NIS2 är EU:s nya direktiv för nätverks- och informationssäkerhet som träder i kraft i Sverige den 15 januari 2026. Direktivet ställer tydliga krav på cybersäkerhet för samhällsviktiga verksamheter, inklusive krav på riskhantering, incidentrapportering och leverantörskontroll.
Cyberattacker mot svenska företag och myndigheter ökar. Sjukhus, energibolag och kommuner har redan drabbats och riskerna växer i takt med att allt fler samhällsviktiga funktioner digitaliseras. NIS2-direktivet är EU:s svar på detta - den största cybersäkerhetsreformen hittills.
Tusentals verksamheter kommer att omfattas. Men gäller NIS2 för din organisation och vad krävs för att bli redo?
Vad är NIS 2?
NIS 2 är EU:s nya direktiv för nätverks- och informationssäkerhet och bygger vidare på det tidigare NIS-direktivet från 2016.
Syftet är att stärka motståndskraften mot cyberhot inom hela EU genom att:
- harmonisera säkerhetskrav mellan medlemsländerna
- införa striktare tillsyn och sanktioner
- höja kraven på incidentrapportering
- skapa effektivare samarbete mellan medlemsstaterna
I Sverige kommer NIS2 införas genom den kommande Cybersäkerhetslagen (CSL). Regeringens lagförslag (SOU 2024:18) kommer att träda i kraft den 15 januari 2026.
Detaljer om tillsynsmyndigheter och exakta krav kan fortfarande justeras innan lagen går i kraft.
Vilka omfattas av NIS2?
För att avgöra om din verksamhet omfattas behöver du både titta på vilken sektor ni tillhör och hur stor organisationen är.
NIS2 gäller två kategorier av verksamheter:
- Väsentliga entiteter - stora aktörer inom samhällskritiska sektorer
- Viktiga entiteter - medelstora aktörer inom viktiga sektorer
Som huvudregel omfattas verksamheter med fler än 50 anställda eller mer än 10 miljoner euro i omsättning, men även mindre aktörer kan omfattas om de levererar kritiska tjänster till samhällsviktiga verksamheter.
De berörda sektorerna omfattar bland annat:
- Hälso- och sjukvård: sjukhus, laboratorier, e-hälsa och medicinteknik
- Transport: järnväg, sjöfart, flyg, väg och kollektivtrafik
- Bank och finansmarknadsinfrastruktur: banker, kreditinstitut och betalningssystem
- Energi: el, gas, olja, vätgas och förnybar energi
- Dricks- och avloppsvatten: vattenförsörjning och rening
- Digital infrastruktur: moln- och datacenter, internetleverantörer
- IKT-tjänster (B2B): IT-leverantörer, MSP:er och cybersäkerhetstjänster
- Offentlig förvaltning: statliga myndigheter, regioner och kommuner
- Rymdindustrin: satellit- och rymdtekniska verksamheter
Om ett avbrott i din verksamhet skulle kunna få allvarliga konsekvenser för samhället, omfattas du med stor sannolikhet av regelverket.
Vilka säkerhetskrav ställer NIS2?
NIS2 kräver att organisationer inför både tekniska och organisatoriska åtgärder för att minska risken för cyberincidenter och säkerställa kontinuitet.
Tekniska säkerhetsåtgärder
Organisationer ska använda moderna säkerhetslösningar och principer, såsom:
- stark autentisering och åtkomstkontroll
- kryptering av känslig information
- säker fjärråtkomst
- segmentering av nätverk
- regelbunden säkerhetskopiering
- övervakning och upptäckt av attacker
Organisatoriska krav
Cybersäkerhet blir en ledningsfråga. Ledningen måste kunna visa att man aktivt arbetar med säkerhet, avsätter resurser och följer upp risker.
Det innebär bland annat:
- utbildning av personal
- tydliga rutiner för incidenthantering
- uppdaterad säkerhetspolicy och riskhantering
- kontinuerlig uppföljning och förbättring
Incidentrapportering
Kraven på rapportering skärps:
- Föranmälan inom 24 timmar efter upptäckt av allvarlig incident
- Statusrapport inom 72 timmar
- Slutrapport inom en månad
Organisationen måste kunna identifiera, klassificera och dokumentera incidenter samt samarbeta med ansvarig tillsynsmyndighet.
Riskhantering och kontinuitet
NIS2 kräver ett systematiskt arbete med riskhantering:
- regelbundna riskanalyser
- kontinuitets- och återställningsplaner
- övningar och tester
- hantering av tredje-parts-risker
Leverantörskedjan
Ett centralt fokus i NIS2 är säkerheten i leverantörskedjan. Organisationer ska kunna visa att deras leverantörer uppfyller tillräckliga säkerhetskrav och att dessa följs upp.
Det innebär:
- kravställning på leverantörer
- uppföljning av säkerhetsnivåer
- riskklassning av kritiska leverantörer
- hantering av leverantörsincidenter
Att följa NIS2 handlar inte bara om regelefterlevnad - det stärker också verksamhetens motståndskraft och förtroende.
För att underlätta leverantörshanteringen erbjuder vi på ChainSec en modul som förenklar både kravställning och uppföljning av leverantörers säkerhetsarbete.
Vanliga frågor om NIS2
Omfattas mitt företag av NIS2?
NIS2 gäller verksamheter inom samhällsviktiga sektorer med fler än 50 anställda eller över 10 miljoner euro i omsättning. Sektorer inkluderar hälso- och sjukvård, energi, transport, bank och finans, digital infrastruktur, IKT-tjänster, offentlig förvaltning och flera andra. Mindre företag kan också omfattas om de levererar kritiska tjänster. Kontrollera listan i artikeln ovan för att se om din sektor omfattas.
När träder NIS2 i kraft i Sverige?
Den nya Cybersäkerhetslagen (CSL) som implementerar NIS2 kommer träda i kraft den 15 januari 2026. Verksamheter som omfattas bör dock börja förbereda sig nu eftersom implementeringen av säkerhetsåtgärder, processer och dokumentation tar tid.
Vad händer om vi inte följer NIS2?
Bristande efterlevnad kan leda till betydande sanktioner. För väsentliga entiteter kan böterna uppgå till minst 10 miljoner euro eller 2% av global omsättning. För viktiga entiteter är bötesnivån lägre men fortfarande substantiell. Dessutom riskerar ledningen personligt ansvar om de inte tar cybersäkerhet på allvar.
Vad är skillnaden mellan väsentliga och viktiga entiteter?
Väsentliga entiteter är stora aktörer inom samhällskritiska sektorer (exempelvis stora sjukhus, energibolag) och omfattas av strängare tillsyn och högre böter. Viktiga entiteter är medelstora aktörer inom viktiga sektorer. Båda måste uppfylla samma grundläggande säkerhetskrav, men tillsynen och sanktionerna skiljer sig åt.
Hur påverkar NIS2 vår leverantörskedja?
NIS2 kräver att ni systematiskt hanterar cybersäkerhetsrisker i er leverantörskedja. Ni måste ställa säkerhetskrav på leverantörer, särskilt IT-leverantörer och andra som hanterar kritiska system eller data. ChainSec hjälper er att kravställa, bedöma och följa upp leverantörers säkerhetsåtgärder enligt NIS2-kraven.
Du kan också läsa vår artikel: 10 säkerhetsåtgärder för efterlevnad av NIS2-direktivet.
