NIS2-direktivet (direktiv (EU) 2022/2555) inför betydande finansiella och yrkesmässiga konsekvenser för organisationer som misslyckas med att uppfylla sina cybersäkerhetsskyldigheter.
För företagsledningar och styrelser är cyberrisk inte längre enbart en operativ fråga. Under NIS2 är det en regulatorisk och finansiell exponering samt en styrningsfråga som kan mätas – och sanktioneras.
2. Vilka typer av brister utlöser sanktionsavgifter enligt NIS2?
3. Är riskhanteringsåtgärderna otillräckliga? (Artikel 21)
4. Finns det brister i rapporteringen av betydande incidenter? (Artikel 23)
5. Saknar ledningen dokumenterad tillsyn? (Artikel 20)
6. Är tredjepartsrisker otillräckligt kontrollerade?
7. Vilka är de personliga konsekvenserna för ledningen?
8. Hur mycket kan en organisation få i sanktionsavgift?
9. Hur beräknas omsättningsbaserade avgifter?
10. Hur fastställer myndigheterna den slutliga avgiften?
11. Hur kan organisationer minska risken för NIS2-sanktioner?
12. FAQ: Vanliga frågor om NIS2-avgifter
Väsentliga entiteter kan drabbas av sanktionsavgifter på upp till 10 000 000 EUR eller 2% av den globala årsomsättningen. Viktiga entiteter kan drabbas av avgifter på upp till 7 000 000 EUR eller 1,4%. Utöver finansiella sanktioner inför NIS2 ledningsansvar, möjlighet till tillfällig avstängning av ledande befattningshavare samt offentliggörande av överträdelser. Strukturerad styrning och spårbar dokumentation minskar risken för ingripanden avsevärt.
Ingripanden enligt NIS2 orsakas sällan av isolerade tekniska svagheter. De härrör vanligtvis från strukturella brister i styrningen där cybersäkerhet inte är inbäddad i ledningssystemen.
Tillsynsmyndigheter bedömer om cybersäkerhetsåtgärderna är systematiska, dokumenterade och integrerade i den dagliga verksamheten. Fyra kategorier av brister leder vanligtvis till sanktioner.
Läs mer: Varför avtalshantering är fundamentet i NIS2-efterlevnad.
Artikel 21 kräver att organisationer implementerar ”lämpliga och proportionella” tekniska och organisatoriska åtgärder.
Vanliga orsaker till sanktionsavgifter inkluderar:
Myndigheter utvärderar om riskhanteringen är upprepningsbar, uppdaterad och förankrad i styrningsstrukturer. Fragmenterade kalkylblad, statiska dokument eller odokumenterade beslut indikerar ofta en svag kontrollmiljö snarare än effektiv riskhantering.
Artikel 23 fastställer strikta rapporteringsskyldigheter:
Risken för ingripande ökar när en organisation inte kan påvisa:
Under NIS2 handlar incidentrapportering inte bara om snabbhet. Det handlar om spårbarhet och processuell mognad.
Artikel 20 lägger ett direkt ansvar på ledningsorgan. Myndigheter kan ingripa där:
Cybersäkerhet under NIS2 är ett ledningsansvar. Informell delegering utan strukturerad rapportering ökar risken för sanktioner.
NIS2 kräver att organisationer hanterar beroenden i hela sin värdekedja. Sanktionsavgifter kan utlösas av:
Myndigheter bedömer om tredjepartsrisk är juridiskt förankrad, operativt övervakad och kontinuerligt utvärderad. Utan strukturerad insyn i avtal och beroenden kan organisationer få svårt att påvisa proportionell kontroll.
Kostnaden för bristande efterlevnad sträcker sig bortom företagsböter.
Medlemsstaterna ska säkerställa att ledningsorgan kan hållas ansvariga för att de inte uppfyller sina cybersäkerhetsskyldigheter. Detta understryker att cybersäkerhet inte kan behandlas som en sekundär IT-fråga. Det är ett styrningsansvar.
För väsentliga entiteter kan tillsynsmyndigheter tillfälligt förbjuda individer att utöva ledningsfunktioner tills efterlevnad har återställts. Detta kan inkludera VD:ar eller andra ledande befattningshavare, beroende på nationellt genomförande.
Myndigheter kan offentliggöra:
För organisationer som verkar på reglerade eller förtroendebaserade marknader kan anseenderisken överstiga den finansiella sanktionen.
Klassificeringen av en entitet avgör den maximala administrativa sanktionsavgiften.
| Entitetskategori | Maximal fast avgift | Maximal % av global omsättning | Typ av tillsyn |
| Väsentlig enhet | 10 000 000 EUR | 2% | Proaktiv |
| Viktig enhet | 7 000 000 EUR | 1,4% | Reaktiv |
Det högsta beloppet av det fasta beloppet eller omsättningsprocenten tillämpas.
Läs mer: NIS2:s 24-timmarsregel: Hantering av krav på incidentrapportering.
Avgifterna beräknas baserat på den totala globala årsomsättningen från föregående räkenskapsår.
De faktiska avgifterna fastställs av nationella myndigheter baserat på proportionalitet.
Medan direktivet definierar maximala tröskelvärden, bedömer myndigheterna proportionalitet baserat på:
I praktiken återspeglar tillsynens intensitet ofta mognaden i organisationens styrningsstruktur. Organisationer med strukturerad tillsyn, tydlig dokumentation och spårbart beslutsfattande har betydligt bättre förutsättningar att påvisa proportionell efterlevnad.
Under NIS2 betraktas underförstådd säkerhet som obefintlig säkerhet. Kontroll måste kunna påvisas. Praktiska åtgärder inkluderar:
Skillnaden mellan maximal exponering och reducerade sanktioner ligger ofta i påvisbar mognad i styrningen.
Läs mer: NIS2-dokumentation: Vad revisorer förväntar sig att se.
Väsentliga entiteter verkar inom sektorer som är kritiska för samhällets stabilitet (såsom energi, hälso- och sjukvård samt bankverksamhet) och är föremål för proaktiv tillsyn. Viktiga entiteter verkar inom andra sektorer med stor påverkan och är i allmänhet föremål för reaktiv tillsyn.
Ja. Enligt Artikel 32 kan myndigheter tillfälligt stänga av individer från ledningsfunktioner i väsentliga entiteter tills efterlevnad har återställts, beroende på nationellt genomförande.
De baseras på den totala globala årsomsättningen från föregående räkenskapsår. Till exempel kan en omsättning på 1 miljard EUR resultera i en avgift på 20 miljoner EUR för en väsentlig entitet.
Nej. Dokumentation ersätter inte säkerhetsåtgärder. Men utan strukturerad, spårbar dokumentation kan en organisation inte påvisa att den har implementerat ”lämpliga och proportionella” åtgärder som krävs enligt Artikel 21.
Viktig information: House of Control är ett programvaruföretag. Vi tillhandahåller inte konsulttjänster relaterade till NIS2-efterlevnad. Att följa denna guide garanterar därför inte efterlevnad av alla juridiska krav i NIS2. Innehållet i denna artikel baseras på vår egen granskning av NIS2-kraven och vår erfarenhet av regelefterlevnad, samt inspiration från olika organisationer som tillhandahåller konsulttjänster. Vi tar inte på oss något ansvar för bristande efterlevnad av NIS2-kraven eller för konsekvenser som uppstår till följd av användningen av denna guide.