Secify.com

NIS2-direktivet - vad innebär det för svenska organisationer?

3 april, 2024
Uppskattad lästid: 6 min

Det viktigaste du behöver veta

NIS2-direktivet ställer högre krav på cybersäkerhet, incidentrapportering och hantering av leverantörskedjor för samhällsviktiga sektorer inom hela EU. Regeringen har nu lämnat in ett lagförslag till riksdagen, och lagen föreslås börja gälla i Sverige den 15 januari 2026. Om din organisation tillhör någon av de 18 berörda sektorerna är det hög tid att börja anpassa sig redan nu!

Det här ska du göra för att efterleva NIS2

Ta hjälp av checklistan för att se hur din organisation kan förbereda sig och börja arbeta för att uppfylla de nya kraven i NIS2‑direktivet.

  • Ta reda på om och hur ni (eller era kunder) omfattas av NIS2-direktivet
  • Informera ledning och styrelse
  • Se till att följande finns på plats:
    • Incidenthanteringsplan (upptäcka, förstå och förebygga incidenter)
    • Beredskaps- och affärskontinuitetsplan (backup, krisberedskap)
    • Informationssäkerhetspolicy
    • Regelbundna riskanalyser
    • Policys och rutiner för att testa och följa upp säkerhetsarbetet
    • Strategier för säkerheten i nätverk och informationssystem
    • Utbildningar i informations- och cybersäkerhet för personalen
    • Undersökning av säkerheten hos leverantörer och partners
    • Behov av kryptering och multifaktorautentisering
Julia och Petra
Julia och Petra

Behöver du rådgivning?

Secify erbjuder stöd vid tillämpning av såväl NIS som NIS2-direktivet. Vi kan också hjälpa till med en grundlig GAP-analys för att kartlägga nuläget och identifiera vad som behöver förbättras.

Tveka inte att kontakta oss på Secify så berättar vi mer!

Innehåll

Vad är NIS2-direktivet?

Som nämnts i introduktionen innebär NIS2-direktivet skärpta krav på cybersäkerhet för samhällsviktiga och digitala tjänster inom EU. Det innebär bland annat nya säkerhetsåtgärder, skärpta rapporteringskrav samt ett bredare ansvar för verksamhetsledningar.

Så införs NIS2 i Sverige

För att direktivet ska kunna införas i Sverige krävs att det implementeras i svensk lagstiftning. En statlig utredning, SOU 2024:18, överlämnades den 5 mars 2024 och presenterade de nödvändiga förslagen på hur svensk lagstiftning bör anpassas för att möjliggöra genomförandet av direktivet.

Utifrån den statliga utredningen har Regeringen lagt fram ett förslag till en ny cybersäkerhetslag (CSL) som nu behandlas av riksdagen. Enligt MSB förväntas den nya lagen börja gälla den 15 januari 2026 och kommer då att implementera NIS2-direktivet i Sverige.

Snabb bakgrund: Varför ett nytt direktiv?

Det första NIS-direktivet började gälla 2018 och satte grunden för cybersäkerhet inom samhällskritiska sektorer. Enligt msb.se visade det sig dock i en EU-granskning att det gamla direktivet inte var tillräckligt för att möta nuvarande cybersäkerhetsutmaningar. Därför beslutades NIS2 under 2022, som skärper säkerhetskraven och utökar tillsyn, ansvar samt sanktionsmöjligheter. Här kan du läsa mer ingående om bakgrunden till det nya direktivet.

Perspektivbild ovan

Vilka omfattas?

NIS2-direktivet omfattar verksamhetsutövare inom 18 sektorer, både inom privat och offentlig verksamhet. För att omfattas ska organisationen vanligtvis vara ett medelstort företag eller större, det vill säga ha minst 50 anställda eller en årsomsättning eller balansomslutning på mer än 10 miljoner euro. Mindre organisationer kan också omfattas om deras verksamhet har betydande påverkan, till exempel om de är enda leverantör av en tjänst i en medlemsstat eller om en störning kan skapa gränsöverskridande risker.

