Genomförandet av NIS2-direktivet i Sverige närmar sig med stormsteg; om lite drygt ett år, i oktober 2024, ska genomförandet vara klart. Till dess är det naturligtvis bra att vara förberedd, men det är en smula snårigt att veta om man kommer att omfattas av direktivet. En verksamhet kan omfattas på flera olika grunder. En av dessa är om en entitet betecknas som ett medelstort eller större företag i en sektor som återfinns i bilagorna I eller II till NIS2-direktivet. I detta blogginlägg resonerar vi kring vad denna grund innebär.
Den bestämmelse som ställer upp tillämpligheten på medelstora eller större företag är artikel 2.1 i NIS2-direktivet. Där heter det:
Detta direktiv är tillämpligt på offentliga eller privata entiteter av den typ som avses i bilaga I eller II som betecknas som medelstora företag enligt artikel 2 i bilagan till kommissionens rekommendation 2003/361/EG eller överstiger de trösklar för medelstora företag som avses i punkt 1 i den artikeln och som tillhandahåller sina tjänster eller bedriver sin verksamhet i unionen.
De enkla delarna av denna tillämpningsgrund (fortsättningsvis kallat ”storlekskriteriet”) är att entiteten ska återfinnas i bilaga I eller II till NIS2 och dessutom tillhandahålla sina tjänster eller verksamhet i EU. Vi ska inte räkna upp varenda sektor från bilagorna i NIS2, men bland dem finns sektorer som energi, hälso- och sjukvård, transport, avfallshantering och post- och budtjänster. Den mer komplicerade delen av storlekskriteriet handlar om hur man faktiskt beräknar storleken på den entitet som ska anses vara ett medelstort eller större företag. För att göra detta måste man gå in i ett annat EU-dokument – en bilaga till rekommendation 2003/361/EG från kommissionen.
Sammanfattningsvis kan man säga att enligt rekommendationen ska medelstora eller större företag:
Vid beräkningen av hur stort ett företag är ska man, enligt rekommendationen, ta hänsyn till inte bara det företaget vars storlek man faktiskt är intresserad av, entiteten i NIS2:s mening, utan även till så kallade partnerföretag och anknutna företag till entiteten. Förenklat kan man säga att partnerföretag ska läggas till entitetens storlek i proportion till hur stort ägande som finns mellan entiteten och partnerföretaget. Ett anknutet företag i sin tur ska räknas med till 100 % i entiteten storlek. Med ytterligare förenkling kan man förklara partnerföretag som företag som mellan sig har en förbindelse där företag i tidigare marknadsled ensamt eller tillsammans med anknutna företag äger minst 25 % av företag i senare marknadsled. Anknutna företag är sådana som på olika sätt kan ha ett bestämmande inflytande över ett annat företag (entiteten).
Det intressanta med detta är först och främst att vid en strikt tolkning kommer långt fler entiteter än vad det verkar som vid första anblick att kvala in som medelstora eller större företag enligt NIS2. Vidare kan man också fråga sig om konsekvenserna av detta är rimliga i förhållande till vad som är syftet med NIS2 och bakgrunden till den rekommendation NIS2 hänvisar till för beräkningen av storleken.
Syftet med NIS2 är att uppnå en hög gemensam cybersäkerhetsnivå i EU för att förbättra den inre marknadens funktion. Ett ganska generellt formulerat syfte. Det är dock ofrånkomligen så att vissa specifika, mer eller mindre samhällsviktiga sektorer pekas ut i NIS2, även om man i NIS2 inte talar i termer av samhällsviktig verksamhet på samma sätt som man gjorde i NIS1. Vid beräkningen av storleken på ett medelstort eller större företag i NIS2:s mening bör det alltså vara storleken på den i bilagorna utpekade viktiga verksamheten som är av intresse, inte nödvändigtvis storleken på den koncern som verksamheten kanske tillhör.
