om tekniska lösningar utan om en helhetssyn på säkerhet.

Directive 2022/2555, som ersätter det tidigare ramverket, representerar EU:s strategiska svar på sofistikerade cyberhot. Ambitionsnivån har höjts betydligt genom utökad omfattning och tydligare regler för cybersecurity.

Vi ser hur detta nya directive skapar ett mer resilient europeiskt landskap för digital säkerhet. Fler sektorer omfattas nu, vilket kräver anpassade åtgärder från organizations i hela unionen.

Aspekt	NIS1 Directive	NIS2 Directive
Omfattning	Begränsad till vissa sektorer	Utökad till fler services och organizations
Regelverk	Generella krav	Tydligare och mer detaljerade regler
Tillsynsverktyg	Begränsade möjligheter	Starkare verktyg för security genomförande
Rapporteringskrav	Grundläggande skyldigheter	Utökade krav för cyber incidents

Vår erfarenhet visar att framgångsrik implementation kräver både tekniskt kunnande och organisatorisk förståelse. Vi erbjuder skräddarsytt stöd för att bygga en robust säkerhetskultur som skyddar verksamhetens kontinuitet.

Vad är NIS2 compliance?

För många organisationer innebär direktivet en helt ny syn på cybersäkerhetsarbete. Processen handlar om att säkerställa att verksamheten uppfyller de specifika krav som fastställs i europeisk lagstiftning.

En första avgörande steg är att identifiera om organisationen klassificeras som essentiell eller viktig. Denna bedömning baseras på storlek, verksamhetssektor och samhällsbetydelse.

Medelstora och stora företag inom berörda sektorer omfattas automatiskt. De måste implementera proportionella säkerhetsåtgärder som matchar deras riskprofil.

Kriterium	Essentiella enheter	Viktiga enheter
Samhällspåverkan	Mycket hög kritikalitet	Betydande men mindre kritisk
Sektorsspecifikation	Kärnverksamheter som energi, transport	Digital tjänster, tillverkningsindustri
Åtgärdsnivå	Omfattande säkerhetskontroller	Proportionella basåtgärder

Efterlevnad kräver etablering av omfattande riskhanteringsprocesser. Organisationer måste utveckla rutiner för att rapportera incidenter till behöriga myndigheter.

Vi ser att framgångsrik implementation är en kontinuerlig process. Den kräver regelbunden uppdatering av säkerhetsåtgärder och anpassning till nya hot.

Vårt stöd hjälper organisationer att navigera denna komplexitet. Vi utvecklar skräddarsydda strategier som möter både juridiska krav och affärsbehov.

EU:s NIS2-direktiv: Bakgrund och betydelse

Historiskt sett markerade antagandet av Directive 2016/1148 en milstolpe i EU:s arbete för att stärka skyddet av kritiska nätverkssystem. Detta första omfattande ramverk syftade till att skydda vitala tjänster som är avgörande för unionens ekonomi och samhällsfunktioner.

Erfarenheterna från implementeringen av detta första directive visade dock på behovet av starkare regler och bättre harmonisering mellan member states. I december 2020 föreslog kommissionen därför en omfattande revidering som skulle leda till dagens förstärkta ramverk.

Den nya nis2 directive antogs officiellt i december 2022 och publicerades som Directive (EU) 2022/2555. Medlemsstaterna fick till den 17 oktober 2024 på sig att införliva dessa krav i nationell lagstiftning.

Från och med den 18 oktober 2024 ersattes det tidigare ramverket helt. Denna övergång markerar en ny era med högre ambitioner för cybersecurity i Europa.

Vi ser att direktivets största betydelse ligger i att det skapar en mer enhetlig och resilient säkerhetsstruktur över hela unionen. Detta är avgörande för att skydda den digitala inre marknaden.

Samarbetet mellan member states stärks genom nätverk som CSIRTs och EU-CyCLONe. Dessa mekanismer möjliggör effektiv hantering av storskaliga säkerhetsincidenter.

