Allmänt
Påverkas mitt företag av NIS2? – Ja, alla kommer påverkas!
Det är lätt att tro att NIS2-direktivet bara gäller stora bolag inom kritisk infrastruktur – men sanningen är att nästan alla företag kommer att påverkas. Oavsett bransch eller storlek är det hög tid att börja förbereda sig.
Vad är NIS2?
NIS2 är EU:s nya cybersäkerhetsdirektiv som ställer krav på hur företag skyddar sina nätverk, system och data. Det ersätter det tidigare NIS-direktivet och har ett bredare tillämpningsområde, fler krav och skarpare sanktioner.
Vem omfattas?
Direktivet gäller:
- Väsentliga och viktiga aktörer inom energi, transport, hälso- och sjukvård, digital infrastruktur, finans, offentlig förvaltning m.fl.
- IT-tjänsteleverantörer, datacenter, molntjänster, hosting, MSSP, MSP
- Underleverantörer till dessa aktörer – även mindre bolag som hanterar känslig information eller drift
Det innebär att även små och medelstora företag kan omfattas indirekt genom sina affärsrelationer.
Hur påverkas du?
- Du måste kunna visa att du har säkerhetspolicyer, incidenthantering, riskbedömningar, backupstrategier och leverantörskontroller.
- Du kan behöva rapportera incidenter inom 24 timmar.
- Du måste ha dokumentation och bevis på att du följer direktivet.
Vad bör du göra nu?
- Kartlägg vilka delar av NIS2 som gäller för din verksamhet
- Börja dokumentera dina säkerhetsrutiner
- Genomför en gap-analys mot ENISA:s vägledning
- Utbilda personalen i cybersäkerhet
- Säkerställ att dina leverantörer också följer direktivet
Sammanfattning
Alla företag kommer att påverkas av NIS2 – direkt eller indirekt. Ju tidigare du börjar förbereda dig, desto bättre rustad är du för att möta kraven och undvika sanktioner. Se det som en möjlighet att stärka din verksamhets motståndskraft och bygga förtroende hos kunder och partners.
