What is the difference between essential and important entities in NIS2?

Essential entities operate in sectors of high criticality (Annex I) like energy, transport, and healthcare, while important entities operate in other critical sectors (Annex II). Both have the same obligations, but essential entities face stricter supervision and higher penalties.

What are the NIS2 incident reporting deadlines?

NIS2 requires a 24-hour early warning, a 72-hour full notification, and a final report within 1 month of becoming aware of a significant incident.

Does NIS2 require supply chain security?

Yes, Article 21(2)(d) requires both essential and important entities to implement supply chain security measures, including assessing critical suppliers cybersecurity posture.

NIS2

Direktivet om nätverks- och informationssäkerhet 2

För att NIS1 uppenbarligen inte räckte för att stoppa ransomware-vågen

NIS2 är EU:s uppgraderade cybersäkerhetsdirektiv som ersätter det ursprungliga NIS-direktivet. Det utökar dramatiskt kretsen av organisationer som måste ta cybersäkerhet på allvar — från energi och transport till sjukvård, digital infrastruktur och till och med livsmedelsproduktion. Om din organisation är väsentlig eller viktig för samhället har NIS2 något att säga dig.

Tillämpningsområde

Medelstora och stora entiteter i 18 kritiska sektorer (bilagorna I och II). Medlemsstater kan även inkludera mindre entiteter om de bedöms vara kritiska. Direktivet använder två kategorier: väsentliga entiteter (striktare tillsyn) och viktiga entiteter (lättare tillsyn, men fortfarande obligatorisk).

Geografisk räckvidd

EU-omfattande direktiv — varje medlemsstat införlivar det i nationell lagstiftning, så den exakta implementeringen varierar. Men de grundläggande skyldigheterna är konsekventa i hela EU.

I kraft sedan

18 oktober 2024 (deadline för medlemsstaters införlivande: 17 oktober 2024)

Syfte

Att uppnå en hög gemensam nivå av cybersäkerhet i EU. Det ursprungliga NIS-direktivet var lappat — olika länder implementerade det olika, vilket skapade ett cybersäkerhetslapptäcke. NIS2 syftar till att göra det lapptäcket till en enhetlig filt.

Hoppa till din roll:

Väsentlig entitet

Du verkar i en sektor av hög kritikalitet (bilaga I): energi, transport, bank, finansmarknadsinfrastruktur, hälsa, dricksvatten, avloppsvatten, digital infrastruktur, IKT-tjänstehantering (B2B), offentlig förvaltning eller rymd. Din organisation har troligen 250+ anställda eller €50M+ i årsomsättning. Om dina tjänster slutar fungera märker folk det omedelbart.

Dina skyldigheter

Implementera riskhanteringsåtgärder för cybersäkerhet inom minst 10 domäner (art. 21) — från incidenthantering till leveranskedjans säkerhet
Rapportera betydande incidenter till din nationella CSIRT/behöriga myndighet: tidig varning inom 24 timmar, fullständig notifiering inom 72 timmar, slutrapport inom 1 månad (art. 23)
Säkerställ att ledningens medlemmar genomgår cybersäkerhetsutbildning och godkänner riskhanteringsåtgärder (art. 20) — ja, styrelsen behöver förstå detta
Implementera säkerhetsåtgärder för leveranskedjan, inklusive bedömning av dina kritiska leverantörer (art. 21.2d)
Använd kryptering, multifaktorautentisering och säker kommunikation där det är lämpligt (art. 21.2h–j)
Upprätthåll kontinuitetsplaner, inklusive backup och katastrofåterställning (art. 21.2c)
Genomför regelbundna säkerhetsbedömningar och revisioner (art. 21.2f)
Registrera dig hos din nationella behöriga myndighet (art. 3)

Nyckelartiklar

Art. 3 — Väsentliga och viktiga entiteterArt. 20 — StyrningArt. 21 — Riskhantering för cybersäkerhetArt. 23 — RapporteringsskyldigheterArt. 32 — Tillsyn av väsentliga entiteterBilaga I — Sektorer av hög kritikalitet

Proffstips

24-timmarsdeadlinen för tidig varning är inget skämt. Ha en förberedd incidentmall och en utsedd rapportör som kan processen. Öva rapporteringsflödet innan du behöver det — mitt i en ransomware-attack klockan 3 på natten är inte rätt tillfälle att lista ut CSIRT:s portal.