För att fullt ut förstå omfattningen av förändringarna är det viktigt att känna till denna bakgrund. Vi hjälper organisationer att navigera dessa krav på ett proaktivt sätt.

Juridiska och regulatoriska krav

Artikel 41 i direktivet fastställer en kritisk deadline för medlemsstaternas lagändringar. Denna bestämmelse krävde att alla EU-länder senast den 17 oktober 2024 måste anta och publicera nödvändiga nationella åtgärder.

Varje medlemsstat har ansvaret för att införliva direktivet i sin nationella lagstiftning. Detta innebär att specifika lagar, förordningar och riktlinjer måste antas för att ge direktivet rättslig verkan inom varje lands jurisdiktion.

Lagstiftning och tidslinje

Från och med den 18 oktober 2024 måste dessa nationella åtgärder verkställas. Denna datum markerar övergången från förberedelsefasen till aktiv verkställighet och tillsyn.

Många medlemsstater har upplevt förseningar i denna process. Detta har skapat osäkerhet kring enhetlig implementering av direktivets bestämmelser.

Nationell implementering

Organisationer måste följa både EU-direktivet och den specifika nationella implementeringen. Det kan finnas variationer i hur kraven tolkas och verkställs mellan olika länder.

För att säkerställa fullständig efterlevnad är det avgörande att förstå både den övergripande EU-lagstiftningen och de specifika nationella kraven. Vi hjälper organisationer navigera denna komplexitet genom att tolka krav och säkerställa att alla nödvändiga åtgärder vidtas.

Riskhantering och incidentrapportering

Effektiv riskhantering utgör stommen i varje framgångsrik cybersäkerhetsstrategi, där proaktiv identifiering av hot direkt påverkar organisationsresiliens. Vi ser hur en strukturerad approach till risk management skapar grunden för att möta de ökade kraven på digital säkerhet.

Riskbedömning och sårbarhetsanalys

En grundlig riskbedömning kräver systematisk analys av både tekniska och operativa sårbarheter. Organisationer måste utvärdera sannolikheten för incidenter och deras potentiella påverkan på tjänstemottagare.

Vi hjälper företag att implementera state-of-the-art metoder som balanserar kostnad mot risknivå. Denna proportionella approach säkerställer att åtgärderna alltid matchar den faktiska hotbilden.

Rapporteringsskyldigheter och tidsramar

Rapporteringskraven innebär tydliga tidsramar för incident reporting. Betydande händelser måste rapporteras inom 24 timmar via en tidig varning till nationella myndigheter.

Vi betonar vikten av att ha väl definierade processer för incident response. Snabb rapportering bidrar till bättre situationsmedvetenhet i hela EU:s säkerhetsekosystem.

Rapporteringsfas	Tidsram	Innehållskrav
Tidig varning	Inom 24 timmar	Grundläggande incidentinformation
Detaljerad rapport	Inom 72 timmar	Teknisk analys och påverkan
Slutrapport	Inom 1 månad	Orsaker, åtgärder och lärdomar

Vårt stöd sträcker sig från riskbedömning till implementering av rapporteringssystem. Vi ser hur tydliga rutiner för reporting obligations stärker både säkerhet och förtroende.

Tekniska och organisatoriska säkerhetsåtgärder

Artikel 21 i det europeiska ramverket specificerar tio grundläggande säkerhetsåtgärder som organisationer måste implementera för att stärka sin cyberresiliens. Dessa tekniska och organisatoriska kontroller bildar tillsammans ett robust skydd mot moderna cyberhot.

Vi ser hur en heltäckande approach kombinerar både tekniska lösningar och organisatoriska processer. Denna metod skapar flera försvarslinjer som skyddar verksamhetens kritiska systems och data.

Användning av multifaktorautentisering

Multifaktorautentisering (MFA) utgör en central komponent i moderna security measures. Denna teknik kombinerar olika autentiseringsfaktorer för att skapa flera säkerhetslager.

Traditionella lösenord räcker inte längre för att skydda access till känslig information. MFA lägger till ytterligare skikt som biometri eller mobila enheter.

