e-Check.se – digital egenkontroll

NIS2 – vad innebär direktivet och cybersäkerhetslagen?

NIS2 är EU:s direktiv för att höja cybersäkerheten i samhällsviktiga och andra viktiga verksamheter. I Sverige genomförs direktivet i huvudsak genom cybersäkerhetslagen (2025:1506) och cybersäkerhetsförordningen (2025:1507). Det betyder att NIS2 är EU-regeln på övergripande nivå, medan cybersäkerhetslagen är den svenska rättsliga ramen som gör kraven tillämpliga för berörda organisationer i Sverige.

NIS2 och svensk rätt – så hänger det ihop

Det är viktigt att skilja på EU-direktivet och den svenska regleringen. NIS2 sätter den gemensamma riktningen inom EU, men för svenska verksamheter är det den svenska lagstiftningen som blir avgörande i praktiken. Därför är kopplingen enkel:

  • NIS2 = EU:s direktiv
  • Cybersäkerhetslagen = det svenska genomförandet av NIS2 i svensk rätt
  • Cybersäkerhetsförordningen = kompletterar lagen med närmare regler och ansvar

Därför finns NIS2

Bakgrunden till NIS2 är att digitala beroenden och cyberhot påverkar allt fler verksamheter. Syftet är att skapa en hög och mer enhetlig cybersäkerhetsnivå inom EU, så att fler organisationer arbetar systematiskt med riskhantering, motståndskraft och incidentrapportering.

För svenska organisationer innebär det att cybersäkerhet inte längre kan hanteras som en isolerad IT-fråga. Det är en verksamhetsfråga, en ledningsfråga och i många fall en fråga om regelefterlevnad, robusthet och förtroende.

Vilka organisationer kan omfattas?

Många fler verksamheter omfattas av NIS2 än av tidigare reglering. Bedömningen utgår inte bara från bransch, utan också från vilken typ av verksamhet ni bedriver, organisationens storlek och vilken roll ni har i samhället eller leveranskedjan.

Cybersäkerhetslagen omfattar verksamhetsutövare inom 18 sektorer. Det kan bland annat handla om:

  • energi
  • transporter
  • bank och finansiell infrastruktur
  • hälso- och sjukvård
  • dricksvatten
  • digital infrastruktur
  • offentlig förvaltning
  • livsmedel
  • tillverkning

Till våra tester

Vad ställs det för krav?

Om verksamheten omfattas behöver organisationen arbeta systematiskt och riskbaserat med cybersäkerhet. I praktiken kan arbetet delas in i följande steg:

Steg 1: Avgör om ni omfattas av cybersäkerhetslagen/NIS2

MCF har vägledning och en checklista för detta.

Steg 2: Anmäl er till rätt funktion

Lagen kräver anmälan "så snart det kan ske", och förordningen anger att den ska göras till den gemensamma kontaktpunkten.

Steg 3: Inför säkerhetsåtgärder

Lagen kräver lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder, med minst tio områden såsom riskanalys, incidenthantering, kontinuitet, leverantörskedja, utveckling/underhåll, cyberhygien, kryptografi, åtkomstkontroll och autentisering.

Steg 4: Utbilda ledningen

Lagen kräver att personer i ledningen genomgår utbildning om säkerhetsåtgärder.

Utbildning och rådgivning

Steg 5: Etablera incidentrapportering

Lagen anger bland annat 24 timmar för första underrättelse om betydande incident, normalt 72 timmar för incidentanmälan och slutrapport inom en månad; förordningen anger att rapporteringen ska gå till CSIRT-enheten.

Steg 6: Förbered er för tillsyn och sanktioner

Lagen innehåller tillsyn, förelägganden och sanktionsavgifter.

Kraven ska stå i proportion till risk, exponering och verksamhetens betydelse. Det handlar alltså inte om att alla ska göra exakt samma sak, utan om att säkerhetsarbetet ska vara relevant, dokumenterat och förankrat i verksamheten.

CSIRT är en enhet hos Myndigheten för civilt försvar (MCF) som hanterar it-säkerhetsincidenter.

Källor och länkar

Samma källor kan vara relevanta för flera steg; listan följer i stort turordningen ovan.

NIS2 gör cybersäkerhet till en ledningsfråga

En av de viktigaste förändringarna är att cybersäkerhet tydligt blir en fråga för ledningen. Ledningen ska förstå organisationens cybersäkerhetsrisker, övervaka det systematiska säkerhetsarbetet och säkerställa att rätt mål, resurser, mandat och ansvar finns på plats.

Det gör att NIS2 är direkt relevant för:

  • ledningsgrupper
  • CFO
  • CEO
  • myndighetsledningar
  • andra beslutsfattare med ansvar för styrning, risk och resiliens

Incidentrapportering och tillsyn

Om ni omfattas av cybersäkerhetslagen behöver ni också kunna hantera och rapportera betydande incidenter. En betydande incident ska rapporteras till Myndigheten för civilt försvar inom 24 timmar från att den blivit känd.

För organisationer innebär det att incidenthantering behöver vara mer än en teknisk funktion. Ansvar, beslutsvägar, eskalering och rapportering måste fungera även under tidspress.

Vad behöver organisationer göra nu?

Ett bra första steg är att utreda om verksamheten omfattas. Därefter behöver ledningen säkerställa att det finns rätt ansvarsfördelning, ett riskbaserat arbetssätt och en tydlig plan för hur organisationen ska uppfylla kraven.

För många verksamheter handlar det om att gå från allmän säkerhetsambition till ett mer styrt, dokumenterat och uppföljningsbart cybersäkerhetsarbete.

Vanliga nästa steg är att:

  • bedöma om ni omfattas
  • kartlägga kritiska system, beroenden och leverantörer
  • se över nuvarande riskhantering och incidentprocesser
  • förankra ansvar i ledning och verksamhet
  • prioritera åtgärder utifrån risk och affärskritikalitet

Osäkra på om ni omfattas?

Många organisationer behöver göra en samlad bedömning utifrån verksamhet, storlek och jurisdiktion innan svaret blir tydligt. Ett första test kan därför vara ett bra sätt att snabbt få en indikation på om ni sannolikt omfattas av NIS2 och den svenska cybersäkerhetslagen.

Gör NIS2-testet

Källor och vidare läsning

Relaterat