Energimyndigheten Energiberedskap Informations- och cybersäkerhet Säkerhet i nätverk och informationssystem (NIS) Ett uppdaterat NIS-direktiv – vad innebär NIS 2? Vägledning om cybersäkerhetslagen

Vägledning om cybersäkerhetslagen

NIS2-direktivet sätter minimiregler för cybersäkerhet inom unionen och för samarbete mellan medlemsländerna. NIS2 föreslås implementeras genom cybersäkerhetslagen, CSL. Lagen kommer troligen att träda i kraft sommaren 2025.  

Verksamheter som ska följa NIS2 finns inom 18 sektorer. De delas upp i högkritiska och andra kritiska sektorer. För att omfattas av direktivet ska verksamheterna vara minst medelstora företag. Ett medelstort företag sysselsätter fler än 50 personer eller har en omsättning eller balansomslutning som överstiger 10 miljoner euro per år.  Energisektorn är en sektor som klassificeras som högkritisk. Den omfattar delsektorerna elektricitet, fjärrvärme eller fjärrkyla, olja, gas och vätgas.

Väsentliga och viktiga verksamhetsutövare

De som omfattas av NIS2 delas dessutom in i två kategorier: väsentliga och viktiga verksamhetsutövare.

  • Väsentliga verksamhetsutövare är de som tillhör någon av de högkritiska sektorerna och som överstiger tröskeln för medelstort företag.
  • Viktiga verksamhetsutövare är de som tillhör de högkritiska sektorerna och som är ett medelstort företag.
  • Överstiger tröskeln för medelstort företag sysselsätter fler än 250 personer eller vars omsättning överstiger 50 miljoner euro eller vars balansomslutning överstiger 43 miljoner euro per år.
  • Medelstort företag sysselsätter fler än 50 personer eller vars omsättning eller balansomslutning överstiger 10 miljoner euro per år.

Räkna ut verksamhetens storlek

För att räkna ut verksamhetens storlek måste ni beakta anknutna företag och partnerföretag. Det kan till exempel ha att göra med om ni tillhör en koncern, eller om det finns förbindelse mellan ert bolag och ett annat. 

Det finns flera aspekter som måste beaktas för att konstatera om ett bolag anses ha anknutna företag eller partnerföretag och det är EU:s rekommendation 2003/361/EG om definitionen av mikroföretag samt små och medelstora företag som följer av direktivet.

Vi rekommenderar att ta hjälp av EU:s Användarhandledning om definitionen av SMF-företag av Vinnova.

EU:s rekommendation 2003/361/EG (eur-lex.europa.eu)

Vinnovas användarhandledning om definitionen av SMF-företag (pdf)

Viktig information

Det vi har beskrivit är huvudregeln. Även bolag som inte räknas som ett medelstort företag kan komma att omfattas via NIS2-föreskrifter eller via identifiering enligt CER-lagstiftningen. Vi återkommer med mer information när föreskrifterna tagits fram. Vi kommer också att kommunicera direkt med de verksamhetsutövare som beslutas omfattas av CER-lagstiftningen.

Att omfattas av NIS2

Oavsett om ni är en viktig eller väsentlig verksamhetsutövare så är ni skyldiga att följa NIS2-kraven. Vilka tillsynsåtgärder som kan vidtas kan skilja sig mellan kategorierna.

För väsentliga verksamhetsutövare

Ni är skyldiga att anmäla er verksamhet till den myndighet som regeringen bestämmer när cybersäkerhetslagen trätt i kraft. Anvisningar för anmälan kommer under 2025 att publiceras på Energimyndighetens webb.

Som väsentlig verksamhetsutövare står ni under Energimyndighetens tillsyn. Ni är skyldiga att bland annat vidta riskhanteringsåtgärder för cybersäkerhet och rapportera incidenter.

Brister ni i era skyldigheter kan ni drabbas av sanktionsavgifter på upp till två procent av er totala globala årsomsättning närmast föregående räkenskapsår, eller 10 000 000 euro (vad som än är högst). Som lägst kan sanktionsavgifter för väsentliga verksamheter uppgå till 5 000 kronor.

För viktiga verksamhetsutövare

Ni är skyldiga att anmäla er verksamhet till den myndighet regeringen bestämmer när cybersäkerhetslagen trätt i kraft. Anvisningar för anmälan kommer under 2025 att publiceras på Energimyndighetens webb.

Som viktig verksamhetsutövare står ni under Energimyndighetens tillsyn. Energimyndigheten har rätt att inleda tillsyn om vi får bevis på, indikationer på, eller information om att ni underlåtit att fullgöra era skyldigheter enligt cybersäkerhetslagen. Ni är skyldiga att bland annat vidta riskhanteringsåtgärder för cybersäkerhet och rapportera incidenter.

Brister ni i era skyldigheter som viktig verksamhetsutövare kan ni drabbas av sanktionsavgifter på upp till 1,4 procent av er totala globala årsomsättning närmast föregående räkenskapsår, eller 7 000 000 euro (vad som än är högst). Som lägst kan sanktionsavgifter för viktiga verksamheter uppgå till 5 000 kronor.

Det här gäller säkerhetskänslig verksamhet

Enskilda verksamhetsutövare som bedriver säkerhetskänslig verksamhet eller brottsbekämpning omfattas av NIS2 i den delen av verksamheten som inte är säkerhetskänslig eller avser brottsbekämpning. Är ni en verksamhetsutövare som har säkerhetskänslig verksamhet kan ni alltså behöva anmäla er till oss.

Bedriver ni däremot enbart säkerhetskänslig verksamhet eller brottsbekämpning eller erbjuder ni enbart tjänster till statliga myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet så kan ni falla utanför NIS2. I sådana fall ska ni inte anmäla er enligt NIS2.

Senast uppdaterad: 2024-11-12
Kakor