Jag har tidigare skapat vanliga frågor och svar och ju mer information det kommer och ju mer jag lär mig om Nis2 desto mer vill jag dela med mig! Här kommer ett gäng frågor och svar till.

1. Vilket är huvudsyftet med Nis2-direktivet?
   • Syfte: Nis2-direktivet syftar till att stärka och harmonisera cybersäkerheten inom EU genom att införa åtgärder för att uppnå en hög gemensam cybersäkerhetsnivå. Direktivet syftar också till att förbättra den inre marknadens funktion genom att öka medlemsstaternas motståndskraft mot cyberattacker och säkerställa att entiteter inom kritiska sektorer implementerar robusta säkerhetsåtgärder. Det ställer även krav på medlemsstater att samarbeta kring incidenthantering och informationsutbyte​.
2. Vilka organisationer omfattas av Nis2-direktivet och hur kategoriseras de?
   • Tillämpningsområde: Nis2-direktivet omfattar både offentliga och privata aktörer inom kritiska sektorer, som energi, transporter, hälso- och sjukvård, finans och digital infrastruktur. Dessa delas in i två huvudkategorier:
     • Väsentliga enheter: Dessa är större aktörer som har en central roll i samhällets funktion. Till exempel leverantörer av el, sjukhus och stora molntjänstleverantörer. Dessa entiteter lyder under strängare krav vad gäller tillsyn och rapportering.
     • Viktiga enheter: Dessa är mindre men fortfarande betydande aktörer, som datacentraler eller mindre kommunikationsleverantörer, vilka har något lättare krav på tillsyn.
     • Det är också viktigt att lyfta fram de kritiska och högkritiska enheterna, som är avgörande för nationell säkerhet eller samhällsviktiga funktioner. Dessa har särskilda krav på cybersäkerhet, och en störning i deras tjänster kan få allvarliga konsekvenser på både nationell och gränsöverskridande nivå​.

3. Vilka är medlemsstaternas viktigaste skyldigheter enligt Nis2-direktivet?
   • Skyldigheter: Medlemsstaterna måste:
     • Utveckla nationella strategier för cybersäkerhet.
     • Utse behöriga myndigheter som ansvarar för övervakning och efterlevnad.
     • Inrätta CSIRT-enheter (Computer Security Incident Response Teams) som ansvarar för att hantera och reagera på cybersäkerhetsincidenter.
     • Genomföra en effektiv tillsyns- och rapporteringsstruktur som övervakar de entiteter som omfattas av direktivet.
     • Samarbeta på unionsnivå och internationellt för att förbättra informationsutbyte och incidenthantering​.

4. Vilka sanktioner kan en organisation drabbas av vid bristande efterlevnad av Nis2-direktivet?
   • Sanktioner: Nis2-direktivet fastställer tydliga konsekvenser för bristande efterlevnad. Sanktionerna varierar beroende på överträdelsens allvar och vilken typ av enhet det gäller, men kan inkludera:
     • Administrativa böter: För allvarliga överträdelser kan organisationer drabbas av böter som uppgår till upp till 10 miljoner euro eller 2 procent av den totala globala årsomsättningen, beroende på vilket belopp som är högre.
     • Tillfällig eller permanent uteslutning från offentliga kontrakt: Organisationer som bryter mot reglerna kan uteslutas från att delta i offentlig upphandling.
     • Föreläggande om åtgärder: Myndigheter kan ålägga företag att vidta åtgärder för att rätta till brister i cybersäkerheten eller till och med stoppa verksamheten tills problemen har åtgärdats​.

5. Hur hanterar Nis2-direktivet incidenter och cybersäkerhetshot?
   • Incidenthantering: Nis2-direktivet ställer krav på att väsentliga och viktiga enheter inför riskhanteringsåtgärder för cybersäkerhet och rapporterar alla betydande incidenter. Entiteter måste:
     • Genomföra riskbedömningar och vidta tekniska och organisatoriska åtgärder för att hantera cybersäkerhetsrisker.
     • Rapporteringsskyldighet innebär att allvarliga incidenter som kan påverka tjänsternas kontinuitet ska anmälas till relevanta myndigheter inom 24 timmar efter upptäckten.
     • CSIRT-enheter ansvarar för att koordinera och stötta entiteter vid incidenthantering, inklusive att analysera cyberhot, informera om risker och bidra till att återställa verksamheten efter attacker​.