NIS2 — vad behöver ditt företag göra?
NIS2 är EU:s direktiv om cybersäkerhet. Det ställer tydligare krav, omfattar fler sektorer och ger tillsynsmyndigheter verkliga muskler att agera, vid bristande efterlevnad. Om ditt företag inte redan vet om ni omfattas av NIS2 är det hög tid att ta reda på det.
Den här guiden går igenom vad NIS2 innebär i praktiken, om er verksamhet berörs av lagen, vad ni konkret måste göra och vad som händer om ni inte gör det.
NIS2 i korthet
NIS2 (Directive on Security of Network and Information Systems, EU 2022/2555) är EU:s uppdaterade regelverk för cybersäkerhet. Det ersätter NIS1 från 2016 och trädde i kraft på EU-nivå i januari 2023. I Sverige implementerades direktivet genom cybersäkerhetslagen (2025:1506), som gäller från den 15 januari 2026. Samtidigt upphävdes den tidigare svenska NIS-lagen.
Jämfört med föregångaren NIS1 är skillnaderna stora. Antalet reglerade sektorer har mer än fördubblats, från sju till arton. Kraven är skarpare och mer konkreta. Böterna är höga. Och ledningen kan inte längre hålla sig på avstånd från frågorna.
I Sverige är tillsynen uppdelad per sektor. Myndigheten för civilt försvar (MCF) samordnar arbetet på nationell nivå, men det är sektorsspecifika myndigheter som granskar att lagen följs i praktiken, bland annat:
- Transportstyrelsen för transport
- Finansinspektionen för finanssektorn
- Energimyndigheten för energi
- Post- och telestyrelsen för elektronisk kommunikation
Omfattas ditt företag av NIS2?
Cybersäkerhetslagen delar in verksamheter i två kategorier: väsentliga och viktiga. Kraven på säkerhetsåtgärder är i princip desamma för båda, men tillsynen skiljer sig åt. Väsentliga verksamheter är föremål för löpande, proaktiv tillsyn. Viktiga verksamheter granskas reaktivt, det vill säga när det finns indikationer på brister.
Väsentliga sektorer inkluderar bland annat energi (el, gas, olja, fjärrvärme, vätgas), transport (flyg, järnväg, väg, sjöfart), bank och finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten och avloppsvatten, digital infrastruktur samt offentlig förvaltning.
Viktiga sektorer inkluderar bland annat posttjänster, avfallshantering, kemikalietillverkning, livsmedelsproduktion, tillverkning av medicinteknisk utrustning och motorfordon samt digitala leverantörer.
Den fullständiga förteckningen över sektorer finns i cybersäkerhetslagen och på mcf.se.
Storlekskriterier: Som huvudregel gäller lagen för medelstora och stora organisationer, det vill säga verksamheter med minst 50 anställda eller en omsättning och balansomslutning som överstiger 10 miljoner euro. Mikro- och småföretag är undantagna om de inte tillhör en sektor där de bedöms vara särskilt kritiska. De allra flesta statliga myndigheter, regioner och kommuner omfattas oavsett storlek.
Tillhör ni en sektor som uppfyller storlekskriterierna och är verksamma i Sverige? Då träffas ni troligen av lagen. Nästa steg är att anmäla er verksamhet till Myndigheten för civilt försvar.
Är det oklart om er verksamhet träffas? Rådgör med jurist eller kontakta tillsynsmyndigheten för er sektor.
Kärnkraven — tio säkerhetsåtgärder
Artikel 21 i NIS2-direktivet listar tio säkerhetsåtgärder. Alla som omfattas av lagen måste ha dem på plats.
1. Riskanalys och informationssystemssäkerhet
Ni ska löpande identifiera, värdera och hantera risker mot era system. Det handlar om att ha koll på vilka tillgångar ni har, vilka hot som finns och hur ni prioriterar skyddet. Det här arbetet ska vara kontinuerligt, inte något ni gör en gång och sedan lägger i en låda.
2. Incidenthantering
Ni ska kunna upptäcka, hantera och återhämta er från säkerhetsincidenter. Det kräver tydliga roller och att folk vet vad de ska göra när något händer. En plan som aldrig testats ger falsk trygghet. Öva era rutiner.
3. Driftskontinuitet
Säkerhetskopior, återställningsplaner och krishantering ska finnas på plats. Målet är att hålla igång verksamheten även när något går fel. Kartlägg vilka system som är kritiska och vad ni är beroende av.
4. Leveranskedjans säkerhet
Ni ansvarar inte bara för er egen miljö. Leverantörer och underleverantörer som levererar digitala tjänster till er är också er risk. Kartlägg er leveranskedja och ställ säkerhetskrav i avtal.
5. Säkerhet vid förvärv, utveckling och underhåll av system
Säkerhet ska vara med från början, inte något ni lägger till när systemet redan är i drift. Det inkluderar att hålla system patchade, hantera sårbarheter och ha rutiner för att agera på ny sårbarhetsinformation.
6. Utvärdering av säkerhetsåtgärder
Ni ska kunna visa att det ni gör faktiskt fungerar. Det kräver uppföljning och mätning av säkerhetsarbetet. Regelbunden säkerhetstestning, till exempel penetrationstest, är en naturlig del av det.
7. Cyberhygien och utbildning
Alla i organisationen ska ha tillräcklig kunskap för att inte utgöra en sårbarhet. Utbilda personalen och bygg en kultur där säkra beteenden är det normala. Ledningen ska delta aktivt, inte bara nicka igenom besluten.
