Är ditt företag träffat av Nis2? Information för mjukvaruföretag i fordonsindustrin.
Den nya cybersäkerhetslagen baserad på NIS2-direktivet, som börjar gälla i Januari 2025, kommer att omfatta många fler aktörer än tidigare och ställer högre krav på cybersäkerheten i Europa. För företag i fordonsindustrin, särskilt de som arbetar med mjukvarulösningar som infotainment och säkerhetssystem, är det viktigt att förstå om de omfattas av dessa nya regler.
Här har jag försökt reda ut hur man kan avgöra om ditt företag träffas av Nis2 och vad som gäller för just tillverkare och mjukvaruutvecklare i fordonssektorn.
Hur vet jag om vi omfattas av Nis2?
För att avgöra om din verksamhet omfattas av NIS2, kan du ställa dig några avgörande frågor:
- Vilken sektor tillhör verksamheten?
Nis2-direktivet täcker flera kritiska sektorer, inklusive tillverkning och digital infrastruktur. För fordonsindustrin innebär detta att företag som tillverkar eller utvecklar kritiska system för fordon kan omfattas. Tillverkning av motorfordon och system som är viktiga för fordonsdrift, exempelvis säkerhetssystem och mjukvarulösningar som infotainment, inkluderas. - Uppfyller ditt företag storlekskravet?
En viktig faktor för att avgöra om ditt företag omfattas av Nis2 är företagets storlek. Om ditt företag har fler än 50 anställda eller en årsomsättning på över 10 miljoner euro, kommer det sannolikt att omfattas av direktivet. Små företag som inte når upp till dessa gränser kan undantas, men detta gäller inte om företaget tillhandahåller kritiska tjänster. - Har ditt företag en kritisk funktion? Även om ditt företag är mindre kan det omfattas om det utvecklar kritiska system för säkerhet eller drift. Detta är särskilt viktigt för mjukvaruföretag som utvecklar lösningar för aktiv säkerhet, som förhindrar olyckor, eller för infotainmentsystem som på något sätt påverkar säkerheten i fordonet. Om en störning i dessa system skulle kunna påverka människors liv eller säkerhet, kan ditt företag räknas som en väsentlig aktör enligt Nis2, och då gäller de högre säkerhetskraven.
Vad innebär Nis2 för tillverkare inom fordonsindustrin?
Nis2-direktivet innebär att företag som omfattas måste uppfylla en rad cybersäkerhetskrav. För företag i fordonsindustrin, särskilt de som tillhandahåller mjukvara för fordonssystem, innebär detta bland annat:
- Riskhantering: Verksamheten måste ha ett systematiskt och riskbaserat cybersäkerhetsarbete. Detta innebär att du regelbundet måste genomföra riskanalyser och vidta åtgärder för att skydda dina nätverks- och informationssystem mot potentiella hot.
- Incidentrapportering: Om ditt företag omfattas av Nis2 måste det rapportera säkerhetsincidenter till relevanta myndigheter inom strikta tidsramar. Exempelvis ska en incident rapporteras inom 24 timmar efter upptäckt, och en slutrapport lämnas inom en månad.
- Utbildning och ansvar: Företagsledningen måste genomgå utbildning i cybersäkerhet och säkerställa att alla anställda som arbetar med kritiska system har tillräcklig kunskap och kompetens. Detta är särskilt viktigt för företag som utvecklar system för fordonsindustrin, där säkerhet är en nyckelfaktor.
Så, mjukvaruföretag inom fordonsindustrin, särskilt de som utvecklar system för infotainment och aktiv säkerhet, behöver noga utvärdera om de omfattas av Nis2-direktivet. Genom att förstå vilken sektor verksamheten tillhör, uppfylla storlekskrav och bedöma om era system är kritiska för fordonens säkerhet kan ni avgöra om ni behöver vidta de åtgärder som direktivet kräver.
Nis2-direktivet innebär höga krav på cybersäkerhet, men det kan också vara en möjlighet för ditt företag att stärka sin konkurrenskraft och förbereda sig för framtida cyberhot. Om ni är osäkra på om ni omfattas av reglerna eller vad som gäller för just er verksamhet, kan det vara en god idé att konsultera experter eller myndigheter som kan hjälpa er att navigera i de nya kraven.