PowerQuantSESkicka ert frågeformulär

Ordlista för EU:s AI-förordning och NIS2

En praktikerns ordlista över de 37 termer som en HR-tech-, fintech- eller SaaS-organisation oftast stöter på när de läser EU:s AI-förordning (förordning (EU) 2024/1689) och NIS2-direktivet (direktiv (EU) 2022/2555). Varje post hänvisar till den artikel eller bilaga den härstammar från så att du kan verifiera mot den konsoliderade texten på EUR-Lex.

Auktoritetskällor. Alla hänvisningar avser den konsoliderade texten för förordning (EU) 2024/1689 av den 13 juni 2024 och direktiv (EU) 2022/2555 av den 14 december 2022, som offentliggjorts i Europeiska unionens officiella tidning och finns tillgängliga via eur-lex.europa.eu/eli/reg/2024/1689/oj och eur-lex.europa.eu/eli/dir/2022/2555/oj.

Denna sida är en referens, inte juridisk rådgivning. Där en medlemsstats genomförandelag lägger till detaljer (i synnerhet för NIS2, som är ett direktiv och därför genomförs nationellt) är den nationella texten styrande.


EU:s AI-förordning — operatörsroller (artikel 3)

AI-förordningen tilldelar skyldigheter efter roll, inte efter företagsstorlek. Samma juridiska person kan vara leverantör för ett system och tillhandahållare för ett annat. Artikelhänvisningar avser förordning (EU) 2024/1689 om inte annat anges.

AI-system — Artikel 3(1)

Ett maskinbaserat system som är utformat för att verka med varierande grader av autonomi, som kan uppvisa anpassningsförmåga efter driftsättning och som, för explicita eller implicita mål, härleder från den indata det tar emot hur det ska generera resultat såsom förutsägelser, innehåll, rekommendationer eller beslut som kan påverka fysiska eller virtuella miljöer. Enkel deterministisk programvara och traditionella statistiska metoder faller utanför denna definition.

Leverantör — Artikel 3(3)

En fysisk eller juridisk person, offentlig myndighet, byrå eller annat organ som utvecklar ett AI-system eller en GPAI-modell eller låter ett sådant system eller en sådan modell utvecklas och placerar det på marknaden eller tar det i drift under eget namn eller varumärke, oavsett om det sker mot betalning eller kostnadsfritt. Leverantören bär den tyngsta uppsättningen skyldigheter enligt förordningen, inklusive konformitets­bedömning, teknisk dokumentation och marknadsövervakning efter utsläppandet.

Tillhandahållare — Artikel 3(4)

En fysisk eller juridisk person, offentlig myndighet, byrå eller annat organ som använder ett AI-system under sin auktoritet, utom när AI-systemet används i samband med en personlig icke-yrkesmässig aktivitet. De flesta HR-, finans- och driftsteam som använder ett tredje parts AI-verktyg är tillhandahållare, inte leverantör.

Befullmäktigat ombud — Artikel 3(5)

En fysisk eller juridisk person som är belägen eller etablerad i unionen och som har tagit emot och accepterat ett skriftligt uppdrag från en leverantör av ett AI-system eller en GPAI-modell att för dennes räkning utföra de skyldigheter och förfaranden som fastställs i förordningen. Krävs när leverantören är baserad utanför unionen.

Importör — Artikel 3(6)

En fysisk eller juridisk person som är belägen eller etablerad i unionen och som placerar på marknaden ett AI-system som bär namn eller varumärke tillhörande en fysisk eller juridisk person som är etablerad utanför unionen. Importörer måste verifiera att konformitets­bedömningen har genomförts och att dokumentationen är i ordning innan systemet placeras på marknaden.

Distributör — Artikel 3(7)

En fysisk eller juridisk person i leveranskedjan, annan än leverantören eller importören, som tillhandahåller ett AI-system på unionsmarknaden. Distributörer måste kontrollera att systemet bär den erforderliga CE-märkningen och åtföljs av EU-konformitets­deklarationen och bruksanvisningarna.

