e-Check.se – digital egenkontroll

NIS2-krav – vad verksamheter behöver förstå

NIS2 (EU-direktivet) sätter ramen för hur viktiga och samhällsviktiga verksamheter ska hantera cyberrisk. I Sverige blir kraven i praktiken tillämpliga genom cybersäkerhetslagen och kompletterande författningar och föreskrifter. Den här sidan ger en översikt av direktivets tyngdpunkter – inte en fullständig juridisk tolkning.

Officiell primärkälla till direktivet: NIS2-direktivet i EUR-Lex. Jämför med tidigare regelverk i NIS jämfört med NIS2.

Riskhantering och styrning

Utgångspunkten är att cybersäkerhet ska styras utifrån faktiska hot och sårbarheter. Verksamheter förväntas identifiera risker för nätverk och informationssystem, prioritera åtgärder som är lämpliga och proportionerliga, och följa upp att beslut faktiskt genomförs.

Det här är nära besläktat med ledningsansvaret: styrning utan riskförståelse blir sällan hållbar över tid.

Tekniska och organisatoriska åtgärder (artikel 21)

Artikel 21 i direktivet räknar upp ett brett spektrum av områden – från incidenthantering och leverantörskedjor till utbildning, åtkomstkontroll och kryptografi. I praktiken ska ni kunna visa att ni arbetar systematiskt, inte att varje punkt är implementerad på samma sätt oavsett kontext.

  • Incidenthantering – detektering, analys, återhämtning och kommunikation internt och externt.
  • Leverantörer och tjänster – säkerhet vid anskaffning, kontraktskrav och uppföljning av it-tjänster.
  • Människor och processer – utbildning, behörigheter och kontinuitet i förändring.

PTS har publicerat stöd kring säkerhetsåtgärder i svensk kontext: Vidta säkerhetsåtgärder enligt cybersäkerhetslagen.

Incidentrapportering (artikel 23)

Betydande incidenter ska rapporteras i steg – tidig information, mer detaljerad rapport och ofta en avslutande redogörelse. Tidsfrister och innehåll preciseras i lag och föreskrifter; processen i Sverige knyts till MCF:s anmälningsfunktioner.

Fördjupning: incidentrapportering enligt NIS2.

Ledningsansvar

Direktivet understryker att styrelse och högsta ledning ska vara involverade: godkänna riktlinjer, följa upp genomförande och förstå betydande cyberrisker. Det förändrar hur många organisationer behöver dokumentera beslut och revisionsbarhet.

Tillsyn, sanktioner och dokumentation

NIS2 skärper möjligheterna till tillsyn och sanktioner på EU-nivå. För er innebär det att "vi jobbar med säkerhet" sällan räcker utan spårbarhet: policyer, riskbedömningar, åtgärdsplaner, testprotokoll och incidentloggar blir centrala bevis vid granskning.

Standarder som ISO 27001 kan ge struktur men ersätter inte lagkrav – se NIS2 och ISO 27001.

Omfattning och undantag

Innan ni detaljplanerar alla kontroller: säkerställ att ni faktiskt omfattas av regelverket och hur ni klassas. Det påverkar både kravnivå och resursbehov.

Vem omfattas av cybersäkerhetslagen?

Checklista i korthet

  1. Verifiera omfattning och klassning.
  2. Upprätta eller uppdatera riskbild och åtgärdsplan kopplad till ledning.
  3. Säkerställ incidentprocess inklusive anmälningskanaler och tidsfrister.
  4. Stärk leverantörs- och förändringsstyrning.
  5. Spara underlag så att ni kan visa efterlevnad vid revision eller tillsyn.
Gör cybersäkerhetstestet och prioritera nästa steg

Relaterat