Omfattas din organisation av NIS2? Få svaret i tre steg

Har NIS2 skapat förvirring i din organisation? Oroa dig inte, ni är inte ensamma. Bedömningen om ens organisation kommer omfattas av NIS2 kan vara en komplex och förvirrande process. För att göra det hela mindre överväldigande har vi brutit ned bedömningsprocessen i tre klara steg. Så ni lättare kan förstå om det nya direktivet omfattar er organisation.

Steg 1.

Tillhör din organisation någon av följande sektorer?

För att komma igång med bedömningen (steg 1), måste ni undersöka om er organisation klassas som någon av de 18 entiteterna enligt NIS2. Dessa entiteter är uppdelade i två huvudkategorier: högkritiska sektorer och andra kritiska sektorer.

(En entitet definieras i direktivet som ”en fysisk eller juridisk person som bildats och erkänts som sådan enligt nationell rätt där den etablerats och som i eget namn får utöva rättigheter och ha skyldigheter”)

Högkritiska sektorer:

  • Energi​
  • Transporter​
  • Finansmarknads-infrastruktur​
  • Bankverksamhet​
  • Hälso- och sjukvårdssektorn​
  • Dricksvatten​
  • Avloppsvatten ​
  • Digital infrastruktur​
  • Förvaltning av IKT-tjänster (mellan företag)​
  • Offentlig förvaltning​
  • Rymden

Andra kritiska sektorer:

  • Post- och budtjänster​
  • Avfallshantering​
  • Tillverkning, produktion och distribution av kemikalier​
  • Produktion, bearbetning och distribution av livsmedel​
  • Tillverkning​
  • Digitala leverantörer​
  • Forskning

Om er organisation är med bland sektorerna så är det dags för nästa steg! Om du däremot är osäker på om någon av dessa sektorer omfattar er organisation, rekommenderar vi att du läser direktivet och granskar bilaga I och II för att läsa om de olika delsektorerna och hur de definieras enligt lagen.

Steg 2 

Undantag på grund av organisationens storlek?

Nu när ni har identifierat er sektor, går vi vidare till nästa steg. Att tillhöra någon av dessa sektorer innebär dock inte automatiskt att NIS2 omfattar er. Det finns undantag som gör att det nya direktivet inte gäller på grund av storleken på er organisation. Om det är en liten organisation kan den möjligen klassificeras som ett undantag, vilket innebär att NIS2 inte omfattar er.

Så vad är ett litet företag? Jo, i SMF-kategorin definieras små företag som företag som sysselsätter färre än 50 personer och vars omsättning eller balansomslutning inte överstiger 10 miljoner euro per år. Är er organisation större än så? Då gäller undantaget inte er.

Steg 3

Undantag från undantaget?

Det blir ännu mer komplext när det gäller mindre företag. Trots klassificeringen som litet företag kan ni ändå omfattas av NIS2. Det betyder alltså att trots direktivets betoning på medelstora till stora företag även kan påverka mindre företag.

Art 2 i NIS2 beskriver för vilka företag det gäller:

Det gäller för företag som tillhandahåller allmänna elektroniska kommunikationstjänster, betrodda tjänster, eller domännamnssystemtjänster.

Det gäller även om en tjänst är kritisk för en medlemsstats samhälls- eller ekonomiska verksamhet, om en störning av tjänsten kan påverka människors liv, allmän säkerhet eller folkhälsa, eller om störningen kan orsaka systemrisker över sektorer.

NIS2 också gäller också för offentliga organ på både nationell och regional nivå, enligt hur varje land definierar det. Det innebär att regler och krav från NIS2 måste följas av statliga myndigheter och regioner i Sverige, hur vida kommuner också ska omfattas återstår att se.

Slutligen gäller NIS2 för entiteter som identifieras som kritiska enligt direktiv (EU) 2022/2557, oavsett storlek.

Omfattar NIS2 er indirekt?

En viktig nyhet i NIS2 är att det nya direktivet ställer krav på säkerhet i hela leveranskedjan. Det innebär att en entitet som omfattas av direktivet har som skyldighet att säkra hela sin leveranskedja. Det omfattar säkerhetsaspekter som relaterar till förbindelserna mellan entitet och dess direkta leverantörer eller tjänsteleverantörer.

Särskild uppmärksamhet bör också ägnas åt kraven enligt artikel 21, som tydligt definierar de specifika åtgärder som krävs för att säkerställa en robust och skyddad leveranskedja. Att noggrant granska och efterleva dessa krav är avgörande för att uppfylla NIS2-direktivets bestämmelser och säkerställa en heltäckande säkerhet i hela leveranskedjan.

Vill du veta mer om NIS2?

I vår utbildning lär du dig mer om NIS2-direktivet från juridiken till hur du applicerar det i praktiken. Nästa utbildningstillfälle är den 12:e mars 2024.

Relaterat innehåll:

Konsten att kommunicera i informationssäkerhetsfrågor

Konsten att kommunicera i informationssäkerhetsfrågor

Ett snabbt förändrat säkerhetslandskap kräver informerade och handlingskraftiga organisationer. Som CISO behöver du idag kunna övertyga både medarbetare, ledning och beslutsfattare om vikten av frågorna. Så hur lyckas du i praktiken? Välkommen på ett webinar där Håkan Sonesson, CISO på Jönköping University, delar över 25
Läs mer »
En bild på en skog i kommuner

Förberedelser inför NIS2 -direktivet: En guide för kommuner

Vi närmar oss snabbt införandet av det nya NIS2-direktivet och många offentliga aktörer ställer sig nu frågan om de kommer omfattas eller inte. Det nya direktivet kommer innebära att offentliga aktörer kommer omfattas i betydligt högre utsträckning än tidigare. Som direktivet är skrivet kan det
Läs mer »