Operatör — Artikel 3(8)

En paraplyterm som omfattar leverantören, produkttillverkaren, den tillhandahållaren, det befullmäktigade ombudet, importören och distributören. Många skyldigheter — exempelvis samarbete med myndigheter — faller på "operatörer" generellt snarare än på en specifik roll.


Livscykeldefinitioner

Utsläppande på marknaden — Artikel 3(9)

Det första tillhandahållandet av ett AI-system eller en GPAI-modell på unionsmarknaden. Många skyldigheter utlöses första gången en produkt erbjuds, även innan någon kund faktiskt börjar använda den.

Ibruktagande — Artikel 3(11)

Tillhandahållande av ett AI-system för första användning direkt till den tillhandahållaren eller för leverantörens eget bruk i unionen för dess avsedda ändamål. Ett internt verktyg som aldrig säljs kan ändå tas i drift och faller därmed inom tillämpningsområdet.

Avsett ändamål — Artikel 3(12)

Den användning för vilken ett AI-system är avsett av leverantören, inklusive det specifika sammanhanget och användnings­förhållandena, enligt vad som anges i den information som leverantören lämnar i bruksanvisningarna, i reklam- och försäljningsmaterial och uttalanden, samt i den tekniska dokumentationen. Att använda ett system utanför dess avsedda ändamål kan omvandla en tillhandahållare till leverantör.

Väsentlig ändring — Artikel 3(23)

En ändring av ett AI-system efter dess utsläppande på marknaden eller ibruktagande som inte förutsågs eller planerades i den ursprungliga konformitets­bedömningen av leverantören och som till följd därav påverkar AI-systemets överensstämmelse med kraven i kapitel III, avsnitt 2, eller som resulterar i en ändring av det avsedda ändamål för vilket AI-systemet har bedömts. Enligt artikel 25 behandlas en tillhandahållare som väsentligt ändrar ett högrisk-AI-system som en ny leverantör med den fullständiga uppsättningen av leverantörs­skyldigheter.

Allvarlig incident — Artikel 3(49)

En incident eller ett fel hos ett AI-system som direkt eller indirekt leder till en persons dödsfall eller allvarlig skada på en persons hälsa, en allvarlig och irreversibel störning av hanteringen eller driften av kritisk infrastruktur, kränkning av skyldigheter enligt unionsrätten avsedda att skydda grundläggande rättigheter, eller allvarlig skada på egendom eller miljö. Leverantör av högrisk-AI-system måste rapportera sådana incidenter till den relevanta marknadskontrollmyndigheten enligt artikel 73.


Riskklassificering

AI-förordningen är riskbaserad: de flesta system är oreglerade, en sluten lista är förbjuden, en definierad lista är högrisk och ett separat transparensregelverk fångar generativa och personifierande system oavsett risknivå.

Förbjuden AI-metod — Artikel 5

En av åtta kategoriska förbud, i kraft sedan den 2 februari 2025, som täcker subliminal eller manipulativ teknik, utnyttjande av sårbarheter, social poängsättning, individuell prediktiv polisering, riktningslös skrapning av ansiktsbilder, biometrisk kategorisering baserad på känsliga attribut, känslоigenkänning på arbetsplatser och utbildnings­institutioner (med snäva undantag för säkerhet och medicin), samt fjärrbiometrisk identifiering i realtid av brottsbekämpande myndigheter på offentliga platser. Överträdelse exponerar operatörer för den högsta bötesnivån på 35 000 000 euro eller 7 % av den globala totala årsomsättningen (artikel 99(3)).

