Energimyndigheten Energiberedskap Informations- och cybersäkerhet Säkerhet i nätverk och informationssystem (NIS) Ett uppdaterat NIS-direktiv – vad innebär NIS 2? Vägledning om cybersäkerhetslagen

Vägledning om cybersäkerhetslagen

Verksamhetsutövare som ska efterleva NIS2 finns inom 18 olika sektorer och delas upp i högkritiska och andra kritiska sektorer.

Huvudregeln är att verksamhetsutövare inom någon av de högkritiska eller andra kritiska sektorerna som är minst medelstora företag omfattas av NIS2. Energi är en sektor som klassificeras som högkritisk och inbegriper delsektorerna elektricitet, fjärrvärme eller fjärrkyla, olja, gas och vätgas. Verksamhetsutövare som omfattas av NIS2 delas därutöver in i två kategorier: väsentliga och viktiga verksamhetsutövare.

Väsentlig verksamhetsutövare är:

  • verksamhetsutövare som tillhör någon av de högkritiska sektorerna och överstiger tröskeln för medelstort företag.
  • Verksamhetsutövare som tillhör någon av de högkritiska sektorerna och utgör ett medelstort företag är viktiga verksamhetsutövare.

NIS2 för berörda verksamheter (msb.se)

Överstiger tröskeln för medelstort företag:

  • sysselsätter fler än 250 personer eller vars omsättning överstiger 50 miljoner euro eller vars balansomslutning överstiger 43 miljoner euro per år.

Medelstort företag:

  • sysselsätter fler än 50 personer eller vars omsättning eller balansomslutning överstiger 10 miljoner euro per år.

Räkna ut verksamhetens storlek

För att räkna ut verksamhetens storlek måste bolaget även beakta anknutna företag och partnerföretag. Det kan till exempel ha att göra med om bolaget tillhör en koncern, eller om det finns förbindelse mellan bolaget och ett annat. Det finns flera aspekter som måste beakta för att konstatera om ett bolag anses ha anslutna företag eller partnerföretag och vi rekommenderar att ta hjälp av EU:s rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag.

EU:s rekommendation 2003/361/EG (eur-lex.europa.eu)

Vinnovas användarhandledning om definitionen av SMF-företag (pdf)

Viktig information

Det som beskrivits ovan är huvudregeln. Även bolag som inte uppgår till ett medelstort företag kan komma att omfattas via NIS2- föreskrifter eller via identifiering enligt CER-lagstiftningen. Energimyndigheten kommer att återkomma med mer vägledning när NIS2 föreskrifter tagits fram samt kommunicera direkt med de verksamhetsutövare som myndigheten anser omfattas via CER – lagstiftningen.

Vad innebär det om man omfattas av NIS2?

Oavsett om man är en viktig eller väsentlig verksamhetsutövare så är man skyldig att efterleva NIS2-kraven men exempelvis vilka tillsynsåtgärder som kan vidtas mot verksamhetsutövaren kan skilja sig mellan kategorierna.

För väsentliga verksamhetsutövare

Ni är skyldiga att anmäla er verksamhet till den myndighet som regeringen bestämmer när cybersäkerhetslagen trätt i kraft. Anvisningar för anmälan kommer under våren 2025 att publiceras på Energimyndighetens sida.

Som väsentlig verksamhetsutövare står ni under Energimyndighetens tillsyn. Ni är skyldiga att bland annat vidta riskhanteringsåtgärder för cybersäkerhet och rapportera incidenter.

Brister ni i era skyldigheter som väsentlig verksamhetsutövare kan ni drabbas av sanktionsavgifter på upp till två procent av er totala globala årsomsättning närmast föregående räkenskapsår, eller 10 000 000 euro (vad som än är högst). Som lägst kan sanktionsavgifter för väsentliga verksamheter uppgå till 5000 kronor.

För viktiga verksamhetsutövare

Ni är skyldiga att anmäla er verksamhet till den myndighet regeringen bestämmer när cybersäkerhetslagen trätt i kraft. Anvisningar för anmälan kommer under våren 2025 att publiceras på Energimyndighetens sida.

Som viktig verksamhetsutövare står ni under Energimyndighetens tillsyn. Energimyndigheten har rätt att inleda tillsyn om vi får bevis på, indikationer på, eller information om att ni underlåtit att fullgöra era skyldigheter enligt cybersäkerhetslagen. Ni är skyldiga att bland annat vidta riskhanteringsåtgärder för cybersäkerhet och rapportera incidenter.

Brister ni i era skyldigheter som viktig verksamhetsutövare kan ni drabbas av sanktionsavgifter på upp till 1,4 procent av er totala globala årsomsättning närmast föregående räkenskapsår, eller 7 000 000 euro (vad som än är högst). Som lägst kan sanktionsavgifter för viktiga verksamheter uppgå till 5000 kronor.

Vad gäller för säkerhetskänslig verksamhet?

Enskilda verksamhetsutövare som bedriver säkerhetskänslig verksamhet eller brottsbekämpning omfattas av NIS2 i den delen av verksamheten som inte är säkerhetskänslig eller avser brottsbekämpning. Är ni en verksamhetsutövare som har säkerhetskänslig verksamhet kan ni alltså behöva anmäla er till oss.

Bedriver ni däremot enbart säkerhetskänslig verksamhet eller brottsbekämpning eller erbjuder ni enbart tjänster till statliga myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet så kan ni falla utanför NIS2. I sådana fall ska ni inte anmäla er till oss enligt NIS2.

Senast uppdaterad: 2024-11-12
Kakor