Autentiseringsmetod	Säkerhetsnivå	Implementeringskostnad	Användarvänlighet
Enkel lösenordsautentisering	Grundläggande	Låg	Mycket hög
Multifaktorautentisering (MFA)	Avancerad	Medium	Hög
Kontinuerlig autentisering	Mycket avancerad	Hög	Medium

Kontinuerliga autentiseringslösningar representerar nästa generations cybersecurity measures. Dessa system övervakar användarbeteende dynamiskt under hela sessionen.

Säkrad kommunikation inkluderar röst-, video- och textkanaler samt intern nödkommunikation. Dessa measures skyddar känslig information under både normala förhållanden och krissituationer.

Vi hjälper organisationer att integrera dessa tekniska lösningar med organisatoriska kontroller. Vårt stöd sträcker sig från gap-analys till praktisk implementering av alla nödvändiga security measures.

Leverantörssäkerhet och supply chain management

Modern digitalisering har gjort leverantörskedjor till en kritisk del av organisationssäkerhet. Enligt artikel 21(2)(d) måste företag adressera säkerhetsaspekter i relationer med direkta leverantörer och tjänsteleverantörer.

Vi ser hur en effektiv supply chain-strategi kräver grundliga säkerhetsbedömningar av varje partner. Organisationer måste identifiera potentiella sårbarheter och implementera proportionella säkerhetsåtgärder.

Den kumulativa risken från hela leverantörsnätverket måste bedömas kontinuerligt. Sårbarheter hos en enskild leverantör kan påverka hela organisationens securitystatus.

Bedömningsområde	Låg risknivå	Medium risknivå	Hög risknivå
Dataskydd	Grundläggande kryptering	Avancerad kryptering	Multilagerskydd
Åtkomstkontroll	Enkel autentisering	Multifaktorautentisering	Kontinuerlig övervakning
Incidenthantering	Grundläggande processer	Strukturerade rutiner	24/7 övervakning

Kontraktuella krav och säkerhetsstandarder är essentiella för direkta leverantörer. Dessa measures inkluderar krav på att leverantörer själva implementerar lämpliga cybersecurityåtgärder.

Kontinuerlig övervakning är särskilt viktig för organizations som använder molntjänster och managed services. Vi hjälper företag utveckla omfattande leverantörssäkerhetsprogram som uppfyller alla krav.

Företagsstyrning och ansvar

Styrelser och ledningsgrupper står nu inför en ny era av personligt ansvar för digital säkerhet. Artikel 20 i ramverket etablerar tydliga krav på hur management måste engagera sig aktivt i säkerhetsfrågor.

Vi ser hur denna förändring kräver att ledningsorgan inte bara godkänner säkerhetsåtgärder utan också kontinuerligt övervakar deras implementering. Detta innebär regelbundna rapporter och diskussioner om organisationens säkerhetsstatus på högsta nivå.

Ledningens ansvar och utbildning

Medlemmar i ledningsorgan för essentiella och viktiga entities kan nu hållas personligt ansvariga för brister i säkerhetsarbetet. Denna skyldighet omfattar både godkännande och uppföljning av alla management measures.

Kravet på obligatorisk cybersecurity training för styrelseledamöter representerar en fundamental förändring. Utbildningen ska ge ledningen tillräcklig kunskap för att identifiera risker och bedöma säkerhetspraxis.

Vi hjälper organizations att utveckla skräddarsydda utbildningsprogram som möter dessa requirements. Vårt fokus ligger på praktiska färdigheter för att upptäcka och hantera cyberhot.

Genom att erbjuda utbildning till både ledning och anställda bygger organisationer en säkerhetsmedveten kultur. Detta är avgörande för ensuring compliance och skapar en stark mänsklig försvarslinje.

Kritisk infrastruktur och viktiga enheter

Klassificeringen av enheter enligt det europeiska ramverket skiljer mellan två huvudkategorier med olika ansvarsnivåer. Denna distinktion är fundamental för att förstå vilka krav som gäller för specifika organisationer.

