EU:s nya cybersäkerhetsdirektiv NIS2 har nu införts i svensk lagstiftning och innebär skärpta krav på it- och informationssäkerhet för ett betydligt större antal företag än tidigare. Syftet är att stärka motståndskraften mot cyberhot inom verksamheter som bedöms vara viktiga för samhället och ekonomin inom Europeiska unionen.
Direktivet bygger på tre huvudsakliga kriterier: sektor, storlek och funktion.
För det första måste företaget verka inom en utpekad sektor. Tillverkning är en av de sektorer som omfattas, särskilt om verksamheten är kopplad till industriella värdekedjor som anses viktiga, exempelvis fordonsindustri, maskintillverkning, försvarsindustri eller annan avancerad produktion.
Det andra kriteriet gäller företagets storlek. Som huvudregel omfattas medelstora och stora företag, det vill säga verksamheter med minst 50 anställda och/eller en årsomsättning över cirka 10 miljoner euro.
Det tredje kriteriet rör företagets funktion och beroenden. Även om ett företag inte klassas som samhällsviktigt i sig, kan det ändå påverkas indirekt genom krav från kunder som omfattas av NIS2. Större industriföretag kan komma att ställa ökade krav på cybersäkerhet, incidentrapportering och riskhantering i hela leverantörskedjan.
För företag som omfattas innebär NIS2 bland annat krav på systematiskt säkerhetsarbete, incidentrapportering inom fastställda tidsramar samt ett tydligare ansvar för företagsledningen.