8. Kryptografi och kryptering
Ni ska ha rutiner för hur kryptografi används i verksamheten. Det gäller skydd av data både när den lagras och när den skickas, samt hur kryptografiska nycklar hanteras.
9. Åtkomstkontroll och personalsäkerhet
Vem som har åtkomst till vad ska styras av roll och faktiskt behov. Det inkluderar rutiner när personal tillkommer eller slutar, löpande kontroll av behörigheter och hantering av IT-tillgångar.
10. Flerfaktorsautentisering och säkrad kommunikation
Starka inloggningsmetoder ska användas för åtkomst till kritiska system, både externt och internt. Intern kommunikation och nödkommunikation ska vara säkrad.
Rapporteringsskyldigheter
NIS2 ställer tydliga krav på hur och när ni ska rapportera incidenter. Rapporteringen sker till tillsynsmyndigheten för er sektor.
Inom 24 timmar från det att ni fått kännedom om en betydande incident ska en tidig varning skickas in. En kort signal om att något allvarligt har inträffat, mer behövs inte i det här läget.
Inom 72 timmar ska en mer fullständig incidentanmälan vara inskickad. Här beskriver ni vad som hänt, era initiala bedömningar och vilka åtgärder ni vidtagit.
Inom en månad ska en slutrapport lämnas med en komplett analys av incidenten, dess konsekvenser och hur ni har hanterat den.
Vad räknas som en "betydande" incident? En incident som orsakar eller riskerar att orsaka allvarliga driftstörningar för er tjänst, eller som påverkar andra organisationer eller samhällsfunktioner. Kontakta tillsynsmyndigheten för er sektor om ni är osäkra.
Tänk på att sen eller utebliven rapportering kan leda till sanktionsavgifter. Ni behöver inte ha drabbats av en allvarlig attack för att få böter, bristande efterlevnad räcker.
Ledningens ansvar
En av de tydligaste nyheterna i NIS2 jämfört med NIS1 är att ledningsansvaret är uttalat. Cybersäkerhet går inte längre att endast delegera till IT-avdelningen.
Styrelsen och ledningen ansvarar för att godkänna och följa upp de säkerhetsåtgärder som lagen kräver. De ska utbilda sig inom cybersäkerhet för att kunna ta det ansvaret på allvar. Vid allvarliga brister kan de hållas personligen ansvariga.
Sanktionsavgifterna är kopplade till global omsättning. För väsentliga verksamheter upp till 10 miljoner euro eller 2 procent av global årsomsättning. För viktiga verksamheter upp till 7 miljoner euro eller 1,4 procent. Det högsta beloppet gäller.
Cybersäkerhet är med andra ord inte längre en IT-fråga med en egen budgetrad. Det är en ledningsfråga med rättsliga och ekonomiska konsekvenser.
Så kommer ni igång — åtgärdsplan
Full efterlevnad tar tid. Strukturer, rutiner och säkerhetskultur byggs inte på en vecka. Men det finns en logisk ordning att jobba sig igenom.
Steg 1: Bekräfta om ni omfattas. Gå igenom listan över sektorer som inkluderas. Kontrollera er storlek mot tröskelvärdena. Kontakta tillsynsmyndigheten för er sektor om ni är osäkra. Anmäl er till Myndigheten för civilt försvar när ni vet att ni träffas av lagen.
Steg 2: Genomför en gap-analys. Mät er nuvarande säkerhetsnivå mot de tio åtgärderna i artikel 21. Identifiera var ni har luckor. Grunden finns ofta på plats, men systematiken och dokumentationen saknas.
Steg 3: Ta fram en åtgärdsplan med ansvariga. Prioritera efter risk och börja med det som ger störst effekt. Bestäm vem som ansvarar för vad och sätt realistiska deadlines. Ledningen ska vara med, det är ett krav enligt lagen.
Steg 4: Implementera och dokumentera. Genomför åtgärderna och dokumentera löpande. Ni ska kunna visa tillsynsmyndigheten att ni arbetar systematiskt. Dokumentation är bevis på att arbetet faktiskt görs.
Steg 5: Följ upp kontinuerligt. NIS2 är ett löpande arbete. Testa era planer, uppdatera riskanalysen och håll utbildningarna aktuella.
Hur Cyloq hjälper
Cyloq arbetar med offensiv cybersäkerhet. Vi testar era system på samma sätt som en angripare skulle göra det, och ger er en konkret bild av var ni faktiskt är sårbara, inte bara vad policydokumenten säger.
Våra tjänster täcker flera av kraven i NIS2 direkt. Penetrationstest och sårbarhetsskanning adresserar krav 5 och 6 om sårbarhetshantering och utvärdering av säkerhetsåtgärder. Vår incidenthantering ger er beredskap att möta krav 2. Och beredskapsplanering stärker er driftskontinuitet enligt krav 3.
Vill ni veta var ni faktiskt står? Vi erbjuder en NIS2-gap-analys med en tydlig nulägesbild och en prioriterad åtgärdslista.
Guiden ger en faktabaserad överblick av NIS2 och cybersäkerhetslagen. Den ersätter inte juridisk rådgivning. Tolkningsfrågor om er verksamhet träffas av lagen, eller hur specifika krav ska tillämpas i er kontext, bör stämmas av med jurist.
Boka möte
Boka en NIS2-gap-analys med oss
Nu vet ni om ni berörs av lagen. Nästa steg är att förstå exakt hur. Vi går igenom er miljö, matchar den mot kraven i artikel 21 och ger er en konkret bild av vad som behöver göras.