Essentiala och viktiga enheter: Skillnader

Essentiella enheter representerar de mest kritiska komponenterna i samhällets critical infrastructure. Dessa essential important entities har direkt påverkan på samhällsfunktioner och ekonomi.

Viktiga enheter spelar även de en betydelsefull roll men med något mindre samhällspåverkan. Båda kategorierna av important entities måste implementera proportionella säkerhetsåtgärder.

Skillnaden påverkar tillsynens intensitet och potentiella sanktioner. Essentiella entities omfattas generellt av strängare krav.

Sektorsspecifika krav

Ramverket omfattar nu betydligt fler sectors jämfört med tidigare regelverk. De ursprungliga områdena som energi och digital infrastructure kompletteras med nya sektorer.

Bland de tillagda services finns sociala plattformar, avfallshantering och tillverkning av kritiska produkter. Även offentlig förvaltning och rymdsektorn ingår nu.

Vi hjälper organisationer att avgöra sin klassificering och förstå sektorsspecifika krav. Vår expertis säkerställer att essential important åtgärder implementeras korrekt.

Incidenthantering och beredskapsplaner

Effektiv hantering av cybersäkerhetshändelser kräver mer än bara tekniska lösningar – det handlar om väl förberedda rutiner och tydliga ansvarsområden. Enligt artikel 21 måste organisationer etablera strukturerade processer för att upptäcka, analysera och hantera säkerhetsincidenter.

Vi ser hur en robust incident response-strategi bygger på dokumenterade procedurer som möjliggör snabb och koordinerad respons. Tydliga roller och ansvar minimerar påverkan på verksamheten när en incident upptäcks.

Affärskontinuitetsplanering enligt ramverket inkluderar hantering av säkerhetskopior, katastrofåterställning och krishantering. Dessa business continuity-åtgärder säkerställer att kritiska tjänster kan fortsätta eller snabbt återställas efter större cyber incidents.

Beredskapsplaner måste omfatta konkreta åtgärder för systemåterställning och etablering av krishanteringsteam. Regelbunden testning genom övningar och simuleringar säkerställer att planerna är effektiva.

Vi erbjuder omfattande stöd för att utveckla, implementera och testa incident handling– och business continuity-planer. Vårt arbete inkluderar krishanteringsövningar och utveckling av playbooks för vanliga incidentscenarier.

Cybersäkerhet i praktiken: Fallstudier och exempel

Konkreta exempel visar hur organisationer framgångsrikt har stärkt sin cybersäkerhet genom praktiska åtgärder. ENISA:s rapport från november 2024 bekräftar att informationssäkerhet nu utgör 9% av EU:s IT-investeringar.

Denna ökning med 1,9 procentenheter sedan 2022 visar ett växande engagemang för digital säkerhet. Vi ser hur europeiska företag prioriterar cybersecurity som en strategisk investering.

Ett energiföretag implementerade avancerad networkövervakning efter ett tidigare incident. Deras nya system upptäckte ett intrångsförsök inom minuter och isolerade hotet direkt.

Incidenthanteringsplanen möjliggjorde snabb containment utan verksamhetsavbrott. Detta exempel visar värdet av proaktiv security investering.

Organisationstyp	Säkerhetsinvestering 2022	Säkerhetsinvestering 2024	Förändring
Stora företag	7,1% av IT-budget	9,3% av IT-budget	+2,2%
Medelstora företag	6,8% av IT-budget	8,7% av IT-budget	+1,9%
Offentlig sektor	6,5% av IT-budget	8,9% av IT-budget	+2,4%

Leverantörssäkerhet har blivit en kritisk del i många organizations strategier. Ett tillverkningsföretag införde obligatoriska säkerhetsgranskningar för alla partners.

De utvecklade kontraktuella krav för dataskydd och incidentrapportering. Denna approach minskade risks från supply chain betydligt.

Ledningsansvar har transformerat säkerhetskulturer i många företag. Styrelser genomgår regelbunden cybersecurity utbildning och granskar säkerhetsstatus kvartalsvis.

