NIS2-direktivet:
vad ska ditt transportföretag göra?

NIS2 är EU:s uppdaterade krav på cybersäkerhet. För de flesta åkerier är det inte ett direkt lagkrav — men du kommer att märka det ändå. Här är vad du behöver veta.

Vad är NIS2-direktivet?

NIS2 — Network and Information Security Directive 2 — trädde i kraft i Danmark den 1 november 2024. Det ställer skarpare krav på IT-säkerhet, riskbedömning och hantering av säkerhetsincidenter i företag inom kritiska sektorer — inklusive transport.

De tre viktigaste förändringarna från det tidigare direktivet:

• Bredare omfattning: Långt fler företag och sektorer är nu direkt omfattade, inklusive väggodstransport.
• Skarpare krav: Krav på riskhantering, incidentrespons och leverantörssäkerhet.
• Hårdare böter: Upp till 10 miljoner euro eller 2% av global omsättning för direkt omfattade.

Vem är direkt omfattad av NIS2?

Sannolikt inte ditt företag — om du är ett typiskt åkeri. NIS2 gäller direkt för:

• Väsentliga enheter: Över 250 anställda ELLER över 50 milj. euro i omsättning.
• Viktiga enheter: Över 50 anställda ELLER över 10 milj. euro i omsättning.

De flesta åkerier med under 50 anställda och under 75 milj. kr i omsättning faller inte direkt under NIS2.

Men — och det är viktigt: NIS2 kräver att de stora direkt omfattade företagen ställer säkerhetskrav på sina leverantörer. Kör du för stora producenter, detaljhandelskedjor eller logistikföretag kommer de sannolikt ställa krav på din IT-säkerhet. Det är indirekt, men det är verkligt.

Vad kräver NIS2 konkret?

För direkt omfattade företag är kraven tydliga:

• Dokumenterade säkerhetspolicyer och riskbedömningar — ledningen är personligt ansvarig.
• Incidentrapportering inom 24 timmar (tidig varning) och 72 timmar (fullständig rapport).
• Åtkomstkontroll och kryptering av data och system.
• Leverantörssäkerhet: Du ska bedöma dina IT-leverantörers säkerhet — det är detta krav som sipprar ner till åkerier som underleverantörer.
• Backup och beredskapsplaner vid säkerhetsincidenter.

Vad ska du som åkeriägare göra nu?

1. Kontrollera om du är direkt omfattad. Över 50 anställda eller 10 milj. euro i omsättning? Ja → du är viktig enhet. Nej → du är sannolikt inte direkt underkastad, men kan märka det indirekt.
2. Förvänta dig krav från dina kunder. Fråga proaktivt om dina stora kunder kommer ställa krav på din IT-säkerhet.
3. Kontrollera dina system. Är de uppdaterade? Använder du starka lösenord och tvåfaktorsautentisering? Är data säkerhetskopierat?
4. Välj säkra leverantörer. Ditt TMS ska uppfylla moderna säkerhetsstandarder. DORA körs på modern molninfrastruktur med kryptering och åtkomstkontroll.
5. Prata med dina medarbetare. En kort introduktion till phishing och säkra lösenord är det enklaste och mest effektiva du kan göra.

Sanktioner vid bristande efterlevnad

För direkt omfattade företag är böterna skarpa: upp till 10 milj. euro eller 2% av global omsättning. Ledningen kan i yttersta fall förbjudas att utöva sina funktioner tillfälligt.

För de flesta åkerier är den verkliga risken inte böter från myndigheter — utan förlust av kontrakt med kunder som inte kan använda leverantörer som inte lever upp till deras säkerhetskrav.

Vanliga frågor om NIS2 och transport

Är mitt åkeri direkt underkastat NIS2?

Sannolikt inte, om du har under 50 anställda och under 10 milj. euro (ca 75 milj. kr) i omsättning. Men du kan märka det indirekt om dina kunder är direkt underkastade och ställer krav nedåt i leveranskedjan.

Vad är fristen för incidentrapportering?

För direkt omfattade: tidig varning inom 24 timmar, fullständig rapport inom 72 timmar. Rapportering sker till Center for Cybersikkerhed (CFCS) i Danmark.

Vad händer om jag inte följer NIS2?

För direkt omfattade företag: böter upp till 10 milj. euro eller 2% av global omsättning, föreläggande att rätta till — och potentiellt tillfälligt förbud för ledningen att utöva sina funktioner. För de flesta åkerier är den större risken förlust av kundkontrakt.