FAQ: Vad du behöver veta om NIS och NIS2

Vad är NIS2-direktivet?

NIS2 är en uppdaterad EU-lagstiftning som har skapats för att höja den digitala säkerheten inom hela Europa. Eftersom vårt samhälle blir alltmer digitaliserat, blir också konsekvenserna av en cyberattack mycket större. NIS2 kräver helt enkelt att företag och organisationer som sköter viktiga samhällsfunktioner måste ha ett starkt och proaktivt skydd mot digitala hot.

Vilka företag omfattas av de nya NIS-kraven?

Många tror att detta bara gäller renodlade IT-bolag, men det stämmer inte. NIS2 träffar en mycket bredare målgrupp. Om ditt företag har fler än 50 anställda (eller omsätter över 10 miljoner euro) och verkar inom någon av följande sektorer, är risken stor att ni omfattas:

Energi och transport (t.ex. el, fjärrvärme, logistik)

Bank, finans och hälso- och sjukvård

Digital infrastruktur (t.ex. internetleverantörer och molntjänster)

Offentlig förvaltning

Kritiska verksamheter som tillverkning av vissa produkter, kemikalier, livsmedelsproduktion och avfallshantering.

Tips: Även om ditt företag är mindre, kan ni påverkas indirekt om ni är underleverantör till ett större bolag som omfattas av kraven!

Vad krävs av oss i praktiken? (Otekniskt förklarat)

Du behöver inte bli en IT-expert över en natt, men ledningen i företaget måste ta ett aktivt ansvar för säkerheten. I praktiken handlar det om tre saker:

Riskhantering: Ni måste identifiera vilka digitala risker ni har och ha en plan för hur ni hanterar dem.

Rapportering: Om ni drabbas av en allvarlig IT-incident (t.ex. ett dataintrång eller ett långvarigt systemavbrott) måste detta rapporteras till myndigheterna snabbt – ofta inom 24 timmar.

Grundläggande digital hygien: Det handlar om att ha starka lösenord, använda tvåfaktorautentisering (MFA), göra regelbundna säkerhetskopior och utbilda personalen i att upptäcka nätfiske.

Vad händer om vi inte uppfyller NIS2-kraven?

Att ignorera de nya reglerna kan bli dyrt. Myndigheterna har rätt att utkräva höga sanktionsavgifter (böter) av företag som inte sköter sin digitala säkerhet. Men den största risken är egentligen inte böterna – det är risken för ett långvarigt driftstopp, förlorad kunddata eller ett skadat varumärke om ni skulle drabbas av en attack utan att ha rätt skydd på plats.

Hur börjar vi?

Att bygga rätt säkerhetsnivå behöver inte göras i ett gigantiskt steg. Det handlar om att börja i rätt ände:

Gör en enkel inventering: Vilka system är absolut viktigast för att vår verksamhet ska rulla?

Se över era rutiner: Vem gör vad om tekniken plötsligt slutar fungera?

Ta hjälp: Du behöver inte lösa allt själv.

Vill du ha hjälp att navigera i de nya säkerhetskraven?

Säkerhet handlar inte bara om lagkrav – det handlar om att skydda din verksamhet, dina anställda och dina kunder så att ni kan jobba tryggt varje dag.

Vi på Netmine hjälper dig gärna att titta på hur din nuvarande IT-miljö ser ut och vad som krävs för att ni ska ligga på en säker och stabil nivå. Välkommen att höra av dig till oss för ett förutsättningslöst tech-snack!

1. Vad är skillnaden mellan NIS och NIS2?

Kort sagt: Bredd och straffavgifter. Det första NIS-direktivet (som kom 2016) gällde bara ett fåtal kritiska sektorer som elnät och sjukvård. NIS2 är en uppdatering som omfattar betydligt fler branscher, ställer mycket hårdare krav på företagens ledningsgrupper och inför kraftiga böter för de som inte följer reglerna. Det är helt enkelt en mycket skarpare lagstiftning.

2. Vi är ett litet företag med färre än 50 anställda, kan vi andas ut då?

Inte nödvändigtvis. Även om direktivet har en huvudregel som undantar småföretag, finns det två stora undantag. För det första omfattas mindre företag om de anses ha en unik, kritisk roll för samhället. För det andra – och det är detta som drabbar flest – kommer era större kunder som faktiskt omfattas av NIS2 att ställa stenhårda krav på er. De är nämligen enligt lag skyldiga att säkra sina leveranskedjor. Så om ni vill behålla era stora kunder måste ni ofta följa kraven ändå.

3. Är NIS2 samma sak som GDPR?

Nej, men de påminner om varandra i hur de tvingar företag att agera. GDPR handlar om att skydda privatpersoners personuppgifter och integritet. NIS2 handlar om att skydda hela verksamhetens IT-miljö, nätverk och system från att dras ut i ljuset eller stängas ner av cyberkriminella. Man kan säga att GDPR skyddar datan, medan NIS2 skyddar driften och infrastrukturen.

4. Vilket konkret ansvar har jag som sitter i företagsledningen eller styrelsen?

Här kommer en av de största förändringarna: Ansvaret kan inte längre läggas över helt på en extern IT-tekniker eller en intern IT-ansvarig. Enligt NIS2 har företagsledningen och styrelsen det yttersta, personliga ansvaret för att säkerhetsarbetet sköts. Ni måste godkänna företagets riskhanteringsåtgärder och ni är skyldiga att genomgå utbildning i cybersäkerhet för att förstå hotbilden.

5. Behöver vi köpa in massor av dyra system nu?

Nej, inte nödvändigtvis. NIS2 handlar i mycket hög grad om processer, rutiner och medvetenhet. Självklart behöver ni grundläggande tekniska skydd (som brandväggar, kryptering och tvåfaktorautentisering), men det viktigaste är hur ni jobbar. Att ha en tydlig policy för hur lösenord hanteras, hur ni uppdaterar era programvaror och hur personalen utbildas kostar mer i engagemang än i rena pengar.

6. Hur mycket kan man faktiskt få i böter om man missar kraven?

Det beror på hur kritisk er verksamhet är, men sanktionsavgifterna är utformade för att svida ordentligt. För de mest kritiska verksamheterna kan böterna landa på upp till 10 miljoner euro eller 2 % av företagets globala omsättning. För andra viktiga verksamheter ligger taket på 7 miljoner euro eller 1,4 % av omsättningen. Myndigheterna kan dessutom hålla ledningen personligen ansvarig och tillfälligt förbjuda personer från att sitta i ledande ställning.

7. När träder de nya reglerna i kraft och hur snabbt måste vi agera?

Reglerna har redan klubbats i EU, och den svenska lagstiftningen anpassas nu i snabb takt (med fokus på 2024–2026). Svaret på hur snabbt ni måste agera är: Nu. Att bygga upp en god säkerhetskultur, inventera sina IT-system och säkra sina rutiner tar tid. Ju förr ni börjar se över er digitala miljö, desto smidigare (och billigare) blir övergången till att bli helt "NIS2-säkra".