NIS2-direktivet: vad innebär det för din verksamhet?

NIS2-direktivet: vad innebär det för din verksamhet?

NIS2 är den mest omfattande cybersäkerhetsreformen hittills och kommer att påverka tusentals verksamheter i Sverige. Vad innebär det för din organisation?

Lucas Rosvall

Lucas Rosvall

Cyberattacker mot svenska företag och myndigheter ökar. Sjukhus, energibolag och kommuner har redan drabbats och riskerna växer i takt med att allt fler samhällsviktiga funktioner digitaliseras.

För att stärka Europas motståndskraft mot cyberhot inför EU nu NIS2-direktivet, vilket är den största reformen inom informationssäkerhet hittills. Direktivet ställer tydliga krav på hur organisationer ska skydda sina IT-system, hantera incidenter och rapportera säkerhetsbrister.

I Sverige väntas den nya cybersäkerhetslagen träda i kraft 15 januari 2026, och tusentals verksamheter kommer att omfattas. Men gäller NIS2 för din organisation och vad krävs för att bli redo?

Vad är NIS2?

NIS2 är EU:s nya direktiv för nätverks- och informationssäkerhet och bygger vidare på det tidigare NIS-direktivet från 2016.

Syftet är att stärka motståndskraften mot cyberhot inom hela EU genom att:

  • harmonisera säkerhetskrav mellan medlemsländerna
  • införa striktare tillsyn och sanktioner
  • höja kraven på incidentrapportering
  • skapa effektivare samarbete mellan medlemsstaterna

I Sverige förväntas NIS2 införas genom den kommande Cybersäkerhetslagen (CSL). Regeringens lagförslag (SOU 2024:18) är nu under beredning, och lagen väntas träda i kraft den 15 januari 2026.

Detaljer om tillsynsmyndigheter och exakta krav kan fortfarande justeras innan lagen går i kraft.

Vilka omfattas av NIS2?

För att avgöra om din verksamhet omfattas behöver du både titta på vilken sektor ni tillhör och hur stor organisationen är.

NIS2 gäller två kategorier av verksamheter:

  • Väsentliga entiteter - stora aktörer inom samhällskritiska sektorer
  • Viktiga entiteter - medelstora aktörer inom viktiga sektorer

Som huvudregel omfattas verksamheter med fler än 50 anställda eller mer än 10 miljoner euro i omsättning, men även mindre aktörer kan omfattas om de levererar kritiska tjänster till samhällsviktiga verksamheter.

De berörda sektorerna omfattar bland annat:

  • Hälso- och sjukvård: sjukhus, laboratorier, e-hälsa och medicinteknik
  • Transport: järnväg, sjöfart, flyg, väg och kollektivtrafik
  • Bank och finansmarknadsinfrastruktur: banker, kreditinstitut och betalningssystem
  • Energi: el, gas, olja, vätgas och förnybar energi
  • Dricks- och avloppsvatten: vattenförsörjning och rening
  • Digital infrastruktur: moln- och datacenter, internetleverantörer
  • IKT-tjänster (B2B): IT-leverantörer, MSP:er och cybersäkerhetstjänster
  • Offentlig förvaltning: statliga myndigheter, regioner och kommuner
  • Rymdindustrin: satellit- och rymdtekniska verksamheter

Om ett avbrott i din verksamhet skulle kunna få allvarliga konsekvenser för samhället, omfattas du med stor sannolikhet av regelverket.

Säkerhetskrav i NIS 2

Vilka säkerhetskrav ställer NIS2?

NIS2 kräver att organisationer inför både tekniska och organisatoriska åtgärder för att minska risken för cyberincidenter och säkerställa kontinuitet.

Tekniska säkerhetsåtgärder

Organisationer ska använda moderna säkerhetslösningar och principer, såsom:

  • stark autentisering och åtkomstkontroll
  • kryptering av känslig information
  • säker fjärråtkomst
  • segmentering av nätverk
  • regelbunden säkerhetskopiering
  • övervakning och upptäckt av attacker

Organisatoriska krav

Cybersäkerhet blir en ledningsfråga. Ledningen måste kunna visa att man aktivt arbetar med säkerhet, avsätter resurser och följer upp risker.

Det innebär bland annat:

  • utbildning av personal
  • tydliga rutiner för incidenthantering
  • uppdaterad säkerhetspolicy och riskhantering
  • kontinuerlig uppföljning och förbättring

Incidentrapportering

Kraven på rapportering skärps:

  • Föranmälan inom 24 timmar efter upptäckt av allvarlig incident
  • Statusrapport inom 72 timmar
  • Slutrapport inom en månad

Organisationen måste kunna identifiera, klassificera och dokumentera incidenter samt samarbeta med ansvarig tillsynsmyndighet.

Riskhantering och kontinuitet

NIS2 kräver ett systematiskt arbete med riskhantering:

  • regelbundna riskanalyser
  • kontinuitets- och återställningsplaner
  • övningar och tester
  • hantering av tredje-parts-risker

Leverantörskedjan

Ett centralt fokus i NIS2 är säkerheten i leverantörskedjan. Organisationer ska kunna visa att deras leverantörer uppfyller tillräckliga säkerhetskrav och att dessa följs upp.

Det innebär:

  • kravställning på leverantörer
  • uppföljning av säkerhetsnivåer
  • riskklassning av kritiska leverantörer
  • hantering av leverantörsincidenter

Att följa NIS2 handlar inte bara om regelefterlevnad - det stärker också verksamhetens motståndskraft och förtroende.

För att underlätta leverantörshanteringen erbjuder vi på ChainSec en modul som förenklar både kravställning och uppföljning av leverantörers säkerhetsarbete.

Du kan också läsa vår artikel: 10 säkerhetsåtgärder för efterlevnad av NIS2-direktivet.

Ta kontroll över er leverantörskedja idag.

Få full överblick över era leverantörer, hantera risker proaktivt och effektivisera ert arbete. Se hur ChainSec kan hjälpa er organisation att arbeta smartare med leverantörshantering.

App screenshot