Högrisk-AI-system — Artikel 6 + bilaga I + bilaga III

Ett AI-system är högrisk antingen därför att det är en säkerhets­komponent i, eller i sig är, en produkt som omfattas av unionsharmoniserings­lagstiftningen förtecknad i bilaga I (t.ex. medicintekniska produkter, maskiner, leksaker), eller därför att det faller inom ett av de användnings­fall som förtecknas i bilaga III. Högrisk-status utlöser de fullständiga kraven i kapitel III avsnitt 2: riskhantering, datastyrning, teknisk dokumentation, loggning, transparens gentemot tillhandahållare, mänsklig tillsyn, noggrannhet, robusthet och cybersäkerhet.

Bilaga III — bilaga III, hänvisad till av artikel 6(2)

Den slutna listan med åtta högrisk-användnings­fall: (1) biometri, (2) kritisk infrastruktur, (3) utbildning och yrkesutbildning, (4) anställning, arbets­tagarhantering och tillträde till egenföretagande, (5) tillgång till och åtnjutande av viktiga privata och offentliga tjänster och förmåner, (6) brottsbekämpning, (7) migration, asyl och gränskontroll, samt (8) rättskipning och demokratiska processer. HR-tech-system som används vid rekrytering, urval, befordran, prestations­utvärdering och uppsägning återfinns under punkt 4.

Undantag enligt artikel 6(3) — Artikel 6(3)

Ett system enligt bilaga III anses inte utgöra högrisk om det inte medför en betydande risk för skada på hälsa, säkerhet eller grundläggande rättigheter och faller inom ett av fyra snäva mönster: snäv proceduruppgift, förbättring av en tidigare utförd mänsklig aktivitet, identifiering av beslutsfattande mönster utan att ersätta mänsklig granskning, eller förberedande uppgift. Undantaget gäller aldrig när systemet utför profilering av fysiska personer i den mening som avses i artikel 4(4) GDPR, och leverantören måste dokumentera bedömningen innan systemet placeras på marknaden.

GPAI-modell (generell AI) — Artikel 3(63), kapitel V

En AI-modell — inklusive där en sådan AI-modell tränas med en stor mängd data med hjälp av självövervakning i stor skala — som uppvisar betydande generalitet och är kapabel att kompetent utföra ett brett spektrum av distinkta uppgifter oavsett hur modellen placeras på marknaden och som kan integreras i en mängd olika system eller applikationer nedströms. Leverantör av GPAI-modeller har en separat uppsättning skyldigheter (teknisk dokumentation, upphovsrättspolicy, sammanfattning av träningsdata) enligt artiklarna 53 till 55.

GPAI-modell med systemrisk — Artikel 51

En GPAI-modell klassificeras som att ha systemrisk om den har kapaciteter med hög påverkan utvärderade på basis av lämpliga tekniska verktyg och metoder, eller om kommissionen klassificerar den som sådan enligt kriterier i bilaga XIII. En modell presumeras ha kapaciteter med hög påverkan när den kumulativa beräkningskapaciteten som använts för dess träning, mätt i flytande­punkts­operationer, är större än 10^25 FLOP — en motbevisbar presumtion, inte en hård gräns. Klassificeringen utlöser de tyngre skyldigheterna i artikel 55.


Konformitet och registrering

Konformitetsbedömning — Artikel 43

Processen för att visa att ett högrisk-AI-system uppfyller kraven i kapitel III avsnitt 2 innan det placeras på marknaden eller tas i drift. För bilaga III punkterna 2–8 (vilket inkluderar AI för anställning) är vägen intern kontroll enligt bilaga VI — inget anmält organ är involverat. För biometriska system enligt bilaga III punkt 1 väljer leverantör mellan intern kontroll enligt bilaga VI när harmoniserade standarder tillämpas fullt ut, eller tredjepartsbedömning med ett anmält organ enligt bilaga VII.

