När det nya NIS2-direktivet börjar gälla i svensk lag, ställs ökade krav på cybersäkerhet inom både offentlig och privat sektor. Men vad innebär det egentligen för små och medelstora företag (SMF)? Charlotte Arnell, expert på dataskydd och digitaliseringsjuridik på Pwc Sverige, reder ut vad som gäller – och hur företag kan förbereda sig. Fler sektorer […]
När det nya NIS2-direktivet börjar gälla i svensk lag, ställs ökade krav på cybersäkerhet inom både offentlig och privat sektor. Men vad innebär det egentligen för små och medelstora företag (SMF)? Charlotte Arnell, expert på dataskydd och digitaliseringsjuridik på Pwc Sverige, reder ut vad som gäller – och hur företag kan förbereda sig.
För att avgöra om ett företag omfattas av NIS2-direktivet krävs först en kontroll av om verksamheten bedrivs inom någon av de sektorer som pekas ut i regelverket. Här har flera nya sektorer tillkommit, såsom elektronik- och maskintillverkning, livsmedelsproduktion, återvinning samt post- och budtjänster.
Därefter behöver företaget se över om det överskrider de tröskelvärden som gäller: över 50 anställda eller mer än 10 miljoner euro i omsättning. Men det är inte hela bilden – bedömningen ska göras utifrån hela koncernen, inklusive delägda bolag.
Vissa sektorer, exempelvis digital infrastruktur, omfattas av direktivet oavsett bolagsstorlek. Företag klassas som väsentliga eller viktiga entiteter beroende på sektor och storlek – men Charlotte Arnell betonar att skyldigheterna enligt NIS2 är i stort sett desamma oavsett klassificering. Skillnaden ligger främst i hur tillsynen sker och vilka sanktioner som kan utdömas.
För företag som omfattas är det viktigt att agera strukturerat men kostnadseffektivt. Det börjar med att avgöra om företaget faktiskt omfattas direkt av lagstiftningen eller om det påverkas indirekt, exempelvis genom kundkrav eller branschstandarder. I så fall behöver företaget förbereda sig på att registrera sig hos rätt tillsynsmyndighet när lagen träder i kraft – vilken myndighet det blir beror på verksamhetens sektor. Nästa steg är att göra en gapanalys för att identifiera vilka delar av verksamhetens cybersäkerhet som redan uppfyller kraven och vilka som behöver utvecklas. Denna analys fungerar som ett beslutsunderlag för vilka åtgärder som bör prioriteras, vilket gör det möjligt att arbeta långsiktigt och kostnadseffektivt. Parallellt med detta är det klokt att inleda utbildningsinsatser för både ledning och medarbetare, eftersom NIS2 ställer krav på att hela organisationen ska ha en grundläggande förståelse för cybersäkerhetsrisker och hur de hanteras. Det stärker inte bara efterlevnaden utan bygger också upp ett mer motståndskraftigt företag.
En av de mest påtagliga förändringarna i NIS2 är kraven på incidentrapportering. Företag som råkar ut för en incident med betydande påverkan måste rapportera detta till sin tillsynsmyndighet inom 24 timmar, med en uppföljande rapport inom 72 timmar och en slutrapport inom en månad.
– Det är viktigt att redan nu kartlägga interna rutiner för incidenthantering, och införa tydliga rapporteringsvägar, säger Charlotte Arnell.
För mindre bolag med begränsade resurser gäller det att arbeta smart. NIS2 ställer krav på ett systematiskt, riskbaserat arbetssätt – inte nödvändigtvis omfattande dokumentation.
– Utgå från det ni redan har och bygg vidare på befintliga processer och verktyg. Små, regelbundna insatser som genomförs är bättre än stora program som aldrig blir klara, fortsätter hon.
Företag som brister i efterlevnaden av NIS2 riskerar kännbara konsekvenser. Förutom böter på upp till 10 miljoner euro eller två procent av global omsättning, kan tillsynsmyndigheten kräva säkerhetsrevisioner eller offentliggöra brister. Företagsledare kan till och med förbjudas från att utöva ledande befattningar. Men enligt Charlotte Arnell handlar det inte bara om regelefterlevnad:
– NIS2 kan också vara ett verktyg för att stärka sin konkurrenskraft och öka förtroendet från kunder och partners.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Anmäl dig till vårt nyhetsbrev!
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
