NIS-direktivet – så undviker växande företag fallgroparna!
Huvudansvaret för lagen ligger på Myndigheten för samhällsskydd och beredskap (MSB) men ansvaret för de olika sektorer som omfattas ligger på särskilda tillsynsmyndigheter. Post- och Telestyrelsen (PTS) är ansvarig tillsynsmyndighet både för den del av samhällsviktiga tjänster som utgörs av digital infrastruktur och för digitala tjänster.
Varför är NIS-lagen relevant för start ups och SME-företag?
Som jag skrev ovan finns ett undantag för mindre företag. Varför är då ändå NIS-lagen relevant att känna till även för start ups och små- och medelstora företag (SME)? Jo, för så fort ett företag växer och ”kommer över” tröskeln i definitionen av vad som räknas som ett mindre företag, ja, då omfattas företaget av kraven som lagen ställer. Detta är något som sannolikt de flesta mindre företag inte har full kunskap om. Eftersom det inte finns några krav på anmälan till PTS eller för den delen till någon annan aktör för att bedriva verksamhet inom de områden som omfattas i kategorin digitala tjänster, så är det svårt att komma ut med riktad information. Vi på IT&Telekomföretagen tycker därför att det är angeläget att bidra genom att informera om detta inom vår medlemskrets och i våra kanaler.
SME-gränser
Gränsen för små företag enligt EU:s definition och därmed också NIS-lagen är:
- 50 anställda och
- 10M Euro i omsättning eller
- 10 M Euro i balansomslutning
Det innebär att om du som SME är verksam inom området digitala tjänster men ligger under ovanstående gränser så omfattas ditt företag inte av NIS-regleringen.
Om du däremot har för avsikt att ditt företag ska växa och därmed kan komma att överskrida EU:s SME-gränser så är det klokt att veta vad NIS-regleringen innebär.
Områden att tänka till om
- Informationssäkerhet
- Incidentrapportering
- Security by design and default
- Privacy by design and default
Genom att redan inledningsvis göra medvetna och informerade val om vilka krav som ställs/kan komma att ställas undviks stora problem när verksamheten växer.