Anmält organ — Artikel 3(22)

Ett konformitetsbedömnings­organ som anmälts till kommissionen av en medlemsstat enligt artikel 31 för att utföra tredjepartskonformitets­bedömning för specificerade högrisk-AI-system. De flesta användnings­fall enligt bilaga III (anställning, utbildning, tjänster, rättskipning) kräver inte ett anmält organ, eftersom de genomgår intern kontroll enligt bilaga VI.

CE-märkning — Artikel 48

Den märkning varigenom en leverantör anger att ett högrisk-AI-system överensstämmer med kraven i kapitel III avsnitt 2 och annan tillämplig unionsharmoniserings­lagstiftning. För digitala högrisk-AI-system kan CE-märkningen fästas i digitalt format förutsatt att den är lättillgänglig via gränssnittet eller en maskinläsbar kod.

EU-konformitetsdeklaration — Artikel 47

En skriftlig, maskinläsbar, fysisk eller elektroniskt undertecknad förklaring upprättad av leverantören för varje högrisk-AI-system som anger att systemet uppfyller kraven i kapitel III avsnitt 2. Ska hållas tillgänglig för nationella behöriga myndigheter i tio år efter att systemet placerats på marknaden eller tagits i drift.

EU-databas för högrisk-AI-system — Artikel 71

En central, delvis offentlig EU-databas, hanterad av kommissionen, i vilken leverantör (och vissa tillhandahållare som är offentliga myndigheter) måste registrera högrisk-system enligt bilaga III innan de placeras på marknaden eller tas i drift, i enlighet med artikel 49. Listningar för brottsbekämpning, migration, asyl och gränskontroll återfinns i ett icke-offentligt avsnitt.


Skyldigheter riktade mot tillhandahållare

Dessa är de skyldigheter som oftast faller på kunder till AI-leverantörer snarare än på leverantörerna själva, vilket är varför HR-, finans- och driftsfunktioner behöver känna igen dem.

Bruksanvisningar — Artikel 13

Information som leverantören måste tillhandahålla med varje högrisk-AI-system, i en kortfattad, fullständig, korrekt och tydlig form som är relevant, tillgänglig och begriplig för tillhandahållare. Måste innehålla leverantörens identitet, systemets egenskaper och avsedda ändamål, prestanda­mått, förutsebara risker, de åtgärder för mänsklig tillsyn som ska tillämpas av den tillhandahållaren, samt förväntad livslängd och erforderligt underhåll.

Mänsklig tillsyn — Artikel 14

Åtgärder utformade och implementerade så att ett högrisk-AI-system effektivt kan övervakas av fysiska personer under den period det används, med syftet att förebygga eller minimera risker för hälsa, säkerhet eller grundläggande rättigheter. Tillhandahållare måste tilldela tillsyn till fysiska personer som har nödvändig kompetens, utbildning, befogenhet och stöd (artikel 26(2)). För vissa biometriska system kräver artikel 14(5) att ingen åtgärd eller inget beslut fattas baserat på systemets resultat såvida inte identifieringen har verifierats och bekräftats separat av minst två fysiska personer.

Datastyrning (artikel 10) — Artikel 10

Krav på leverantörssidan avseende tränings-, validerings- och testdatamängder: relevans, representativitet, frihet från fel och statistiska egenskaper lämpliga för avsedda personer eller grupper. Artikel 10(5) tillhandahåller en snäv rättslig grund för behandling av känsliga personuppgifter strikt när det är nödvändigt för att upptäcka och korrigera bias, med förbehåll för skyddsåtgärder.

Loggning / loggbevaring — Artikel 12 + artikel 26(6)

Högrisk-AI-system måste tekniskt möjliggöra automatisk registrering av händelser (loggar) under sin livstid, med en minimiuppsättning loggar definierad för fjärrbiometriska identifieringssystem i artikel 12(3). Artikel 26(6) kräver att tillhandahållare under deras kontroll bevarar dessa loggar under en period lämplig för det avsedda ändamålet och minst sex månader, om inte en längre period krävs av unionsrätten eller nationell rätt.

