Transportstyrelsen - till startsida för Vägtrafik

E-tjänster

Sök

Meny

Start

Stäng

Vägtrafik

Stäng

Luftfart

Stäng

Sjöfart

Stäng

Järnväg

Stäng

Om oss

Stäng

NIS2-direktivet

Vad innebär det att omfattas av NIS2-direktivet inom transportsektorn?

Ni som verksamhetsutövare inom transportsektorn har kanske redan hört talas om NIS2-direktivet och funderar på vad det kan innebära för er. Eventuellt omfattas ni redan av NIS-direktivet och undrar över skillnaden mellan NIS-direktivet och NIS2-direktivet – eller så är det här helt nytt för er. NIS2-direktivet - liksom NIS-direktivet - är ett EU-direktiv som ska införlivas i varje medlemsstat. I Sverige föreslås NIS2-direktivet implementeras genom den så kallade cybersäkerhetslagen. Detta förväntas ske under andra halvan av 2025.

De största skillnaderna mellan NIS-direktivet och NIS2-direktivet för er i transportsektorn är att:

  • NIS2-direktivet omfattar fler verksamheter.
  • Rederier och flygbolag kommer inte att undantas i den svenska implementeringen.
  • Tillverkning inom transportsektorn tillkommer som ny sektor, vilket kan vara allt från tillverkning av flygplan till tillverkning av rymdfarkoster.
  • Tydligare krav på riskanalyser, säkerhetsåtgärder och ledningens ansvar i cybersäkerhetsarbetet.
  • Sanktionsavgifternas maximinivå höjs till 10 000 000 euro eller två procent av verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår.
  • Kraven i direktivet kommer att gälla för hela er verksamhet och inte bara för den samhällsviktiga tjänsten.
  • Verksamhetsutövare som omfattas av NIS2-direktivet kommer att kategoriseras som antingen viktiga eller väsentliga verksamhetsutövare, se mer om detta nedan.

Väsentliga och viktiga verksamhetsutövare

Ni som omfattas av NIS2-direktivet kommer att tillhöra någon av kategorierna väsentliga och viktiga verksamhetsutövare.

Väsentliga verksamhetsutövare är ni som omfattas av bilaga I och:

  • er verksamhet är etablerad i Sverige och
  • ni sysselsätter minst 250 personer, eller
  • har en årsomsättning som är minst 50 miljoner euro, eller
  • har en balansomslutning på minst 43 miljoner euro per år, eller
  • är utpekad som väsentlig verksamhetsutövare av Transportstyrelsen

Viktiga verksamhetsutövare är ni som omfattas av bilaga I eller II (Tillverkning) och:

  • er verksamhet är etablerad i Sverige och
  • ni sysselsätter minst 50 personer, eller
  • har en årsomsättning som är minst 10 miljoner euro, eller
  • har en balansomslutning på minst 10 miljoner euro per år, eller
  • är utpekad som viktig verksamhetsutövare av Transportstyrelsen

Bilaga I i NIS2-direktivet

Bilaga II i NIS2-direktivet

Kraven som ställs på er som verksamhetsutövare är i stort sett desamma för viktiga och väsentliga verksamheter, men reglerna för tillsyn och sanktioner skiljer sig åt. För väsentliga verksamhetsutövare sker exempelvis tillsyn kontinuerligt enligt en tillsynsplan. För viktiga verksamhetsutövare sker däremot tillsyn bara då Transportstyrelsen fått indikationer på att regleringen inte följs.

Anmälan

Ni som verksamhetsutövare behöver själva identifiera om ni omfattas av NIS2-direktivet och därmed kommande cybersäkerhetslagen enligt ovan kriterier, och i så fall anmäla er. Om ni är anmälda som NIS-leverantör enligt den nuvarande lagen - och även kommer att omfattas av nya cybersäkerhetslagen - kommer ni att behöva anmäla er på nytt. Observera dock att det inte är möjligt att anmäla sig ännu. Transportstyrelsen kommer att återkomma med detaljerad information om hur anmälan går till i god tid innan den nya cybersäkerhetslagen träder i kraft.