Med Nis2-direktivet införs nya krav på cybersäkerhet för olika typer av verksamheter inom EU. En av de centrala delarna av direktivet är att det kategoriserar verksamhetsutövare som antingen ”väsentliga” eller ”viktiga”. Men vad betyder dessa begrepp, och hur kan en organisation veta vilken kategori den tillhör?

Vad är en väsentlig verksamhetsutövare?

En väsentlig verksamhetsutövare är en organisation som spelar en kritisk roll i samhället, där en störning eller ett avbrott i dess tjänster skulle få betydande konsekvenser för samhället och ekonomin. Dessa organisationer opererar inom sektorer som anses vara av särskild betydelse för den nationella och europeiska infrastrukturen.

Exempel på sektorer där väsentliga verksamhetsutövare kan hittas inkluderar:

• Energi (t.ex. elnätsoperatörer)
• Transport (t.ex. flygtrafikledning)
• Bankverksamhet (t.ex. större banker)
• Hälso- och sjukvårdssektorn (t.ex. sjukhus)

För dessa verksamhetsutövare innebär Nis2-direktivet att de måste uppfylla strängare krav på säkerhet och rapportering. De är föremål för omfattande tillsyn och kan få kännbara sanktioner vid bristande efterlevnad.

Vad är en viktig verksamhetsutövare?

Viktiga verksamhetsutövare är också centrala för samhällets funktion, men de betraktas som något mindre kritiska än de väsentliga. Om en viktig verksamhetsutövare drabbas av en incident, kan det fortfarande ha allvarliga konsekvenser, men effekten är ofta mer begränsad geografiskt eller sektoriellt.

Exempel på sektorer där viktiga verksamhetsutövare kan hittas inkluderar:

• Digital infrastruktur (t.ex. internetleverantörer)
• Avfallshantering (t.ex. stora återvinningscentraler)
• Tillverkning (t.ex. företag som producerar viktiga komponenter)

Även om kraven för viktiga verksamhetsutövare är något mildare än för väsentliga verksamhetsutövare, måste de fortfarande följa strikta säkerhetsåtgärder och rapporteringskrav, och de är föremål för tillsyn, om än i något mindre omfattning.

Hur vet man vilken kategori man tillhör?

För att avgöra om en organisation är en väsentlig eller viktig verksamhetsutövare, måste man se på flera faktorer:

1. Sektor: Vilken sektor opererar organisationen inom? De sektorer som anges i Nis2-direktivet hjälper till att avgöra om verksamheten är väsentlig eller viktig. Generellt sett omfattas mer kritiska sektorer, som energi och transport, av kategorin ”väsentlig”.
2. Påverkan: Hur stor påverkan skulle ett avbrott i organisationens tjänster ha på samhället? Om konsekvenserna skulle vara mycket allvarliga, pekar det mot att organisationen är en väsentlig verksamhetsutövare.
3. Organisationens storlek och räckvidd: Större organisationer med bred räckvidd och påverkan, särskilt de som opererar på nationell eller internationell nivå, tenderar att klassificeras som väsentliga. Mindre, mer lokalt fokuserade verksamheter kan klassificeras som viktiga.
4. Reglering och tillsyn: Myndigheter kan också ge vägledning och göra bedömningar av vilken kategori en organisation tillhör. Det är viktigt att följa den nationella lagstiftningen och de riktlinjer som ges av tillsynsmyndigheter.

Vad innebär det att tillhöra en kategori?

Att vara klassificerad som antingen en väsentlig eller viktig verksamhetsutövare innebär att organisationen har ett antal skyldigheter att uppfylla under Nis2-direktivet. Båda typerna av verksamhetsutövare måste implementera robusta säkerhetsåtgärder, rapportera incidenter och vara förberedda på granskning från tillsynsmyndigheter.

För väsentliga verksamhetsutövare är kraven dock mer omfattande, och de är under striktare tillsyn. De kan också möta högre böter och andra sanktioner om de inte uppfyller kraven.

Sammanfattning

Att förstå om din organisation är en väsentlig eller viktig verksamhetsutövare är avgörande för att kunna efterleva Nis2-direktivets krav. Genom att analysera vilken sektor du verkar inom, hur stor påverkan din verksamhet har på samhället, samt genom att följa myndigheters vägledning, kan du avgöra vilken kategori din organisation tillhör. Oavsett kategori är det viktigt att arbeta proaktivt med cybersäkerhet för att skydda din verksamhet och bidra till en säkrare digital miljö för alla.