För verksamheter 

Vad är NIS2-direktivet och varför är det viktigt för min verksamhet?

För många företag och verksamheter innebär direktivet att man måste införa strikta säkerhetsåtgärder för att skydda nätverks- och informationssystem. Direktivet är viktigt eftersom det tar hänsyn till ökade cyberhot och incidenter som kan påverka både verksamhetens drift och samhällets funktioner.

Vilka omfattas av NIS2-direktivet och den nya cybersäkerhetslagen?

Till skillnad från det tidigare direktivet, som enbart omfattade vissa digitala tjänster, gäller NIS2 för hela verksamheten hos en "verksamhetsutövare". Detta innebär att om en del av din verksamhet omfattas av NIS2-direktivet, gäller reglerna för hela organisationen. Verksamhetsutövare kan vara både fysiska och juridiska personer, inklusive enskilda firmor, och sektorer som energi, transporter, bankverksamhet, sjukvård och offentlig förvaltning är specifikt utpekade.

Vad innebär den nya cybersäkerhetslagen som föreslås träda i kraft den 1 januari 2025?

Den nya cybersäkerhetslagen ersätter lagen om informationssäkerhet för digitala och samhällsviktiga tjänster och genomför NIS2-direktivet i svensk lagstiftning. Lagen innehåller också krav som går utöver direktivet, exempelvis hårdare sanktioner och tydligare ansvarsfördelning inom ledningsfunktioner. Det finns ingen övergångsperiod, vilket innebär att alla verksamheter som omfattas av lagen måste vara redo från och med den 1 januari 2025.

Vilket ansvar har företagets ledning enligt den nya lagen?

Företagets ledning, såsom styrelse, VD och vice VD, har ett tydligt ansvar för att övervaka och följa upp cybersäkerhetsarbetet. De ska se till att riskhanteringsåtgärder implementeras och följs upp. Ledningen ska också utbildas i cybersäkerhetsfrågor, och det finns möjligheter att ledande befattningshavare kan förbjudas från att inneha sin position om de brister i ansvaret.

Finns det undantag från regelverket?

Ja, vissa verksamheter är undantagna från NIS2-direktivet. Det gäller främst statliga myndigheter som bedriver säkerhetskänslig verksamhet eller brottsbekämpning. Dessutom kan mindre verksamheter, som inte når upp till storlekskravet på 50 anställda och en omsättning på minst 10 miljoner euro, undantas – om de inte är av särskild betydelse för samhället på regional eller nationell nivå.

Vad gäller för incidentrapportering?

En annan viktig del av den nya lagen är incidentrapportering. Om ni upplever en betydande incident – som allvarlig driftstörning eller ekonomisk skada – måste ni rapportera detta till Myndigheten för samhällsskydd och beredskap (MSB) inom 24 timmar efter att ni blivit medvetna om incidenten. Fullständig rapportering ska lämnas inom 72 timmar och en slutrapport ska skickas in inom en månad.

Vilka sanktioner riskerar vi om vi inte uppfyller kraven i lagen?

Sanktionsavgifterna är betydligt högre än tidigare. En verksamhetsutövare kan drabbas av avgifter på upp till 2 procent av sin globala årsomsättning, eller 10 miljoner euro. För myndigheter är maxbeloppet satt till 10 miljoner kronor. Tillsynsmyndigheterna har dessutom befogenheter att offentliggöra överträdelser och vidta åtgärder mot ledningspersoner.

Hur förbereder vi oss på bästa sätt inför lagens ikraftträdande?

För att förbereda er behöver ni först göra en bedömning av om er verksamhet omfattas av lagen. Därefter bör ni identifiera de risker som er verksamhet står inför och utveckla lämpliga säkerhetsåtgärder. Se till att både ledningen och övriga anställda utbildas i cybersäkerhetsfrågor och att ni har rutiner för att hantera och rapportera incidenter.

Sammanfattningsvis  

  • NIS2-direktivet införs för att stärka cybersäkerheten och gäller hela verksamheter inom vissa sektorer, som energi, sjukvård och offentlig förvaltning.

  • Företagsledningen har ansvar att följa upp och implementera riskhanteringsåtgärder samt utbildas i cybersäkerhetsfrågor.

  • Incidenter måste rapporteras till MSB inom 24 timmar, och sanktionsavgifter kan bli så höga som 2 % av global årsomsättning eller 10 miljoner euro.

  • Verksamheter bör förbereda sig genom att bedöma risker, utbilda personal och utveckla rutiner för incidenthantering innan lagen träder i kraft 1 januari 2025.

Relaterade artiklar

Denna webbplats använder cookies

Cookies ("kakor") består av små textfiler. Dessa innehåller data som lagras på din enhet. För att kunna placera vissa typer av cookies behöver vi inhämta ditt samtycke. Vi på Alex AB (publ), orgnr. 559338-7698 använder oss av följande slags cookies. För att läsa mer om vilka cookies vi använder och lagringstid, klicka här för att komma till vår cookiepolicy.

Hantera dina cookieinställningar

Nödvändiga cookies

Nödvändiga cookies är cookies som måste placeras för att grundläggande funktioner på webbplatsen ska kunna fungera. Grundläggande funktioner är exempelvis cookies som behövs för att du ska kunna använda menyer och navigera på sajten.

Cookies för statistik

För att kunna veta hur du interagerar med webbplatsen placerar vi cookies för att föra statistik. Dessa cookies anonymiserar personuppgifter.

Cookies för annonsmätning

För att kunna erbjuda bättre service och upplevelse placerar vi cookies för att kunna anpassa marknadsföring till dig. Ett annat syfte med denna behandling är att kunna marknadsföra produkter eller tjänster till dig, ge anpassade erbjudanden eller marknadsföra och ge rekommendationer kring nya koncept utifrån vad du har köpt tidigare.

Cookies för personlig annonsmätning

För att kunna visa relevant reklam placerar vi cookies för att anpassa innehållet för dig

Cookies för anpassade annonser

För att visa relevanta och personliga annonser placerar vi cookies för att tillhandahålla unika erbjudanden som är skräddarsydda efter din användardata