Skyldigheter för tillhandahållare enligt artikel 26 — Artikel 26

Den slutna listan med skyldigheter för tillhandahållare avseende högrisk-AI-system: använda systemet i enlighet med bruksanvisningarna, tilldela mänsklig tillsyn, säkerställa att indata är relevant och tillräckligt representativ, övervaka driften, avbryta användningen och informera leverantören och myndigheten vid misstänkta allvarliga incidenter eller bristande efterlevnad, föra loggar, informera berörda arbetstagare och arbetstagarrepresentanter innan systemet tas i drift på arbetsplatsen (artikel 26(7)), och respektera individuella rättigheter till förklaring enligt artikel 86.

Konsekvensbedömning avseende grundläggande rättigheter (FRIA) — Artikel 27

En bedömning före driftsättning som offentligrättsliga organ, privata operatörer som tillhandahåller offentliga tjänster och tillhandahållare som använder system enligt bilaga III punkt 5(b) för kreditvärdighets­bedömning eller punkt 5(c) för riskbedömning i liv- och hälsoförsäkring måste genomföra före första användning. Den måste beskriva den tillhandahållarens processer, period och frekvens för användningen, berörda kategorier av personer, specifika skaderisker för dessa personer, åtgärder för mänsklig tillsyn och de åtgärder som ska vidtas om dessa risker materialiseras. Skiljer sig från en GDPR-konsekvensbedömning, även om de kan genomföras parallellt.

AI-läskunnighet — Artikel 4

Både leverantör och tillhandahållare måste i möjligaste mån vidta åtgärder för att säkerställa en tillräcklig nivå av AI-läskunnighet hos sin personal och andra personer som hanterar drift och användning av AI-system på deras vägnar, med hänsyn till deras tekniska kunskap, erfarenhet, utbildning och fortbildning samt det sammanhang där AI-systemen ska användas. I kraft sedan den 2 februari 2025 och gäller all AI-användning, inte bara högrisk.


Transparens (artikel 50)

Transparensskyldigheter enligt artikel 50 — Artikel 50

Gäller från och med den 2 augusti 2026 och gäller tvärs över risknivåerna. Leverantör måste utforma AI-system avsedda att interagera direkt med människor så att dessa människor informeras om att de interagerar med en AI, såvida detta inte är uppenbart. Leverantör av generativ AI måste märka resultat som artificiellt genererade i ett maskinläsbart format. Tillhandahållare av system för känslо­igenkänning eller biometrisk kategorisering måste informera de fysiska personer som exponeras för dem. Tillhandahållare av djupförfalskningar måste röja att innehållet har genererats eller manipulerats artificiellt; tillhandahållare som publicerar AI-genererad eller AI-manipulerad text i frågor av allmänt intresse måste röja detta, med undantag för redaktionellt kontrollerad text och kreativa eller satiriska verk.

Djupförfalskning — Artikel 3(60)

AI-genererat eller AI-manipulerat bild-, ljud- eller videoinnehåll som liknar befintliga personer, objekt, platser, enheter eller händelser och som för en person falskeligen skulle framstå som autentiskt eller sanningsenligt. Tillhandahållare av AI-system som producerar djupförfalskningar måste röja att innehållet har genererats eller manipulerats artificiellt enligt artikel 50(4).

Fjärrbiometrisk identifiering i realtid — Artikel 3(42) och artikel 5(1)(h)

Ett biometriskt identifieringssystem i vilket inhämtning av biometriska data, jämförelse och identifiering alla sker utan betydande fördröjning, vilket omfattar inte bara omedelbar identifiering utan även begränsade korta fördröjningar för att undvika kringgående. Användning på allmänt tillgängliga platser för brottsbekämpande ändamål är förbjuden enligt artikel 5(1)(h) utom för en uttömmande lista av fall (t.ex. riktad sökning efter specifika offer, förebyggande av ett specifikt och överhängande terroristhot) med föregående rättsligt eller oberoende administrativt tillstånd.


