NIS2 – vad direktivet innebär
EU:s NIS2-direktiv stärker kraven på cybersäkerhet i samhällsviktig och viktig verksamhet. I Sverige genomförs det genom Cybersäkerhetslagen. Här får du en översikt av innehåll, krav och ledningsansvar.
Vad är NIS2?
NIS2 (Network and Information Security 2) är EU:s direktiv om höjd cybersäkerhetsnivå i nätverk och informationssystem. Det utvidgar och skärper det tidigare NIS-direktivet och omfattar fler sektorer och tydligare krav på riskhantering, incidentrapportering och ledningsansvar.
NIS vs NIS2
Det ursprungliga NIS-direktivet fokuserade på ett begränsat antal kritiska sektorer. NIS2 utökar antalet sektorer (18 samhällsviktiga), inför skärpta krav på tekniska och organisatoriska åtgärder, tydligare incidentrapportering och uttryckligt ledningsansvar. Sanktioner har också skärpts avsevärt.
NIS2-direktivet och Cybersäkerhetslagen
I Sverige införs NIS2 genom Cybersäkerhetslagen (2025:1506) och cybersäkerhetsförordningen (2025:1507). Lagen ersätter den tidigare NIS-lagen och anger vilka som omfattas, vilka krav som gäller samt tillsyn och sanktioner. Myndigheten för civilt försvar (MCF) har nationellt samordningsansvar.
Läs mer om Cybersäkerhetslagen →Vad NIS2 kräver – översikt
Verksamhetsutövare ska införa och följa upp ett systematiskt cybersäkerhetsarbete: riskanalys, tekniska och organisatoriska säkerhetsåtgärder, hantering av leverantörs- och tredjepartsrisker, samt kontinuitets- och incidenthantering. Kraven gäller i proportion till risken och verksamhetens art.
Artikel 21 – riskhantering och säkerhetsåtgärder
Enligt NIS2 artikel 21 ska verksamhetsutövare vidta lämpliga och proportionerliga tekniska och organisatoriska åtgärder. Det omfattar bl.a. riskanalys, incidenthantering, säkerhet vid anskaffning och underhåll, utvärdering av åtgärdernas effektivitet, cyberhygien, utbildning, kryptografi, personalsäkerhet, åtkomstkontroll och säkerhet i leveranskedjan. Cybersäkerhetslagen genomför dessa krav i svensk rätt.
Artikel 23 – incidentrapportering
Betydande cyberincidenter ska rapporteras till berörd tillsynsmyndighet. I Sverige sker rapportering via Myndigheten för civilt försvar (MCF) med krav på tidig varning, incidentrapport och slutrapport. I vissa sektorer gäller särskild lagstiftning (t.ex. DORA inom finans), men anmälningsplikten till MCF kan fortfarande gälla.
Ledningsansvar
NIS2 och Cybersäkerhetslagen gör cybersäkerhet till en uttrycklig ledningsfråga. Styrelse och högsta ledning ska godkänna säkerhetsåtgärder, följa upp efterlevnad och förstå cyberrisker och konsekvenser. Detta är ett av de största skiftena jämfört med tidigare lagstiftning.
e-Check gör kontroll och efterlevnad enkelt
NIS2 ställer krav på bland annat riskhantering, säkerhetsåtgärder, incidentrapportering och ledningsansvar. För att leva upp till kraven behöver ni kunna visa hur arbetet faktiskt bedrivs – inte bara att policyer finns på papper.
e-Check samlar egenkontroller, ansvar, evidens och uppföljning i en plattform. Ni strukturerar arbetet utifrån krav och kontrollpunkter – oavsett om ni utgår från NIS2:s artiklar eller den svenska Cybersäkerhetslagen– så att det blir lättare att bli compliant: samma plats för status, historik och underlag inför tillsyn och revision.
- Mallar och checklistor kopplade till krav – mindre manuellt pussel och färre glapp mellan dokument och verklighet.
- Tydlig ansvarsfördelning (t.ex. RACI) per kontroll så att ledning och roller vet vad som förväntas.
- Evidens och bilagor kopplade till rätt kontroll – redo att visa vid granskning.
- Uppföljning över tid: ni ser vad som är klart, vad som brister och vad som behöver beslut härnäst.
Ni slipper bygga egna Excel-flöden eller punktlistor i Word som ingen orkar underhålla. Istället får ni ett arbetssätt som är lätt att förstå för både IT, verksamhet och ledning – och som hjälper er att möta NIS2 och Cybersäkerhetslagens krav med struktur och spårbarhet.
Omfattas ni? Gör testet
Om ni är osäkra på om er verksamhet omfattas av NIS2 eller Cybersäkerhetslagen kan ni göra vårt kostnadsfria test. Det ger en första indikation på några minuter.