NIS2 (direktiv (EU) 2022/2555) delar in verksamheter i tillämpningsområdet i två ordningar: "väsentliga" och "viktiga". Samma skyldigheter avseende riskhantering och incidentrapportering gäller för bägge, men tillsyns- och sanktionsordningarna skiljer sig åt. Denna sida redogör för artikel 3 (storleksgränsen), de storleksoberoende undantagen samt tillsynsuppdelningen mellan artikel 32 (väsentliga, förhandstillsyn) och artikel 33 (viktiga, efterhandstillsyn).
Grundregeln — artikel 3.1 och 3.2
Artikel 3.1 klassificerar som väsentliga entiteter sådana entiteter som är av en typ som avses i Bilaga I och som överskrider taken för medelstora företag enligt artikel 2.1 i bilagan till kommissionens rekommendation 2003/361/EG, samt ett antal storleksoberoende kategorier som anges i artikel 3.1 punkterna b–i.
Artikel 3.2 klassificerar som viktiga entiteter sådana entiteter som är av en typ som avses i Bilaga I eller Bilaga II och som inte kvalificerar som väsentliga entiteter enligt artikel 3.1.
I praktiken innebär detta: utgå från sektorn (Bilaga I eller II) och tillämpa sedan storleksgränsen från rekommendation 2003/361/EG (definitionen av SMF: ett medelstort företag har färre än 250 anställda och antingen en årsomsättning på upp till 50 miljoner euro eller en balansomslutning på upp till 43 miljoner euro). Överstiger gränsen för medelstort företag och tillhör Bilaga I → väsentlig. Allt annat i Bilaga I eller II som är minst medelstort → viktigt.
Bilaga I — sektorer av hög kritisk betydelse
Bilaga I listar sektorer av hög kritisk betydelse, vilka innefattar:
- Energi — el, fjärrvärme och fjärrkyla, olja, gas, väte.
- Transport — luft, järnväg, vatten, väg.
- Bankverksamhet.
- Finansmarknadsinfrastrukturer.
- Hälso- och sjukvård — vårdgivare, EU-referenslaboratorier, FoU av läkemedelsprodukter, tillverkare av läkemedelsberedningar och medicintekniska produkter som anses kritiska under en folkhälsonödsituation.
- Dricksvatten.
- Avloppsvatten.
- Digital infrastruktur — IXP, DNS-tjänsteleverantörer, registrerare av toppdomäner, molntjänstleverantörer, datacenterleverantörer, leverantörer av innehållsleveransnätverk, leverantör av betrodda tjänster, leverantörer av allmänna elektroniska kommunikationsnät, leverantörer av allmänt tillgängliga elektroniska kommunikationstjänster.
- IKT-tjänsteförvaltning (B2B) — leverantörer av förvaltade tjänster och leverantörer av förvaltade säkerhetstjänster.
- Offentlig förvaltning på central myndighetsnivå och, i tillämpliga fall, regional nivå.
- Rymden.
Bilaga II — andra kritiska sektorer
Bilaga II listar andra kritiska sektorer, vilka innefattar:
- Post- och budtjänster.
- Avfallshantering.
- Tillverkning, produktion och distribution av kemikalier.
- Produktion, bearbetning och distribution av livsmedel.
- Tillverkning — tillverkning av medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik; tillverkning av datorer, elektronikvaror och optik; tillverkning av elapparatur; tillverkning av maskiner och apparater ej hänförliga till annan verksamhet; tillverkning av motorfordon, släpvagnar och påhängsvagnar; tillverkning av andra transportmedel.
- Digitala leverantörer — leverantörer av internetbaserade marknadsplatser, sökmotorer och plattformar för sociala nätverkstjänster.
- Forskningsorganisationer.
Entiteter i Bilaga II som uppnår eller överskrider gränsen för medelstort företag klassificeras som standard som viktiga, om inte ett storleksoberoende skäl i artikel 3.1 höjer dem till väsentliga.
De storleksoberoende undantagen — artikel 3.1 b–i
Artikel 3.1 klassificerar dessutom som väsentliga, oberoende av storlek:
- kvalificerade leverantör av betrodda tjänster och registrerare av toppdomäner samt DNS-tjänsteleverantörer, oberoende av deras storlek;
- leverantörer av allmänna elektroniska kommunikationsnät eller av allmänt tillgängliga elektroniska kommunikationstjänster som kvalificerar som medelstora företag enligt artikel 2 i bilagan till rekommendation 2003/361/EG;
- offentliga förvaltningsentiteter på central myndighetsnivå enligt en medlemsstats definition i enlighet med nationell rätt;
- varje annan entitet av en typ som avses i Bilaga I eller II som en medlemsstat identifierar som väsentlig entitet enligt artikel 2.2 b–e;
- entiteter som identifieras som kritiska entiteter enligt direktiv (EU) 2022/2557 (CER-direktivet);
- entiteter som tillhandahåller domännamnsregistreringstjänster, om medlemsstaten så beslutar.
Medlemsstaterna kan ytterligare utse entiteter enligt artikel 2.2 oberoende av storlek, till exempel om entiteten är den enda leverantören i en medlemsstat av en tjänst som är väsentlig för upprätthållandet av kritisk samhällelig eller ekonomisk verksamhet.