För att illustrera konsekvenserna som skulle kunna uppstå ska vi ta ett exempel. Föreställ er att det finns ett litet bolag, kanske två anställda och med en omsättning eller balansomslutning på 5 miljoner kr per år. Bolaget sysslar med avfallshantering på en liten ort någonstans i Sverige. Detta lilla företag, som av storleksskäl inte i sig omfattas av storlekskriteriet i NIS2, även om det i och för sig verkar inom en sektor som räknas upp i bilagorna till detsamma, ägs av en stor koncern inom klädvaruhandeln. Att det blivit så är en kvarleva från 50 år sedan när en kusin på mormors sida var i ekonomisk knipa och mormor, som startade koncernen, var snäll och köpte det lilla avfallsbolaget. I och med den stora koncernen som det lilla bolaget tillhör kvalar det senare in som medelstort eller större företag och ska därför anpassa sig till alla de krav som NIS2 ställer på dess cybersäkerhet. Det finns anledning att ifrågasätta om detta är förenligt med syftet med NIS2. Avfallshantering är förvisso något viktig, men är det så viktigt att ett så litet bolag ska uppgraderas för att följa NIS2 till punkt och pricka, när koncernen har en helt annan verksamhet? Eller är egentligen syftet med NIS2 att cybersäkerheten ska vara god på en mer övergripande samhällelig nivå?
Närmre till hands ligger tanken att mormors hela koncern sysslar med avfallshantering, men att denna inte ska kunna dela upp sin verksamhet i många mindre företag och på så sätt slippa anpassa sig till kraven i NIS2. När koncernen som sådan sysslar med verksamhet inom ramen för NIS2 blir det också mer självklart att den mindre enheten inom koncernen ska definieras som ett medelstort eller större företag.
Till denna diskussion kommer också bakgrunden till den rekommendation som NIS2 hänvisar till för beräkningen av storleken av medelstora eller större företag. Rekommendationen är inte från början skriven för att avgöra storleken på entiteter enligt NIS2. Den är istället skriven bl.a. som en rekommendation till medlemsstaterna, Europeiska investeringsbanken och Europeiska investeringsfonden för storleksbestämning av mikro-, små och medelstora företag vid finansieringsprogram riktade till dessa och vid mätning av utnyttjade av dylika program. Den har med andra ord en helt annan utgångspunkt än NIS2.
Vi har alltså att göra med en hänvisning till en rekommendation vars artiklar bjuder beräkningsregler som potentiellt skulle kunna ge konsekvenser utanför syftet med NIS2. Och dessutom en rekommendation som inte alls är utformad med storlekskriteriet i NIS2 i åtanke. Finns det då ingen säkerhetsventil som buffert mot konsekvenser av storlekskriteriet som missar målen alltför mycket? Jo. I viss mån finns det.
Skäl 16 i NIS2-direktivet anger att till undvikande av oproportionerliga uppgraderingar av mikroföretag och små dito till följd av samhörighet med partnerföretag och anknutna företag kan medlemsstaterna ta hänsyn till de mindre företagens oberoende från anknutna och partnerföretag. Som exempel nämns att det mindre företaget kanske har fristående nätverks- och informationssystem eller tillhandahåller andra tjänster än de företag man har relationer till.
Så, om entiteten i NIS2 inte i sig själv når upp till storlekskriteriet bara genom sina egna data, kan medlemsstaterna när det är lämpligt, med hänsyn tagen till entitetens oberoende från anknutna och partnerföretag, anse att en sådan entitet inte ska kvala in under storlekskriteriet. Den beskrivna situationen påminner om det första exemplet ovan, där det lilla företaget och koncernen verkade i helt olika branscher. Här skulle det alltså enligt skälet kunna anses oproportionerligt att det lilla företaget skulle falla under storlekskriteriet.
Det ska dock noteras att det är just ett skäl till direktivet vi har att göra med och inte själva artikeltexten. Dessutom är det formulerat som att medlemsstaterna kan ta hänsyn. Hur medlemsstaterna kommer att tolka riktningen som skäl 16 pekar ut är alltså något framtiden får utvisa.
Sammanfattningsvis kan man säga att vid en bokstavstrogen tolkning av reglerna i NIS2 skulle konsekvenserna kunna bli stora för små och mikroföretag som riskerar att uppgraderas till medelstora eller större företag vid tillämpning av rekommendation 2003/361/EG. Dessa konsekvenser vore i vissa fall oförenliga med målen och syftena med såväl NIS2 som rekommendationen. Dock finns det en säkerhetsventil i skäl 16 till NIS2. Detta är emellertid ett skäl och inte artikeltext, så det återstår att se vad den svenska lagstiftaren gör av storlekskriteriet och hur detta anpassas till syftet med NIS2, det vill säga en hög gemensam cybersäkerhetsnivå i EU för att förbättra den inre marknadens funktion.