NIS2 — Suecia

A quién aplica aquí

El ámbito de NIS2 se fija a nivel de la UE y aplica en cada Estado miembro. Por lo general está cubierto si opera en un sector del Anexo I de alta criticidad (energía, transporte, banca, salud, agua potable/residual, infraestructura digital, gestión TIC, administración pública, espacio) o un sector del Anexo II (postal, residuos, químicos, alimentación, fabricación, proveedores digitales, investigación) y alcanza el umbral de tamaño — al menos 50 empleados, o volumen de negocios o balance superior a 10 millones €. Algunas entidades (DNS/TLD, servicios de confianza, comunicaciones electrónicas públicas, proveedor único de un servicio esencial) están cubiertas con independencia del tamaño, y aunque no esté designado, sus clientes cubiertos le trasladan las obligaciones por contrato.

Notificar un incidente y registrarse

Si un incidente significativo afecta a sus servicios, NIS2 exige una alerta temprana en 24 horas, una notificación en 72 horas y un informe final en un mes (art. 23) — y el incidente de un proveedor también puede iniciar su reloj. La mayoría de las entidades cubiertas también deben registrarse ante la autoridad nacional. Use la autoridad y el CSIRT de arriba para el canal nacional de notificación y registro.

Sanciones

NIS2 fija multas máximas a escala de la UE — hasta 10 millones € o el 2 % del volumen de negocios anual mundial (el importe mayor) para entidades esenciales, y hasta 7 millones € o el 1,4 % para entidades importantes (art. 34). El órgano de dirección debe aprobar y supervisar las medidas y puede ser considerado responsable (art. 20). La transposición nacional puede añadir especificidades — confirme con la autoridad.

Profundizar

Cómo ayuda norppa.io aquí

norppa.io monitoriza de forma continua el ciberriesgo de sus proveedores y asigna cada hallazgo a los artículos NIS2 — en el idioma de este país y en otros siete. La misma evidencia respalda su expediente de proveedores y las preguntas de una autoridad de control, opere donde opere en la UE.