NIS2-direktivet – så påverkas du

Vad innebär NIS2 och förslaget till nya Cybersäkerhetslagen?

NIS-direktiven syftar till att skapa en hög gemensam säkerhet avseende informations- och it-säkerhet inom EU. Det första direktivet antogs 2016. Sedan dess har informations- och nätverkssystem blivit än mer centrala och nödvändiga för att såväl människors vardagsliv, näringsliv och grundläggande samhällsfunktioner ska fungera. Samtidigt har också hotbilden mot dessa system höjts, och incidenter har både ökat och blivit mer omfattande och sofistikerade. Genom att fastställa tydliga regler och krav för cybersäkerhet bidrar NIS2-direktivet till att skydda kritisk infrastruktur och främja en trygg digital miljö för företag och medborgare i EU. 

NIS2 medför ett antal viktiga förändringar inom cybersäkerhet. Exempelvis kommer kraven på riskhanteringsåtgärder att höjas, och sanktioner kommer tillämpas i hela EU mot företag och organisationer som inte följer NIS2.  En nyhet är att NIS2 berör företag och organisationer inom nya sektorer som nu bör vidta lämpliga åtgärder inom områden som hantering av cyberrisker, penetrationstestning och incidenthantering. De som inte följer NIS2 riskerar omfattande ekonomiska påföljder baserade på företagens globala omsättning.

Det nya direktivet kommer att implementeras som lag i Sverige, Cyberäkerhetslagen, och förväntas träda i kraft den 1 januari 2025. 

NIS2 och ny lag om cybersäkerhet

För att förbereda hur NIS2-direktivet ska införlivas i Sverige har det genomförts en statlig utredning, SOU 2024:18. Utredningen föreslår att den nuvarande lagen upphävs och ersätts av en ny lag: Cybersäkerhetslagen. PwC:s jurister har sammanfattat lagförslaget. Läs mer om hur förslaget påverkar din verksamhet.
Ladda ner sammanfattningen

Vill du ha hjälp med regelverket NIS2?

Vår rekommendation är att NIS2-direktivet bör ses som en möjlighet att förbättra eller effektivisera er cybersäkerhet, oavsett var ni befinner er när det gäller mognad av er digitala och operativa motståndskraft.

Vi har sammanfattat en guide till NIS2 som hjälper dig att komma igång. Ladda ner och läs! Kontakta oss på PwC för diskussion.

"Effektivitet är avgörande för en lyckad cyberstrategi och för att säkerställa efterlevnad av NIS2-kraven."

Så förbereder du dig inför NIS2-direktivet

  • Bedöm om du kommer att omfattas av NIS2-direktivet

  • Identifiera luckor i förhållande till direktivets krav

  • Utforma ett starkt ramverk för cybersäkerhet som inkluderar organisatoriska och tekniska åtgärder

  • Implementera både organisatoriska och tekniska åtgärder i din organisation

  • Ha övervakningsmekanismer på plats för att kontinuerligt bedöma dina åtgärder

Beställ NIS2-guiden

NIS2-direktivet utökar cybersäkerhetskraven

NIS2-direktivet berör företagens och myndigheternas policies, processer och strategier kring cyber- och informationssäkerhet och fungerar som en bindande lag. Direktivet utökar kraven på cybersäkerhet och syftar till att effektivisera säkerhetsnivån mellan medlemsländerna. Företag och organisationer kommer att behöva hantera riskhantering av cyber, kontroll och övervakning samt incidenthantering.

NIS2 påverkar fler företag och samhällsfunktioner

EU vill att alla organisationer som fyller viktiga samhällsfunktioner omfattas av NIS2. Det betyder att NIS2 även gäller för sektorer som livsmedelsproduktion, avfallshantering och övriga delar av försörjningskedjan. Fokus i NIS2-direktivet är dels på cyberincidenter som kan leda till en risk för organisationer, även incidenter som kan skada eller hindra samhällsfunktionerna. Därför går omfattningen långt utöver traditionella kritiska infrastrukturorganisationer.

Exempelvis inom energisektorn, begränsades tillämpningsområdet enligt NIS till företag som producerar och levererar energi inom el- och naturgas. Med NIS2 förväntar vi oss att leveranskedjan, exempelvis tillverkare av vindkraftverk och operatörer av laddstationer för elfordon, inkluderas.

Väsentliga sektorer och viktiga sektorer

NIS2-direktivet skiljer mellan "väsentliga sektorer" och "viktiga sektorer" (se alla sektorer i tabellen nedan). Den största skillnaden mellan de två är att "viktiga sektorer" drabbas av lägre ekonomiska påföljder och kommer att bli föremål för reaktiv tillsyn av myndigheter, i motsats till proaktiv tillsyn från myndigheterna som gäller för "väsentliga" sektorer. 

Vilka omfattas av NIS2? 

  • Företag eller organisationer som sysselsätter fler än 49 personer
  • Företag eller organisationer med omsättning eller balansomslutning som överstiger 10 miljoner euro per år och tillhör någon av sektorerna som listas nedan.
  • De allra flesta statliga myndigheter, regioner och kommuner (oavsett storlek).

Energi – leverans, distribution, överföring och försäljning av el, gas, olja, värme/kyla, vätgas, laddstationsoperatörer för elbilar

Flyg-, järnvägs-, väg- och vattentransporter (inklusive rederier och hamnanläggningar)

Bank/finans – kredit, handel, marknad och infrastruktur

Hälsa – vårdgivare, forskningslaboratorier, läkemedel, tillverkning av medicintekniska produkter

Vatten – dricksvattenleverantörer och avloppsvattenoperatörer

Digital infrastruktur och IT-tjänster – DNS, namnregister, förtroendetjänster, datacenter, cloud computing, elektroniska kommunikationstjänster, hanterade tjänster och hanterade säkerhetstjänster

Offentlig förvaltning på central och regional nivå

Rymd – markbaserade infrastrukturoperatörer

Leverantörer av post- och budtjänster

Avfallshantering

Kemikalier – produktion och distribution

Livsmedel – distribution och produktion

Tillverkare: medicinska/diagnostiska apparater, datorer, elektronik, optik, maskiner, motorfordon, släpvagnar, semitrailers, annan transportutrustning

Digitala leverantörer – onlinemarknadsplatser, sökmotorer, sociala plattformar

Forskningsorganisationer

Kontakta oss

Henrik J Petré

Henrik J Petré

Partner, Cyber Security, PwC Sverige

Tel 0709-29 11 27

Jelena Minic

Jelena Minic

Cybersäkerhetskonsult, PwC Sverige

Tel 0728-80 94 26

Charlotte Arnell

Charlotte Arnell

Rådgivare, PwC Sverige

Tel 0728-80 95 72

Marie Strömberg

Marie Strömberg

Director, rådgivare IT Governance & Cyber Security, PwC Sverige

Tel 0733-69 45 63

Följ oss i sociala medier