norppa.io
Guider

NIS2-guide · 8 min

Vem omfattas av NIS2? Väsentliga och viktiga aktörer, sektorer och storlekströsklar

NIS2 gäller betydligt bredare än det ursprungliga NIS-direktivet — men inte alla. Om din organisation omfattas beror på tre saker: din sektor, din storlek och en handfull storleksoberoende undantag. Den här guiden går igenom varje test så att du kan avgöra din status, och förklarar varför utpekning inte är det enda sättet som direktivet når dig. Tidsfristen för införlivande (17 oktober 2024) har passerat och medlemsstaterna tillämpar det allteftersom de färdigställer den nationella lagstiftningen.

Två kategorier: väsentliga och viktiga aktörer

NIS2 delar in de omfattade organisationerna i två nivåer. Båda måste uppfylla samma grundläggande säkerhets- och rapporteringskrav; skillnaden ligger i tillsynens intensitet och de högsta sanktionerna.

Väsentliga aktörer

Stora organisationer i de mest kritiska sektorerna (bilaga I), samt vissa aktörer som utpekas oavsett storlek. Omfattas av proaktiv (ex ante) tillsyn: revisioner, inspektioner och informationsförfrågningar kan ske utan föregående incident.

Viktiga aktörer

De flesta andra omfattade organisationer som når storlekströskeln, inklusive sektorerna i bilaga II. Omfattas av reaktiv (ex post) tillsyn: myndigheterna agerar när det finns indikationer på bristande efterlevnad.

Vilka sektorer omfattas?

NIS2 listar de omfattade sektorerna i två bilagor. Bilaga I omfattar sektorer av hög kritikalitet; bilaga II andra kritiska sektorer. Om din kärnverksamhet faller inom någon av listorna och du når storlekströskeln omfattas du sannolikt.

Bilaga I — sektorer av hög kritikalitet

  • Energi (el, olja, gas, fjärrvärme, vätgas)
  • Transport (luft, järnväg, sjöfart, väg)
  • Bankverksamhet och finansmarknadsinfrastruktur
  • Hälsa (vårdgivare, EU:s referenslaboratorier, läkemedel, medicintekniska produkter)
  • Dricksvatten och avloppsvatten
  • Digital infrastruktur (DNS, toppdomänregister, datacenter, moln, CDN, betrodda tjänster, elektronisk kommunikation)
  • Förvaltning av IKT-tjänster, B2B (leverantörer av hanterade tjänster och hanterad säkerhet)
  • Offentlig förvaltning (central och regional)
  • Rymden

Bilaga II — andra kritiska sektorer

  • Post- och budtjänster
  • Avfallshantering
  • Tillverkning, produktion och distribution av kemikalier
  • Produktion, bearbetning och distribution av livsmedel
  • Tillverkning (medicintekniska produkter, datorer och elektronik, maskiner, motorfordon, övriga transportmedel)
  • Digitala leverantörer (marknadsplatser online, sökmotorer, sociala nätverk)
  • Forskningsorganisationer

Storlekströskeln

Inom en omfattad sektor gäller NIS2 i regel först från en minsta storlek — den så kallade storlekstaksregeln. Både antal anställda och finansiella nyckeltal beaktas.

Stor — i regel 'väsentlig' (bilaga I)

Minst 250 anställda, eller omsättning över 50 miljoner euro och balansomslutning över 43 miljoner euro. Stora aktörer i bilaga I-sektorer klassas vanligtvis som väsentliga. Stora aktörer i bilaga II-sektorer förblir viktiga, inte väsentliga.

Medelstor — i regel 'viktig'

Minst 50 anställda, eller årsomsättning och balansomslutning över 10 miljoner euro. Att nå medelstor tröskel i en omfattad sektor för dig vanligtvis in som en viktig aktör.

Under medeltröskeln är mikro- och småorganisationer i regel utanför tillämpningsområdet — såvida inte ett storleksoberoende undantag gäller.

Storleksoberoende undantag — omfattas oavsett storlek

Vissa aktörer omfattas oavsett hur små de är, på grund av sin roll. Hit hör kvalificerade tillhandahållare av betrodda tjänster, toppdomänregister och DNS-tjänsteleverantörer, leverantörer av allmänna elektroniska kommunikationsnät eller -tjänster, samt aktörer som är ensam leverantör av en tjänst som är väsentlig för samhällelig eller ekonomisk verksamhet i en medlemsstat.

