En utökad portfölj av kritiska industrier
NIS2-direktivet, som träder i kraft inom EU 18 oktober 2024, utökar sitt skydd för samhällets viktigaste funktioner genom att inkludera ett brett spektrum av sektorer.
Idag omfattas 7 sektorer av NIS-direktivet:
• Energi
• Transport
• Bankverksamhet
• Finansmarknadsinfrastruktur
• Hälso- och sjukvård
• Leverans och distribution av dricksvatten
• Digital infrastruktur
De nya sektorerna som kommer ingå i NIS2 är:
• Avloppshantering
• Avfallshantering
• Fjärrvärme eller fjärrkyla, vätgas
• Livsmedel
• Offentlig förvaltning
• Tillverkningsindustrin
• Postverksamhet
• Rymdverksamhet
Denna omfattande utökning av sektorer som faller under NIS2-direktivet visar på cybersäkerhetens allt bredare inverkan på samhällsviktiga funktioner. Organisationer inom dessa nya sektorer måste nu noggrant granska och förbättra sina cybersäkerhetsstrategier för att säkerställa att de uppfyller de stränga krav som NIS2 ställer. Cybersäkerhet blir därmed en nyckelprioritet för en bredare grupp av industrier och samhällsservice än tidigare. NIS2 ställer dessutom högre krav på leverantörskedjan, vilket innebär att alla som levererar produkter eller tjänster till en verksamhet som faller inom ovan nämnda sektorer indirekt behöver efterleva NIS2.
Ytterligare kategorisering för efterlevnad
Utöver ovan sektorer har NIS2 direktivet även kategoriserat organisationer i två kategorier: Viktiga och Väsentliga.
Väsentliga organisationer:
Dessa är organisationer som har en särskilt betydande inverkan på samhällets funktion och därmed måste uppfylla de strängaste cybersäkerhetskraven. För att räknas som väsentlig behöver organisationen uppfylla något av följande kriterier:
• Mer än 250 anställda.
• En årlig omsättning på över 50 miljoner euro.
• En balansräkning som överstiger 43 miljoner euro.
Utöver dessa storleksbaserade kriterier finns det vissa organisationer som oavsett storlek alltid räknas som väsentliga. Dessa inkluderar:
• Leverantörer av betrodda tjänster.
• Registrar för toppdomännamn.
• Tillhandahållare av DNS-tjänster.
• Leverantörer av allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster med 50-250 anställda eller mer än 10 miljoner euro i intäkter.
• Enheter inom offentlig förvaltning.
• Alla organisationer som är den enda leverantören av en tjänst i ett land eller vars tjänst, om den skulle drabbas av avbrott, skulle kunna ha en betydande inverkan.
För dessa väsentliga organisationer kommer övervakningen att vara proaktiv, och myndigheterna kommer att se till att de följer NIS2-kraven.
Viktiga organisationer:
De organisationer som inte anses vara "väsentliga" hamnar i kategorin "viktiga organisationer". Denna grupp innefattar organisationer som är medelstora eller mindre inom de sektorer som omfattas av NIS2-direktivet (se listan ovan). De exakta kriterierna för att räknas som "viktig" är:
• Färre än 250 anställda.
• Årlig omsättning på mindre än 50 miljoner euro.
• Balansräkning på mindre än 43 miljoner euro.
Små företag (färre än 50 anställda och intäkter på högst 10 miljoner euro) och mikroföretag (färre än 10 anställda och intäkter på högst 2 miljoner euro) kan också inkluderas om deras tjänster anses spela en viktig roll i samhället i de länder där de är verksamma.
För de "viktiga organisationerna" kommer övervakning att vara "i efterhand", vilket innebär att myndigheterna endast kommer att agera om det finns bevis på bristande efterlevnad.
Hoppas detta gav er bättre koll om vilka som omfattas av det nya direktivet. Kontakta oss gärna om ni vill ha mer information och håll utkik efter kommande webinar på temat.