Har NIS2 skapat förvirring i din organisation? Oroa dig inte, ni är inte ensamma. Bedömningen om ens organisation kommer omfattas av NIS2 kan vara en komplex och förvirrande process. För att göra det hela mindre överväldigande har vi brutit ned bedömningsprocessen i tre klara steg. Så ni lättare kan förstå om det nya direktivet omfattar er organisation.
Steg 1.
Tillhör din organisation någon av följande sektorer?
För att komma igång med bedömningen (steg 1), måste ni undersöka om er organisation klassas som någon av de 18 entiteterna enligt NIS2. Dessa entiteter är uppdelade i två huvudkategorier: högkritiska sektorer och andra kritiska sektorer.
(En entitet definieras i direktivet som ”en fysisk eller juridisk person som bildats och erkänts som sådan enligt nationell rätt där den etablerats och som i eget namn får utöva rättigheter och ha skyldigheter”)
Högkritiska sektorer:
- Energi
- Transporter
- Finansmarknads-infrastruktur
- Bankverksamhet
- Hälso- och sjukvårdssektorn
- Dricksvatten
- Avloppsvatten
- Digital infrastruktur
- Förvaltning av IKT-tjänster (mellan företag)
- Rymden
- Offentlig förvaltning
Andra kritiska sektorer:
- Post- och budtjänster
- Avfallshantering
- Tillverkning, produktion och distribution av kemikalier
- Produktion, bearbetning och distribution av livsmedel
- Tillverkning
- Digitala leverantörer
- Forskning
Om er organisation är med bland sektorerna så är det dags för nästa steg. Om du däremot är osäker på om någon av dessa sektorer omfattar er organisation, rekommenderar vi att du läser direktivet och granskar bilaga I och II för att läsa om de olika delsektorerna och hur de definieras enligt lagen.
Steg 2
Undantag på grund av organisationens storlek?
Nu när ni har identifierat er sektor, går vi vidare till nästa steg. Att tillhöra någon av dessa sektorer innebär dock inte automatiskt att NIS2 omfattar er. Det finns undantag som gör att det nya direktivet inte gäller på grund av storleken på er organisation. Om det är en liten organisation kan den möjligen klassificeras som ett undantag, vilket innebär att NIS2 inte omfattar er.
Så vad är ett litet företag? Jo, i SMF-kategorin definieras små företag som företag som sysselsätter färre än 50 personer och vars omsättning eller balansomslutning inte överstiger 10 miljoner euro per år. Är er organisation större än så? Då gäller undantaget inte er.
Steg 3
Undantag från undantaget?
Det blir ännu mer komplext när det gäller mindre företag. Trots klassificeringen som litet företag kan ni ändå omfattas av NIS2. Det betyder alltså att trots direktivets betoning på medelstora till stora företag även kan påverka mindre företag.
Art 2 i NIS2 beskriver för vilka företag det gäller:
Det gäller för företag som tillhandahåller allmänna elektroniska kommunikationstjänster, betrodda tjänster, eller domännamnssystemtjänster.
Det gäller även om en tjänst är kritisk för en medlemsstats samhälls- eller ekonomiska verksamhet, om en störning av tjänsten kan påverka människors liv, allmän säkerhet eller folkhälsa, eller om störningen kan orsaka systemrisker över sektorer.
Slutligen gäller NIS2 för entiteter som identifieras som kritiska enligt direktiv (EU) 2022/2557, oavsett storlek.
Omfattar NIS2 er indirekt?
En viktig nyhet i NIS2 är att det nya direktivet ställer krav på säkerhet i hela leveranskedjan. Det innebär att en entitet som omfattas av direktivet har som skyldighet att säkra hela sin leveranskedja. Det omfattar säkerhetsaspekter som relaterar till förbindelserna mellan entitet och dess direkta leverantörer eller tjänsteleverantörer.
Särskild uppmärksamhet bör också ägnas åt kraven enligt artikel 21, som tydligt definierar de specifika åtgärder som krävs för att säkerställa en robust och skyddad leveranskedja. Att noggrant granska och efterleva dessa krav är avgörande för att uppfylla NIS2-direktivets bestämmelser och säkerställa en heltäckande säkerhet i hela leveranskedjan.
Praktisk vägledning – ladda ner NIS2-guide
Om din organisation omfattas av NIS2 är nästa steg att reda ut vad det i praktiken innebär för er. I vår NIS2-guide har vi sammanfattat våra erfarenheter tillsammans med praktisk vägledning.