Även offentliga förvaltningsorgan och organisationer som identifierats som kritiska enligt CER-direktivet (kritiska entiteters motståndskraft) kan omfattas oberoende av storlek, och medlemsstater kan utpeka enskilda aktörer. Om du driver kritisk infrastruktur eller en tjänst utan ersättning, kontrollera din nationella myndighets utpekningslista i stället för att förlita dig enbart på storlekstestet.

Inte utpekad? Du kan ändå dras in via leveranskedjan

Även om du inte omfattas direkt når NIS2 dig indirekt. Omfattade organisationer måste hantera cybersäkerhetsrisken hos sina leverantörer och tjänsteleverantörer (art. 21.2 d). I praktiken innebär det att dina kunder — banker, sjukhus, energibolag, offentliga organ — i allt högre grad kräver bevis på din säkerhetsnivå som villkor för affärer.

Den praktiska frågan är därför sällan bara 'är jag utpekad?' Den är också 'omfattas mina kunder av NIS2?' Om de gör det flödar deras skyldigheter till dig via avtal, frågeformulär och löpande övervakning — oavsett om du formellt är en väsentlig eller viktig aktör.

Vad det innebär i praktiken att omfattas

Om du omfattas är kärnskyldigheterna:

  • Riskhanteringsåtgärder — grundkraven i art. 21: riskanalys, incidenthantering, kontinuitet, leveranskedjesäkerhet, kryptering, åtkomstkontroll med mera.
  • Incidentrapportering — en tidig varning till ditt nationella CSIRT inom 24 timmar efter en betydande incident, en mer fullständig anmälan inom 72 timmar och en slutrapport inom en månad (art. 23).
  • Styrning och ansvar — ledningsorgan måste godkänna och övervaka åtgärderna och kan hållas ansvariga; utbildning av personalen förväntas.
  • Registrering — många aktörer måste registrera sig hos sin nationella myndighet och lämna kontakt- och sektoruppgifter.

Väsentliga och viktiga aktörer uppfyller samma grundkrav; nivån påverkar främst hur de övervakas och vilka högsta sanktioner som gäller.

Källa: Direktiv (EU) 2022/2555 (NIS2), artiklarna 2–3 och bilagorna I–II — se din nationella införlivandelag och tillsynsmyndighet för de bindande detaljerna i ditt land.

Hur norppa.io hjälper

När du väl vet att dina leverantörer omfattas — eller att dina kunder förväntar sig säkerhet på NIS2-nivå — ger norppa.io det löpande underlag som båda riktningarna behöver. Varje övervakad leverantörsdomän kontrolleras mot 100+ kontrollpunkter dagligen, kritiska händelser var sjätte timme, med fynd som automatiskt mappas till NIS2-artiklar.

Självskattningsformulär (SAQ) skickas till leverantörer direkt från norppa.io och kombineras med den tekniska riskprofilen, så att process- och tekniska bevis finns på ett ställe — redo för dina kunders due diligence eller en tillsynsrevision.

Se hur övervakning på NIS2-nivå ser ut

En exempelrapport om en leverantör — fynd, NIS2-mappning och bevis — på två minuter.

Visa exempelrapport

Relaterade guider

NIS2 och leveranskedjekravet — vad det innebär i praktiken

NIS2 kräver att viktiga och betydande aktörer bedömer cyberriskerna i sina leveranskedjor. Leverantörstierning, fjärdepartsrisk, Art. 23-anmälan och vad revisorer letar efter.

NIS2 Art. 21(2) — säkerhetschecklista för leverantörer

Checklista för inköps- och säkerhetsteam: vad man ska fråga, vilka bevis man ska samla in och hur man reagerar när en leverantör brister. Inkluderar förslag på styrkande dokument.

Leverantörens cyberriskbedömning: vad automatiserad NIS2-övervakning kontrollerar

Alla kontrollkategorier förklaras: ransomware, dark web-läckor, TLS/DNSSEC, cookie-säkerhet, CVE/EPSS, sanktioner, MX-svartlistor och SAQ. Fyndens livscykel och NIS2-artikelmappning.

NIS2-leverantörsenkät (SAQ): vad du ska fråga, hur du poängsätter och en gratis mall

Vad du ska fråga leverantörer enligt art. 21.2 d, hur du poängsätter svar och hanterar brister, varför självdeklaration behöver verifieras, plus en gratis enkätmall.

NIS2 vs DORA: hur de skiljer sig, var de överlappar och vilken som gäller dig

Hur de två EU-regelverken skiljer sig och överlappar, varför DORA är lex specialis för finansiella enheter, vilken som gäller dig, och vad båda innebär för tredjepartsrisk.