Enligt NIS2 delas verksamhetsutövarna in i två kategorier med olika krav och tillsynsnivåer:

Högkritiska sektorer

Dessa sektorer utgör samhällsviktiga funktioner där störningar kan få allvarliga konsekvenser för samhället och därmed ställs högre krav på cybersäkerhet och tillsyn. Exempel på högkritiska sektorer är:

  • Energi (elektricitet, fjärrvärme, fjärrkyla, olja, gas, vätgas)
  • Transporter (luftfart, järnväg, sjöfart, vägtransport)
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvård
  • Dricksvattenförsörjning
  • Avloppsvatten
  • Digital infrastruktur (exempelvis internetknutpunkter, DNS-tjänster, molntjänster, datacenter)
  • Förvaltning av IKT-tjänster
  • Offentlig förvaltning (nationell och regional nivå)
  • Rymd (operatörer av markbaserad infrastruktur)

Andra kritiska sektorer

Dessa sektorer är viktiga för samhällets funktion men har lägre riskprofil och omfattas av något mildare tillsyn och sanktioner. Exempel på andra kritiska sektorer är:

  • Post- och budtjänster
  • Avfallshantering
  • Tillverkning, produktion och distribution av kemikalier
  • Produktion, bearbetning och distribution av livsmedel
  • Tillverkning (medicintekniska produkter, datorer, elektronikvaror, optik, elapparatur, motorfordon m.m.)
  • Digitala leverantörer (onlinemarknadsplatser, sökmotorer, plattformar för sociala nätverkstjänster)
  • Forskning

Så påverkas svenska organisationer

  • Skärpta krav på regelbunden riskanalys och säkerhetsåtgärder för nätverk och informationssystem
  • Ökat ansvar för ledningen att aktivt delta i och stödja organisationens cybersäkerhetsarbete
  • Fler sektorer och verksamheter omfattas än tidigare, inklusive både offentliga och privata organisationer
  • Skyldighet att rapportera allvarliga cybersäkerhetsincidenter snabbt till berörd tillsynsmyndighet
  • Krav på att säkerställa leverantörers och underleverantörers efterlevnad av direktivets säkerhetskrav
  • Strängare tillsyn och högre sanktionsavgifter vid brister i efterlevnad
  • Behov av att införa beredskaps- och återhämtningsplaner för att hantera och snabbt återställa drabbade tjänster
  • Ökat fokus på samarbete och informationsdelning mellan organisationer och myndigheter för att förebygga och hantera cyberhot

Läs mer på msb.se

Martin Holmqvist
Martin Holmqvist

Viktiga datum och tidsplan

  • 5 mars 2024: SOU 2024:18 lämnas till regeringen
  • 12 juni 2025: Regeringen presenterar lagrådsremiss för cybersäkerhetslagen
  • December 2025: Beslut i riksdagen väntas
  • 15 januari 2026: Ny cybersäkerhetslag förväntas börja gälla i Sverige

Bakgrunden till direktivet

2018, ett nytt direktiv träder i kraft

Det ursprungliga NIS-direktivet började gälla 2018 och var den första gemensamma EU-regleringen som syftade till att höja informations- och cybersäkerheten inom unionen. Bakgrunden är det ökade beroendet av nätverks- och informationssystem som möjliggörare för viktiga samhällsfunktioner, vilket gör incidenter inom dessa system särskilt allvarliga.

NIS-direktivet hjälpte till att förbättra säkerhetsnivån, men utvärderingar av direktivet visade att det inte räckte för att möta dagens cybersäkerhetshot. Detta ledde till antagandet av NIS2-direktivet som en uppdatering med skärpta krav, stärkt ansvar och striktare tillsynsåtgärder.

NIS2 bygger vidare på det ursprungliga direktivet men tillför nya regler för bland annat säkerhet i leveranskedjan och ledningsansvar, samt höjer nivåerna för sanktioner vid bristande efterlevnad.

Syftet med det nya direktivet är att skapa en högre, gemensam cybersäkerhetsnivå i hela EU för att bättre hantera den ökande digitaliseringen och den förvärrade hotbilden.

Nuläget

Dagens regler kommer att gälla fram tills att den nya cybersäkerhetslagen träder i kraft, men förändringarna kommer att bli stora, fler sektorer omfattas och kraven gäller hela verksamheten.

