Vad är NIS2 och vilka företag omfattas?

Från och med 17 okt. 2024 träder EUs  nya NIS2-direktiv i kraft och ersätter det tidigare NIS-direktivet. Men vad betyder det egentligen, och vilka företag omfattas av dessa regler?

Vad är NIS2?

NIS2 (Network and Information Security 2) är ett uppdaterat regelverk från EU som syftar till att stärka cybersäkerheten för företag inom kritisk infrastruktur. 

Vill du hellre lyssna?

Testa vårt AI-genererade blogginlägg om NIS (eng) 

Vilka omfattas av NIS2?

Till skillnad från föregångaren NIS, utökar NIS2 omfattningen. Företag som verkar inom kritiska tjänster och väsentliga tjänster faller under direktivet:

• Energiförsörjning (el, fjärrvärme eller fjärrkyla, gas, olja)
• Transport (flyg, järnväg, väg, sjöfart)
• Bank- och finansverksamhet
• Hälso- och sjukvård (sjukhus, vårdgivare, läkemedel)
• Vatten- och avfallshantering
• Digital infrastruktur (ex. molntjänster, datacenter, internetleverantörer, IKT-tjänster)
• Offentlig förvaltning
• Rymden
• Post- och budtjänster
• Tillverkning, produktion och distribution av kemikalier, livsmedel och vissa övriga produkter
• Digitala leverantörer
• Forskning

Om ditt företag har en väsentlig betydelse för samhället och om er verksamhet är beroende av nätverk och informationssystem, kan ni omfattas av NIS2.

Varför är NIS2 viktigt för ditt företag?

NIS2 innebär strängare krav på säkerhet, incidentrapportering och riskhantering. Företag som omfattas av NIS2 måste se till att deras system är robusta nog att hantera cyberhot och säkerhetsincidenter.

Den som är verksamhetsutövare enligt NIS2 har i huvudsak följande uppgifter:

• Identifiera att man omfattas och anmäla sig.
• Etablera och upprätthålla ett systematiskt arbete med informationssäkerhet.
• Införa lämpliga säkerhetsåtgärder.
• Utbilda ledning såväl som personal.
• Rapportera in incidenter som medför eller kan medföra betydande störningar.

Verksamhetsutövaren berörs också av tillsyn från tillsynsmyndigheten för den sektor eller de sektorer där man omfattas.