Delphi insights: 2024 – dags att börja implementera NIS2-direktivet i er verksamhet

EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå (NIS2-direktivet) ska börja tillämpas den 18 oktober i år. Den 23 februari ska regeringens utredare föreslå de anpassningar av svensk rätt som krävs för att NIS2-direktivet ska kunna genomföras. Det är därför hög tid att börja tänka på vilka åtgärder ni behöver vidta för att er verksamhet ska uppfylla NIS2-direktivets krav.

NIS2-direktivet handlar om IT-säkerhet. Jämfört med det tidigare NIS-direktivet, som är tillämpligt på leverantörer av samhällsviktiga tjänster och digitala tjänster, har tillämpningsområdet utvidgats och därmed är det betydligt fler företag som kommer att träffas av NIS2-direktivets tillämpningsområde. NIS2-direktivet omfattar t.ex. följande typer av verksamheter:

• Hälso- och sjukvårdssektorn (bl.a. vårdgivare och verksamheter som bedriver forskning, utveckling och tillverkning av läkemedel)
• Bankverksamhet (kreditinstitut vars verksamhet består i att från allmänheten ta emot insättningar eller andra återbetalbara medel och att bevilja krediter för egen räkning)
• Avfallshantering (insamling, transport, återvinning och bortskaffande av avfall)
• Dricksvatten och avloppsvatten (leverantörer och distributörer av dricksvatten samt företag som samlar ihop, släpper ut och renar avloppsvatten)
• Tillverkning, produktion och distribution av kemikalier
• Produktion, bearbetning och distribution av livsmedel
• Tillverkning av olika slag, t.ex. av medicintekniska produkter, datorer, elektronikvaror och optik, elapparatur, övriga maskiner, motorfordon m.m.

I tillägg till de verksamheter som direkt träffas av NIS2-direktivets tillämpningsområde kommer även vissa andra företag att påverkas indirekt genom att de ingår i leveranskedjan till företag som träffas av NIS2-direktivet.

Direktivet gäller bara för medelstora företag eller företag som överstiger tröskelvärdena för medelstora företag enligt EU:s definition. I siffror innebär det att företaget måste sysselsätta minst 50 personer och ha en årsomsättning eller balansomslutning över 10 miljoner EUR för att anses som ett medelstort företag. Som utgångspunkt ska även koncernföretag räknas in i tröskelvärdena. Det betyder alltså t.ex. att ett litet bolag som ingår i en koncern där ett eller flera företag tillsammans eller individuellt når upp till tröskelvärdena ska omfattas av NIS2-direktivet.

Vad innebär då NIS2-direktivet rent konkret? NIS2-direktivet ställer långtgående krav på företag, bl.a.:

• Tio (10) obligatoriska riskhanteringsåtgärder för cybersäkerhet ska vidtas.
• Säkerhet i leveranskedjan ska säkerställas.
• Krav på incidentrapportering till tillsynsmyndighet.
• Företagens ledning ska ta aktiv del i genomförandet av de obligatoriska säkerhetsåtgärderna och i slutändan kunna ställas till svars för överträdelser.
• Höga sanktionsavgifter införs enligt GDPR-modellen för vissa typer av brott mot NIS2-direktivet – upp till det högsta av 10 000 000 EUR eller 2 % av den totala globala årsomsättningen.

Delphi följer implementeringen av NIS2-direktivet i svensk rätt. Vill du veta mer om NIS2-direktivet och hur vi på Delphi kan vara till hjälp i er implementering av NIS2-direktivet, tveka inte att höra av dig!