  • Antal sektorer ökar från 7 till 18 och kraven gäller hela verksamheten inom dessa sektorer
  • Offentlig förvaltning omfattas stort, med undantag för säkerhetskänsliga delar och brottsbekämpning
  • För varje sektor ska det finnas en tillsynsmyndighet, befintliga myndigheter får mer ansvar och fem nya planeras
  • Tillsynsmyndigheterna får stärkt möjlighet att ingripa med förelägganden och högre sanktionsavgifter
  • Införandet medför ökade kostnader, men också stöd för att hjälpa verksamheter att leva upp till kraven

Våra tankar och slutsatser från utredningen

  • Utredningen pekar på flera intressanta aspekter och tolkningar av direktivet. Trösklarna för storlekskravet kring vilka som omfattas av direktivet föreslås sänkas genom att gälla för de som har 50 anställda ELLER en balansomslutning på 10 miljoner euro per år
  • Utredningen landar också in i att kommuner, universitet och högskolor omfattas med några få undantag
  • De verksamheter som till övervägande del bedriver säkerhetskänslig verksamhet eller brottsbekämpning är undantagna. För de som bedriver säkerhetskänslig verksamhet som inte utgör en väsentlig andel kommer dock lagen att gälla i begränsad utsträckning
  • Tillsynsmyndigheterna föreslås kvarstå med några tillkommande myndigheter samt delvis utökade mandat vilket ställer högre krav på resurser och samordning mellan sektorerna. Tillsynsmyndigheterna får dock om särskilda skäl föreligger ta hjälp av andra verksamhetsutövare
  • Gällande ansvaret mot underleverantörer dras gränsen för ansvaret vid första linjens leverantörer och inte vidare i leveranskedjan. Detta förefaller vara en praktiskt rimlig avvägning även om säkerheten längre bort i leveranskedjan inte säkerställs på samma sätt

En mindre förändring görs för tidskraven för incidentrapporteringen. Det föreslås att den initiala rapporteringen ska ske inom 24 timmar, incidentanmälan inom 72 timmar och slutrapporten inom en månad. Detta underlättar för verksamheter att göra rätt, då de får mer tid för rapportering och incidenthantering

Framtiden

Vägen framåt

Svaret från utredningen kommer att ligga till grund för beslut om nationell lagstiftning. Delbetänkandet ska nu skickas på remiss för att ge berörda aktörer möjlighet att lämna synpunkter på utredningens förslag. Därefter vidtar förberedelser för ny lagstiftning. Exakta tidsramar för när den nya lagstiftningen kommer beslutas är ännu inte kända men ett antagande är att det kommer ske i december 2025. Därefter kommer det att komma ytterligare förtydliganden i form av föreskrifter från ansvariga myndigheter. Cybersäkerhetslagen föreslås att sedan börja gälla från och med den 15 januari 2026. Fram till ikraftträdandet av den nya lagen ska nuvarande NIS-reglering gälla.

Behöver du ytterligare rådgivning?

Secify erbjuder stöd vid tillämpning av såväl NIS som NIS2-direktivet.
Tveka inte att kontakta oss på Secify så berättar vi mer!

2025-10-29T19:25:52+01:00
Henrik Petterson

Skrivet av: Henrik Petterson

Henrik arbetar med Secifys varumärke och marknadsinsatser och skapar bland annat innehåll, pressmeddelanden och nyheter.

Henrik Pettersons senaste inlägg

NYHETSBREV

Konsulttjänster

Säkerhetstester

Managerade tjänster

Intelligens

Secify

Secify logo vit

Secify erbjuder rådgivning och säkerhetslösningar inom cybersäkerhet, informationssäkerhet och dataskydd. Vi som arbetar här har lång erfarenhet och djupa kunskaper inom vårt område. Tillsammans kan vi leverera heltäckande lösningar för att skydda dina anställda och din verksamhet.

Jönköping (huvudkontor)
Östra Storgatan 28c, 553 21 Jönköping

Stockholm
Warfvinges väg 45, 112 51 Stockholm

Halmstad
Tre Hjärtans väg 2, 302 41 Halmstad

Växjö
Storgatan 82A, 352 27, Växjö

Cirklar secifyprofil dekoration
Cookiepolicy

Orgnr: 559316-2513
Tel: 020-66 99 00 | Kontakt

Till toppen