Dotterbolag och liknande företag, såsom partnerföretag och anknutna företag, påverkas av reglerna i SOU 2024:18. En koncern består enligt svensk rätt av ett moderbolag och ett eller flera dotterbolag, vilka ju är skilda juridiska personer.

För anknutna företag gäller samma kriterier som för dotterbolag enligt bland annat 1 kap. 11 § aktiebolagslagen (2005:551)​​. Partnerföretag definieras som företag som inte är anknutna, men som har en kapital- eller röstandel på minst 25 procent i ett annat företag​​. Dessa företag kan påverkas av de nya reglerna även om de inte når upp till storlekskravet som egen juridisk person, men på grund av sitt samband med exempelvis ett moderbolag.

Reglerna innebär att även företag som är kopplade till större koncerner, men som själva är mindre, kan omfattas av säkerhetskrav och andra regleringar som syftar till att stärka cybersäkerheten inom den svenska toppdomänen och relaterade verksamheter​​.

Jag fattar det ändå som att om ett dotterbolag inte alls arbetar med något som skulle klassas under Nis2-direktivet, så påverkas det inte av direktivets krav.

Verksamheter som inte uppfyller kriterierna för att vara väsentliga eller viktiga, eller som inte bedriver verksamhet inom de sektorer som omfattas av Nis2-direktivet, är undantagna från direktivets krav på riskhantering och incidentrapportering. Det innebär att om ett dotterbolag till exempel enbart bedriver verksamhet som inte är samhällsviktig eller digitalt kritisk, behöver det inte följa de specifika kraven i Nis2-direktivet​​.

Det finns också bestämmelser som gör det möjligt att undanta verksamheter som enbart delvis bedriver verksamhet på områden som rör nationell säkerhet, allmän säkerhet, försvar eller brottsbekämpning. Dessa undantag gäller den delen av verksamheten och påverkar inte andra delar av företagets verksamhet som inte omfattas av dessa områden​​.

Sammanfattningsvis, ett dotterbolag som inte bedriver någon verksamhet som faller inom ramarna för Nis2-direktivet kommer inte att påverkas av direktivets krav, meeeen… Om ett dotterbolag delar nätverk med ett företag som berörs av NIS2-direktivet, måste dotterbolaget också beakta vissa krav för att säkerställa nätverkets och informationssystemens säkerhet. Det är för att minimera riskerna och säkerställa att hela nätverket uppfyller säkerhetskraven, även om dotterbolaget i sig inte direkt berörs av NIS2.

Specifikt innebär det att alla enheter som är kopplade till nätverket behöver ha adekvata säkerhetsåtgärder och rutiner för att hantera risker kopplade till cybersäkerhet. Detta inkluderar skydd mot obehörig åtkomst, hantering av säkerhetsincidenter, och kontinuerlig övervakning av nätverkssäkerheten.

Det kan även innebära att det behövs särskilda avtal och säkerhetsåtgärder mellan moderbolaget och dotterbolaget för att säkerställa att hela nätverket följer de krav som ställs av NIS2-direktivet. Om en säkerhetsincident inträffar i dotterbolaget som kan påverka det övergripande nätverket, måste detta rapporteras och hanteras i enlighet med NIS2-direktivets krav​​.

Hur tänker ni själva kring detta?

Mer läsning:

Så här stärker du företagets IT-säkerhet med hjälp av Säkerhetskollen

19 november 2024|0 Comments
Snart klar med YH-kursen om Nis2 och arbetat kopplat till detta

Snart klar med YH-kursen om Nis2 och arbetat kopplat till detta

19 november 2024|0 Comments
Vad är IT Asset Management och varför är det viktigt?

Vad är IT Asset Management och varför är det viktigt?

4 november 2024|0 Comments

Hör av er om ni har frågor!

Skicka ett mail om du har frågor eller funderingar.

Vi återkopplar så fort vi kan.