Dessa praktiska exempel visar att framgångsrik implementation bygger på resilience och kontinuerlig förbättring. Vi hjälper organisationer applicera dessa lärdomar i deras unika kontext.

EU:s tillsyn och genomförande: Implementeringsakt

Implementeringsförordningen (EU) 2024/2690 markerar ett viktigt steg i EU:s arbete för att harmonisera cybersäkerhetskrav. Denna akt publicerades i unionens officiella tidning den 7 november 2024 efter antagandet den 17 oktober.

Förordningen trädde i kraft tjugo dagar efter publicering och specificerar tekniska krav för digitala tjänsteleverantörer. Dessa requirements omfattar molntjänster, datacentertjänster och onlinemarknadsplatser.

ENISA:s roll och nationella myndigheter

ENISA utvecklar detaljerad teknisk vägledning för att stödja member states och berörda organizations. Denna vägledning inkluderar praktiska exempel på bevis för efterlevnad och mappningar till internationella standarder.

Varje medlemsstat har utsett nationella myndigheter med befogenhet att utfärda varningar och kräva korrigerande åtgärder. Dessa myndigheter genomför regelbundna inspektioner för att verifiera uppfyllelse av directive krav.

Digital tjänstkategori	Omfattande kravnivå	Implementeringsdeadline
Molntjänstleverantörer	Hög	Omedelbar tillämpning
Datacentertjänster	Medium-Hög	Omedelbar tillämpning
Onlinemarknadsplatser	Medium	Omedelbar tillämpning
Sociala plattformar	Medium-Hög	Omedelbar tillämpning

Cooperation Group fungerar som strategisk plattform för samarbete mellan member states, kommissionen och ENISA. Gruppen utvecklar icke-bindande riktlinjer för implementering av directive bestämmelser.

Vi hjälper organizations att navigera både EU-nivåns krav och nationella tolkningar. Vårt stöd säkerställer att säkerhetsåtgärder uppfyller alla tekniska requirements för systems skydd.

Förberedelser inför transpositionsdeadlines

Artikel 41 etablerar tydliga tidsramar för medlemsstaters implementering av säkerhetskraven. Denna struktur ger organisationer möjlighet att planera sina åtgärder systematiskt.

Den kritiska transpositionsfristen den 17 oktober 2024 har passerat. Alla member states skulle då antagit nödvändiga åtgärder i national law.

Från den 18 oktober 2024 började tillämpningen av dessa nationella bestämmelser. Organisationer som omfattas av directivet måste nu uppfylla dess requirements.

Deadline	Åtgärd	Ansvarig part
17 oktober 2024	Antagande av nationella åtgärder	Medlemsstater
18 oktober 2024	Tillämpning börjar	Organisationer
17 januari 2025	Etablering av peer review-metodologi	Cooperation Group
17 april 2025	Publicering av lista över entities	Medlemsstater

Den kommande deadlinen den 17 april 2025 kräver att member states upprättar listor över essentiella och viktiga entities. Detta ger klarhet om vilka organisationer som omfattas.

Vi rekommenderar att företag agerar proaktivt för att ensure compliance. En fullständig implementering kan ta upp till tolv månader att genomföra.

Behöriga myndigheter måste rapportera incidenter within hours efter upptäckt. Denna skyldighet understryker vikten av väl förberedda processer.

Vårt stöd hjälper organisationer navigera dessa komplexa requirements. Vi ser hur tidig planering minskar risken för brister i compliance.

Tips för att uppnå och bibehålla NIS2 compliance

En framgångsrik implementation bygger på metodiska förberedelser och kontinuerlig förbättring. Vi rekommenderar att organisationer börjar med att analysera sin nuvarande situation mot de nya kraven.

Strukturerad implementation i tre faser

Den typiska processen för att uppfylla kraven tar cirka tolv månader. Denna tidsram inkluderar säkerhetsbedömningar, policyrevidering och implementering av nya åtgärder.

Vi ser hur en gap-analys utgör grunden för att identifiera brister i befintliga security measures. Denna analys hjälper organisationer att prioritera åtgärder baserat på risks och påverkan.