Viktig entitet

Du verkar i en kritisk sektor (bilaga II): posttjänster, avfallshantering, tillverkning, kemikalier, livsmedel, forskning eller digitala leverantörer (marknadsplatser, sökmotorer, sociala plattformar). Din organisation har 50+ anställda eller €10M+ i årsomsättning. Du kanske inte gör rubriker när du ligger nere, men samhället skulle märka luckan.

Dina skyldigheter

Implementera samma riskhanteringsåtgärder för cybersäkerhet som väsentliga entiteter (art. 21) — de 10 domänerna gäller lika mycket
Följ samma incidentrapporteringstidslinje: 24h tidig varning, 72h notifiering, 1-månads slutrapport (art. 23)
Säkerställ utbildning och godkännande från ledningen (art. 20)
Genomför due diligence för leveranskedjan (art. 21.2d)
Upprätthåll kontinuitets- och krishanteringsplaner (art. 21.2c)
Registrera dig hos din nationella behöriga myndighet (art. 3)

Nyckelartiklar

Art. 3 — Väsentliga och viktiga entiteterArt. 20 — StyrningArt. 21 — Riskhantering för cybersäkerhetArt. 23 — RapporteringsskyldigheterArt. 33 — Tillsyn av viktiga entiteterBilaga II — Övriga kritiska sektorer

Proffstips

Låt inte 'viktig' lura dig att tro att kraven är mindre allvarliga. Skyldigheterna är identiska med väsentliga entiteter — skillnaden ligger i tillsynsintensitet och sanktioner. Fortfarande gott om skäl att ta detta på allvar.

Cybersäkerhets-/informationssäkerhetschef

Du är personen som ansvarar för att implementera NIS2-kraven i praktiken. Oavsett om din titel är CISO, IT-säkerhetschef eller 'den som drog kortaste strået', är det du som översätter direktivets krav till faktiska säkerhetsåtgärder, policyer och incidenthanteringsprocedurer.

Dina skyldigheter

Utveckla och underhåll ramverket för cybersäkerhetsriskhantering i linje med art. 21:s 10 domäner
Upprätta incidentdetekterings-, svars- och rapporteringsrutiner som uppfyller 24h/72h/30d-tidsfristerna
Samordna säkerhetsbedömningar av leveranskedjan för kritiska tredjepartsleverantörer
Förbereda och genomföra cybersäkerhetsutbildning för ledning och personal
Genomföra regelbundna riskbedömningar, sårbarhetsskanningar och penetrationstester
Underhålla och testa kontinuitets- och katastrofåterställningsplaner
Säkerställa tekniska åtgärder: kryptering, MFA, nätverkssegmentering, åtkomstkontroll
Dokumentera allt — NIS2-tillsyn är evidensbaserad

Nyckelartiklar

Art. 21 — Alla 10 riskhanteringsdomänerArt. 23 — IncidentrapporteringstidslinjeArt. 20 — Ledningens skyldigheter

Proffstips

Bygg en efterlevnadsmatris som mappar varje art. 21-domän till dina befintliga kontroller. Du kommer förmodligen att upptäcka att du redan gör 60–70% av vad NIS2 kräver — utmaningen är att dokumentera det, fylla luckor och formalisera det som idag är 'vi gör ungefär så här'.

Så kan Euregas hjälpa

Tillgängliga verktyg

Incidenthantering — spåra incidenter med automatiska 24h/72h/30-dagarsdeadline-påminnelser
Riskhanteringsåtgärder (art. 21) — strukturerad bedömning av alla 10 obligatoriska domäner
Leverantörsbedömning — 8-domäns poängsystem för att utvärdera tredje parters cybersäkerhetsläge

AI-assisterade funktioner

Konsultationsvizard (nis2_scope) — 5-stegs guidad bedömning för att avgöra om du är en väsentlig eller viktig entitet
Semantisk sökning i NIS2-artiklar och skäl

Observera

Incidenthantering och leverantörsbedömning är manuella strukturerade arbetsflöden. AI-assistans finns tillgänglig via konsultationsvizarden för omfångsbedömning.

Alla exempel är fiktiva och används enbart i illustrativt syfte.