EU:s NIS2‑direktiv och Cybersäkerhetslagen berör nu fler privata bolag och omfattar verksamheter inom bland annat energi, transporter, bank och finans, sjukvård, vattenförsörjning, digital infrastruktur, tjänsteleverantörer och delar av tillverkningsindustrin. Även digitala tjänster som marknadsplatser, sökmotorer och sociala nätverk inkluderas.
Utöver vilken typ av verksamhet man bedriver spelar även företagets storlek in. Bedömningen baseras på antal anställda eller omsättning, och inkluderar även anknutna företag och partnerföretag. Medelstora och stora verksamhetsutövare i sektorerna som listas i Bilaga 1 eller 2 till NIS2-direktivet omfattas som huvudregel. Små och mikroföretag omfattas normalt inte, men undantag kan förekomma. Vilket lands regler som gäller beror främst på var verksamheten är etablerad.
- Steg ett är att kartlägga hur och på vilket sätt man berörs av lagen. När företagen känner till sina förutsättningar kan de börja anpassa sina verksamheter, förklarar Julia Fritzson, konsult inom informationssäkerhet hos Ampiro.
Krav på incidentrapportering skärps och fler verksamheter behöver rapportera betydande incidenter till Myndigheten för civilt försvar. Exakta kriterier och ett nytt rapporteringssystem väntas lanseras under våren, tillsammans med sektorsspecifika regler.
- Verksamheter behöver anpassa sina processer och följa utvecklingen av det nya rapporteringssystemet. Här kan ledningssystemstandarden för informationssäkerhet (ISO 27001) ge värdefullt stöd, menar Julia Fritzson.
Nya föreskrifter om informationsskyldighet och incidentrapportering införs våren 2026. Följ Ampiro i våra sociala kanaler för att hålla dig uppdaterad.
