NIS-direktivet – så undviker växande företag fallgroparna!

Sedan 2018 gäller en lag som heter Lag om informationssäkerhet för samhällsviktiga och digitala tjänster, vanligtvis kallad NIS-lagen. Lagen innebär i korthet att det ställs krav på informationssäkerhet och på obligatorisk incidentrapportering. Kraven ställs på leverantörer av samhällsviktiga tjänster inom bland annat områdena energi, transport och digital infrastruktur men också på leverantörer av följande digitala tjänster: molntjänster, e-handelsplatser och sökmotorer. Lagen gör ingen skillnad på om det är privata eller offentliga aktörer som tillhandahåller tjänsterna utan kraven som ställs gäller alltså alla – oavsett ägarform. Mindre företag undantas från kraven.

Huvudansvaret för lagen ligger på Myndigheten för samhällsskydd och beredskap (MSB) men ansvaret för de olika sektorer som omfattas ligger på särskilda tillsynsmyndigheter. Post- och Telestyrelsen (PTS) är ansvarig tillsynsmyndighet både för den del av samhällsviktiga tjänster som utgörs av digital infrastruktur och för digitala tjänster.

Varför är NIS-lagen relevant för start ups och SME-företag?

Som jag skrev ovan finns ett undantag för mindre företag. Varför är då ändå NIS-lagen relevant att känna till även för start ups och små- och medelstora företag (SME)? Jo, för så fort ett företag växer och ”kommer över” tröskeln i definitionen av vad som räknas som ett mindre företag, ja, då omfattas företaget av kraven som lagen ställer. Detta är något som sannolikt de flesta mindre företag inte har full kunskap om. Eftersom det inte finns några krav på anmälan till PTS eller för den delen till någon annan aktör för att bedriva verksamhet inom de områden som omfattas i kategorin digitala tjänster, så är det svårt att komma ut med riktad information. Vi på IT&Telekomföretagen tycker därför att det är angeläget att bidra genom att informera om detta inom vår medlemskrets och i våra kanaler.

SME-gränser

Gränsen för små företag enligt EU:s definition och därmed också NIS-lagen är:

  • 50 anställda och
  • 10M Euro i omsättning eller
  • 10 M Euro i balansomslutning

Det innebär att om du som SME är verksam inom området digitala tjänster men ligger under ovanstående gränser så omfattas ditt företag inte av NIS-regleringen.

Om du däremot har för avsikt att ditt företag ska växa och därmed kan komma att överskrida EU:s SME-gränser så är det klokt att veta vad NIS-regleringen innebär.

Områden att tänka till om

  • Informationssäkerhet
  • Incidentrapportering
  • Security by design and default
  • Privacy by design and default

Genom att redan inledningsvis göra medvetna och informerade val om vilka krav som ställs/kan komma att ställas undviks stora problem när verksamheten växer.