NIS2 - Del 1 - Hjälp! Kommer jag omfattas av NIS2?

Martin Palmqvist 5 juli, 2023

Introduktion

De organisationer som omfattas av NIS2 har krav på sig

Tiden till NIS2 ska börja tillämpas i oktober 2024 kommer allt närmare. De som omfattas kommer att behöva införa ett antal säkerhetsåtgärder för att uppfylla kraven i direktivet. Men vilka är det då som omfattas, och hur har detta förändrats sedan det första NIS-direktivet?

Det här har hänt

Direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2) beslutades i december 2022 och kan ses som en uppdatering av det första NIS-direktivet. Regeringen har beslutat om att tillsätta en utredning för att föreslå de anpassningar av svensk rätt som krävs för att NIS2-direktivet ska kunna genomföras. Utredningen ska lämna sitt svar senast den 23 februari 2024. Gällande vilka som kommer att omfattas av direktivet är dock mycket redan känt.

Högkritiska sektorer

Jämfört med det första NIS-direktivet har omfattningen utökats avsevärt med flera och bredare sektorer. Ytterligare en förändring är att sektorerna nu även delas in i två kategorier – så kallade högkritiska sektorer samt andra kritiska sektorer. De högkritiska sektorerna är:

  • Energi (elektricitet, fjärrvärme, fjärrkyla, olja, gas, vätgas)
  •  Transporter (lufttransport, järnvägstransport, sjöfart, vägtransport)
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvårdssektorn
  • Dricksvatten
  • Avloppsvatten
  • Digital infrastruktur (leverantörer av internetknutpunkter, DNS-tjänster, molntjänster, datacentraltjänster, nätverk för leverans av innehåll, registreringsenheter för toppdomäner, tillhandahållare av betrodda tjänster, allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster)
  • Förvaltning av IKT-tjänster (leverantörer av hanterade tjänster och säkerhetstjänster)
  • Offentlig förvaltning (nationell och regional nivå – huruvida kommuner ska omfattas är en fråga som den nationella utredningen ska titta på)
  • Rymden (operatörer av markbaserad infrastruktur)

Andra kritiska sektorer

De som listas som andra kritiska sektorer är:

  • Post- och budtjänster
  • Avfallshantering
  • Tillverkning, produktion och distribution av kemikalier
  • Produktion, bearbetning och distribution av livsmedel
  • Tillverkning (medicintekniska produkter, datorer, elektronikvaror, optik, elapparatur, motorfordon, släpfordon och påhängsvagnar, andra transportmedel och övriga maskiner)
  • Digitala leverantörer (onlinemarknadsplatser, sökmotorer, plattformar för sociala nätverkstjänster)
  • Forskning (i vilken utsträckning universitet och högskolor kommer omfattas är en fråga som den nationella utredningen ska titta på)

Undantag

Det är dock inte samtliga organisationer i dessa sektorer som omfattas utan enbart de som betecknas som medelstora företag eller större. Gränsvärdena för vad som anses vara medelstora företag hänvisas till 50 personer och en årsomsättning eller balansomslutning på 10 miljoner euro.

Det finns flera undantag från storlekskraven som gör att även organisationer som inte uppnår dessa ändå omfattas. Bland annat om en störning av tjänsten som tillhandahålls kan ha betydande påverkan på människors liv och hälsa, om man är den enda leverantören av tjänsten i en medlemsstat eller om en störning på tjänsten skulle kunna medföra gränsöverskridande systemrisker. Ytterligare undantag listas i artikel 2 i direktivet.

Påverkar fler

Ett tillskott i NIS2-direktivet är att det även innehåller krav på säkerhet i leveranskedjan. Detta gör att det inte bara är de berörda verksamheterna som kommer påverkas utan även deras leverantörer och underleverantörer. På så sätt kommer NIS2 att få betydligt vidare påverkan än de sektorer som explicit anges i direktivet.

Det första NIS direktivet implementerades i Sverige så att det var verksamheterna som själva var ansvariga för att identifiera om de omfattades eller inte och anmäla sig till sin tillsynsmyndighet. I regeringens direktiv till den svenska utredningen om implementeringen av NIS2 står det att samma princip bör vara utgångspunkten även gällande NIS2 men att utredningen bland annat ska föreslå ett system för hur entiteter som omfattas av regleringen ska identifieras och registreras.

Om du misstänker att du kan komma att omfattas av NIS2-direktivet, eller behöver stöd i att avgöra detta, tveka inte att kontakta oss på Secify så berättar vi mer. Secify erbjuder både rådgivning och stöd vid implementering av såväl NIS som NIS2-direktivet.