Styrning och tidsplan

AI-regulatorisk sandlåda — Artikel 57

Ett kontrollerat ramverk upprättat av en behörig myndighet som erbjuder leverantör eller blivande leverantör möjligheten att utveckla, träna, validera och testa, i förekommande fall under verkliga förhållanden, ett innovativt AI-system, i enlighet med en sandlådeplan under en begränsad tid under tillsynsmyndighetens tillsyn. Medlemsstater måste ha minst en nationell sandlåda i drift senast den 2 augusti 2026.

AI-kontoret — Artikel 64 + kommissionens beslut C(2024) 390

Ett organ inrättat inom Europeiska kommissionen med exklusiva tillsyns- och genomdrivande­befogenheter över leverantör av GPAI-modeller enligt kapitel V. AI-kontoret stöder också Europeiska rådet för artificiell intelligens (artikel 65) och bidrar till konsekvent tillämpning av förordningen i medlemsstaterna.

Tillämpningsdatum enligt artikel 113 — Artikel 113

Förordningen trädde i kraft den 1 augusti 2024. Förbuden i artikel 5 och AI-läskunnighet enligt artikel 4 tillämpades från och med den 2 februari 2025. Kapitel V:s GPAI-skyldigheter och kapitel XII:s påföljder (utom artikel 101 för GPAI-leverantör) tillämpas från och med den 2 augusti 2025. Merparten av förordningen, inklusive transparens enligt artikel 50 och högrisk­skyldigheterna i bilaga III, tillämpas från och med den 2 augusti 2026. Högriskklassificeringen enligt artikel 6(1) för AI som används som säkerhets­komponent i produkter enligt bilaga I tillämpas från och med den 2 augusti 2027.


NIS2-direktivet — kompletterande regelverk

NIS2-direktivet (direktiv (EU) 2022/2555) är EU:s cybersäkerhets­baslinjestandard för berörda sektorer. Medlems­staterna måste ha genomfört det senast den 17 oktober 2024 och producerat en nationell förteckning över berörda enheter senast den 17 april 2025 (artikel 3(3)). NIS2-skyldigheter gäller parallellt med eventuella skyldigheter enligt AI-förordningen.

Väsentlig entitet — NIS2 artikel 3(1) + bilaga I

En enhet av den typ som avses i bilaga I som uppfyller eller överstiger storleksgränsen för stora företag (minst 250 anställda eller en årsomsättning på över 50 000 000 euro eller en balansomslutning på över 43 000 000 euro), plus vissa identifierade enheter oavsett storlek (t.ex. DNS-tjänsteleverantörer, toppdomänregister, kvalificerade leverantör av betrodda tjänster, allmänna elektroniska kommunikationsnät). Väsentliga entiteter är föremål för proaktiv tillsyn enligt NIS2 artikel 32.

Viktig entitet — NIS2 artikel 3(2) + bilaga II

Varje enhet av den typ som avses i bilaga I eller II som inte kvalificerar sig som väsentlig — typiskt medelstora enheter (50 anställda eller 10 000 000 euro i omsättning eller balansomslutning, upp till storleksgränserna för stora företag), och enheter i bilaga II-sektorer med storlek som stora företag. Viktiga entiteter är föremål för tillsyn i efterhand enligt NIS2 artikel 33, utlöst av indikationer på bristande efterlevnad.

Bilaga I — sektorer av hög kritikalitet — NIS2 bilaga I

Elva sektorer som NIS2 behandlar som de mest kritiska: energi, transport, bank, infrastruktur för finansmarknaden, hälsa, dricksvatten, avloppsvatten, digital infrastruktur, ICT-tjänstehantering (B2B), offentliga förvaltnings­enheter i centralregeringar och (där utsedda) på regional nivå, samt rymden.