Implementeringsfas	Tidsram	Nyckelaktiviteter	Resultat
Förberedelse och analys	Månad 1-3	Omfångsbedömning, gap-analys	Handlingsplan med prioriteringar
Implementering	Månad 4-9	Policyuppdatering, tekniska lösningar	Förbättrade cybersecurity measures
Validering och optimering	Månad 10-12	Testning, dokumentation, utbildning	Fullständig ensuring compliance

Tekniska verktyg som SIEM-system och multifaktorautentisering stärker access-kontroller. Dessa lösningar skyddar känslig data och minskar säkerhetsrisks.

Ledningens engagemang är avgörande för att etablera effektiva management measures. Obligatorisk cybersecurity training ger styrelser kunskap att bedöma säkerhetspraxis.

Vi hjälper organisationer att accelerera denna process genom skräddarsydda lösningar. Vårt stöd omfattar allt från initial bedömning till kontinuerlig förbättring av risk management measures.

Slutsats

Den europeiska cybersäkerhetslandskapet har genomgått en omfattande transformation som kräver strategisk anpassning från alla berörda aktörer. Vår genomgång visar att NIS2-direktivet representerar en avgörande utveckling med vidgad omfattning och strängare krav.

Trots att transpositionsfristen har passerat står många organizations fortfarande inför betydande utmaningar. Framgångsrik compliance kräver en holistisk approach som integrerar tekniska kontroller med organisatoriska processer.

Vi betonar att detta inte är en engångsaktivitet utan en kontinuerlig resa. Regelbunden översyn och anpassning till nya hot är essentiellt för att upprätthålla digital infrastructure säkerhet.

Med kommande deadlines och ökad tillsyn rekommenderar vi proaktiva förberedelser. Vår expertis kan stödja er genom hela processen – från initial bedömning till kontinuerlig förbättring.

Kontakta oss idag via vår kontaktsida för en skräddarsydd konsultation. Tillsammans utvecklar vi en praktisk färdplan för att uppnå och bibehålla er NIS2 compliance.

FAQ

Vilka typer av organisationer omfattas av direktivet?

Direktivet omfattar så kallade essentiella och viktiga enheter inom sektorer som energi, transport, bankväsen, digital infrastruktur och hälso- och sjukvård. Bedömningen baseras på organisationens storlek och betydelse för samhället.

Vilka är de viktigaste tekniska säkerhetsåtgärderna vi behöver implementera?

Centrala åtgärder inkluderar multifaktorautentisering, kontinuerlig övervakning av nätverkssäkerhet, regelbundna sårbarhetsanalyser och robusta system för incidenthantering. Fokus ligger på proaktiv riskhantering.

Hur snabbt måste vi rapportera cybersäkerhetsincidenter?

Rapporteringsskyldigheten kräver att allvarliga incidenter rapporteras till relevant nationell myndighet inom 24 timmar. En detaljerad rapport ska sedan lämnas inom 72 timmar.

Vilket ansvar har ledningen för att uppfylla kraven?

Ledningsgruppen har ett personligt ansvar för att organisationen uppfyller direktivets krav. Det inkluderar godkännande av säkerhetspolicyer, säkerställande av tillräcklig budget och deltagande i obligatorisk cybersäkerhetsträning.

Hur påverkar direktivet våra leverantörsrelationer?

Ni behöver utvärdera era leverantörers säkerhetsnivåer genom due diligence-processer. Avtal bör innehålla tydliga krav på säkerhetsåtgärder och rapporteringsskyldigheter i supply chain.

Vilka är konsekvenserna av att inte följa direktivet?

Böter kan uppgå till minst 10 miljoner kronor eller 2% av den globala omsättningen. Nationella tillsynsmyndigheter har även befogenhet att kräva omedelbara åtgärder och förbud mot verksamhet.

Behöver vi utveckla nya beredskapsplaner?

Ja, direktivet kräver dokumenterade planer för affärskontinuitet och incidenthantering. Dessa måste testas regelbundet och inkludera tydliga procedurer för återställning av digitala tjänster.