PowerQuantSESkicka ert frågeformulär

NIS2 (direktiv (EU) 2022/2555) höjde ribban för cybersäkerhet för medelstora och stora entiteter verksamma inom kritiska och viktiga sektorer. HR-tech-leverantörer fångas typiskt sett upp som leverantörer av digitala tjänster; deras kunder kan vara i tillämpningsområdet via sin egen sektorklassificering, och bägge parter ärver skyldigheter avseende leveranskedjesäkerhet enligt artikel 21.2 d.

Grundläggande om tillämpningsområdet

NIS2 skiljer mellan väsentliga och viktiga entiteter. Entiteter av en typ som anges i Bilaga I och som överskrider tröskelvärdena för medelstora företag är väsentliga; entiteter i Bilaga I eller Bilaga II som inte kvalificerar som väsentliga är viktiga. Storleksgränsen utesluter mikro- och småföretag (färre än 50 anställda OCH mindre än 10 miljoner euro i årsomsättning eller balansomslutning), med en lista över undantag för entiteter vars störning skulle skapa systemrisk oavsett storlek.

Var HR-tech hamnar

  • HR-tech SaaS-leverantörer faller typiskt sett under Bilaga II punkt 6 (digitala leverantörer) när de överstiger storleksgränsen — täckta som viktiga entiteter.
  • Kunder kan vara inom tillämpningsområdet via sin egen sektor (bankverksamhet, energi, offentlig förvaltning, tillverkning av kritiska produkter, post, livsmedel, hälso- och sjukvård m.m.) — i sådana fall måste de tillämpa NIS2-riskhantering avseende leveranskedjan på sin HR-tech-leverantör.
  • Kunder utanför tillämpningsområdet kan ändå ta emot krav avseende leveranskedjan på avtalsmässig väg, eftersom deras partner inom tillämpningsområdet måste hantera tredjepartsrisker.

Åtgärder för hantering av cybersäkerhetsrisker — artikel 21

Artikel 21.2 i NIS2 kräver som minimum: riktlinjer för riskanalys och informationssystemsäkerhet, incidenthantering, verksamhetskontinuitet och krishantering, säkerhet i leveranskedjan, säkerhet i samband med anskaffning, utveckling och underhåll av nätverks- och informationssystem, riktlinjer och förfaranden för att bedöma effektiviteten av åtgärder för hantering av cybersäkerhetsrisker, grundläggande cyberhy­gien och utbildning i cybersäkerhet, riktlinjer och förfaranden avseende kryptografi, åtkomstkontroll, multifaktorautentisering och säkrade kommunikationskanaler.

Incidentrapportering — 24/72-timmarsfristen

  • Inom 24 timmar efter att en betydande incident uppmärksammats: tidig varning till CSIRT eller behörig myndighet.
  • Inom 72 timmar: incidentanmälan med initial bedömning, allvarlighetsgrad och konsekvenser.
  • Inom en månad: slutrapport med grundorsak, vidtagna åtgärder och gränsöverskridande konsekvenser.

Överlappning med EU:s AI-förordning

Flera skyldigheter enligt EU:s AI-förordning uppfylls av samma bevisning som används för NIS2. Kör en kontrolluppsättning och mappa den mot bägge regelverk.

  • Riskhantering: Systemet för riskhantering av högrisk-AI enligt AI-förordningens artikel 9 motsvarar NIS2 artikel 21.2 a.
  • Cybersäkerhet för AI-systemet: AI-förordningens artikel 15 (noggrannhet, robusthet, cybersäkerhet) motsvarar NIS2 artikel 21.2 e och i.
  • Leveranskedjesäkerhet: NIS2 artikel 21.2 d:s skyldigheter blir den hävstång kunderna använder för att kräva bevisning enligt AI-förordningen från HR-tech-leverantörer.
  • Incidentrapportering: AI-förordningens artikel 73 avseende rapportering av allvarliga incidenter för högrisk-system löper parallellt med NIS2 artikel 23 — separata myndigheter, separata tidsfrister, ofta överlappande fakta.

Sanktioner

Enligt NIS2 artikel 34 riskerar väsentliga entiteter administrativa sanktionsavgifter på upp till högst minst 10 miljoner euro eller, om beloppet är högre, 2 % av den totala globala årsomsättningen. Viktiga entiteter: upp till högst minst 7 miljoner euro eller, om beloppet är högre, 1,4 % av omsättningen enligt NIS2. Medlemsstaternas genomförandelagar kan fastställa högre tak.

Vad du bör göra först

  • Bekräfta status inom tillämpningsområdet (sektor + storlek).
  • Registrera dig hos den nationella behöriga myndigheten (deadline varierar per medlemsstat).
  • Godkänn och datera en skriftlig riktlinje för hantering av cybersäkerhetsrisker som täcker artikel 21.2 a–j.
  • Lägg till NIS2-leveranskedjeformuleringar i HR-tech-avtal (artikel 21.2 d) och begär en lista över underleverantörer/underleverantörer samt säkerhetsintyg.
  • Genomför en skrivbordsövning avseende incidentrapportering mot tidslinjen 24 timmar/72 timmar/en månad.

Relaterade EU-guider

Källor

Obs: NIS2 är ett direktiv, varför nationella genomförandelagar kan fastställa högre sanktioner, utvidgat sektortillämpningsområde och tidigare registreringsfrister. PowerQuant tillhandahåller bevismallar och inventeringar — inte juridisk rådgivning.

PowerQuant Modul 1

En inventering och kontrolluppsättning som du kan mappa mot både EU:s AI-förordning och NIS2. Levereras inom 5 arbetsdagar. Fast pris, ingen prenumeration.