Bilaga II — andra kritiska sektorer — NIS2 bilaga II

Sju sektorer som NIS2 anser kritiska men inte på den högsta kritikalitets­nivån: post- och budtjänster, avfallshantering, tillverkning, produktion och distribution av kemikalier, produktion, bearbetning och distribution av livsmedel, tillverkning (medicintekniska produkter, datorer, elektronik, maskiner, motorfordon och annan transportutrustning), digitala leverantörer (nätbaserade marknadsplatser, nätbaserade sökmotorer, plattformar för sociala nätverk), samt forskning.

Cybersäkerhetsriskhanteringsåtgärder — NIS2 artikel 21

Den slutna listan med tio minimiåtgärder som väsentliga och viktiga entiteter måste implementera på en allrisk-, proportionell och riskbaserad basis: riskanalys och informationssystems­säkerhets­policyer; incidenthantering; verksamhets­kontinuitet (säkerhetskopior, katastrofåterställning, krishantering); leveranskedjesäkerhet; säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem, inklusive hantering och utlämnande av sårbarheter; bedömning av effektivitet; grundläggande cyberhygien och utbildning; kryptografi och där lämpligt kryptering; personal­säkerhet, åtkomstkontroll­policyer och tillgångs­hantering; samt multifaktor- eller kontinuerlig autentisering, säkrad röst-/video-/textkommunikation och säkrad nödkommunikation.

Betydande incident — NIS2 artikel 23(3)

En incident är betydande om den har orsakat eller är kapabel att orsaka allvarliga driftstörningar av tjänster eller ekonomisk förlust för den berörda enheten, eller om den har drabbat eller är kapabel att drabba andra fysiska eller juridiska personer och orsaka betydande materiell eller immateriell skada. Betydande incidenter utlöser den stegvisa anmälningstidslinjen enligt artikel 23(4).

Anmälan inom 24 timmar / 72 timmar / 1 månad — NIS2 artikel 23(4)

Väsentliga och viktiga entiteter måste till sitt CSIRT eller behöriga myndighet lämna in: en tidig varning inom 24 timmar efter att ha blivit medveten om en betydande incident, som anger om incidenten misstänks ha orsakats av olagliga eller skadliga handlingar och kan ha gränsöverskridande effekter; en incidentanmälan inom 72 timmar, som uppdaterar den tidiga varningen och ger en inledande bedömning, allvarlighets­grad och påverkan samt, där tillgängliga, komprometteringsindikationer; och en slutrapport senast en månad efter incidentanmälan, med en detaljerad beskrivning av incidenten, typ av hot eller grundorsak, tillämpade och pågående begränsningar och eventuell gränsöverskridande påverkan.

Storleksregeln — NIS2 artikel 2(1) + rekommendation 2003/361/EG

Som standard gäller NIS2 endast offentliga eller privata enheter av en typ som avses i bilaga I eller II som kvalificerar sig som medelstora företag eller överstiger gränserna för medelstora företag (50 anställda eller 10 000 000 euro i omsättning eller balansomslutning). Mikro- och småföretag faller utanför standardtillämpningsområdet. Storleksregeln åsidosätts för specifika enhetstyper som förtecknas i artikel 2(2), vilka omfattas oavsett storlek.

Leveranskedjesäkerhet (NIS2) — NIS2 artikel 21(2)(d) + artikel 22

Varje väsentlig och viktig entitet måste hantera cybersäkerhets­relaterade aspekter av sina relationer med direkta leverantörer och tjänsteleverantörer, med beaktande av sårbarheter specifika för varje leverantör och den övergripande kvaliteten på leverantörers produkter och cybersäkerhets­metoder, inklusive deras säkra utvecklingsprocedurer. Artikel 22 ger samarbets­gruppen, i samarbete med kommissionen och ENISA, möjlighet att genomföra samordnade säkerhetsriskbedömningar av kritiska IKT-leveranskedjor.