Tillsynsordning — väsentliga kontra viktiga
- Väsentliga entiteter — förhandstillsyn enligt artikel 32. Behöriga myndigheter kan genomföra inspektioner på plats och tillsyn utanför plats, inklusive stickprovskontroller, regelbundna och riktade säkerhetsrevisioner, ad hoc-revisioner, säkerhetsskanningar, begäranden om information som behövs för att bedöma cybersäkerhetsåtgärder samt begäranden om tillgång till data, dokument och information.
- Viktiga entiteter — efterhandstillsyn enligt artikel 33. Behöriga myndigheter utövar tillsyn när bevis, indikationer eller information tyder på att en viktig entitet inte uppfyller direktivets krav. Verktygslådan liknar den i artikel 32 men aktiveras i efterhand.
Sanktioner — artikel 34
- Väsentliga entiteter — artikel 34.4: administrativa sanktionsavgifter på högst minst 10 000 000 euro eller, om beloppet är högre, högst minst 2 % av det totala globala årliga omsättningen under föregående räkenskapsår för det företag till vilket den väsentliga entiteten hör.
- Viktiga entiteter — artikel 34.5: administrativa sanktionsavgifter på högst minst 7 000 000 euro eller, om beloppet är högre, högst minst 1,4 % av det totala globala årliga omsättningen under föregående räkenskapsår för det företag till vilket den viktiga entiteten hör.
- Ledningsansvaret — artikel 20. Ledningsorgan för väsentliga och viktiga entiteter ska godkänna de åtgärder för hantering av cybersäkerhetsrisker som vidtas för att uppfylla artikel 21, övervaka genomförandet av dem och kan hållas ansvariga för överträdelser enligt artikel 32.6 och artikel 33.5. Ledningsorganets ledamöter är skyldiga att delta i utbildning och att regelbundet uppmuntra liknande utbildning för sina anställda.
Samma skyldigheter, olika tillsyn
Både väsentliga och viktiga entiteter är underkastade samma materiella skyldigheter: åtgärder för hantering av cybersäkerhetsrisker enligt artikel 21 och incidentrapportering enligt artikel 23 (tidig varning inom 24 timmar, incidentanmälan inom 72 timmar, slutrapport inom en månad). Skillnaden ligger i hur den behöriga myndigheten kan agera gentemot dem.
Vanliga missuppfattningar
- "Viktigt betyder frivilligt." Viktiga entiteter är fullt ut inom tillämpningsområdet. De omfattas av efterhandstillsyn snarare än rutinmässiga revisioner i förhand.
- "Färre än 50 anställda innebär att man faller utanför tillämpningsområdet." Flera kategorier i artikel 3.1 (kvalificerade leverantör av betrodda tjänster, registrerare av toppdomäner, DNS-leverantörer, offentlig förvaltning på central nivå, utsedda enligt artikel 2.2) är storleksoberoende.
- "NIS2 gäller endast för entiteter etablerade i EU." Artikel 26 fastställer behörighet och territorialitet — DNS-leverantörer, registrerare av toppdomäner, molntjänster, datacenter, leverantörer av innehållsleveransnätverk, leverantörer av förvaltade tjänster, leverantörer av internetbaserade marknadsplatser, sökmotorer och sociala nätverkstjänster anses falla under den medlemsstats jurisdiktion där de har sin huvudsakliga etablering i unionen, och kan behöva utse ett ombud om de inte har etablering i EU.
- "Det är bara IT-avdelningen som bär ansvar." Artikel 20.1 gör ledningsorganet ansvarigt för att godkänna och övervaka riskhanteringsåtgärder, med personligt ansvar.
Relaterade EU-guider
- EU AI Act — tidslinje för tillhandahållare
- EU AI Act — tillsyn och myndigheter
- Mänsklig tillsyn — artikel 14
- Journalföring och loggning — artikel 12
- Datastyrning och biastestning — artikel 10
Källor
- Direktiv (EU) 2022/2555 (NIS2), artiklarna 2, 3, 20, 21, 23, 26, 32, 33, 34; Bilaga I; Bilaga II — EUR-Lex: https://eur-lex.europa.eu/eli/dir/2022/2555/oj
- Kommissionens rekommendation 2003/361/EG (definitionen av SMF) — EUR-Lex: https://eur-lex.europa.eu/eli/reco/2003/361/oj
- ENISA — Översikt av NIS2-direktivet: https://www.enisa.europa.eu/topics/cybersecurity-policy/nis-directive-new
Obs: NIS2 är ett direktiv: det faktiska tillämpningsområdet, utpekanden enligt artikel 2.2, tillsynsorgan och sanktionsnivåer beror på medlemsstatens nationella genomförandelag. Kontrollera med din nationella NIS-myndighet och genomförandelagstiftning innan du grundar ett efterlevnadsbeslut på dessa regler.
PowerQuant Modul 1
AI-inventering plus en NIS2-klassificeringspost — Bilaga I- eller II-sektor, storleksprövning enligt artikel 3, fastställande av väsentlig/viktig entitet — användbar där EU:s AI-förordning och NIS2 överlappar i samma HR-tech- eller plattformssystem. Levereras inom 5 arbetsdagar. Fast pris, ingen prenumeration.