I januari 2026 träder nya direktivet NIS2 i kraft. Det är ett nytt regelverk som ställer skärpta krav på cybersäkerhet i både privat och offentlig sektor. För många organisationer innebär det att cybersäkerhetsarbetet inte längre är något som är frivilligt, utan styrt av tydliga tekniska och organisatoriska krav.

Vad är NIS2?

NIS2 är EU:s nya cybersäkerhetsdirektiv och ersätter det tidigare NIS-direktivet från 2016. Syftet är att stärka motståndskraften i samhällets mest kritiska tjänster och sektorer inom hela unionen. Direktivet ställer krav på att fler organisationer inför konkreta åtgärder för att hantera cyberrisker, stärka skyddet av sina nätverk och informationssystem samt rapportera allvarliga incidenter till ansvariga myndigheter.

NIS2 omfattar fler sektorer än tidigare och inkluderar nu även verksamheter inom:

• Energi

• Transport

• Finansiella tjänster

• Hälso- och sjukvård

• Digital infrastruktur

• Offentlig förvaltning

• Avfallshantering

• Tillverkning av kritiska produkter (t.ex. läkemedel och elektronik)

Vad krävs av dig som omfattas?

NIS2 innehåller både strategiska och operativa krav. Det räcker inte att ha ett antivirusprogram eller en brandvägg på plats. För att uppfylla kraven i NIS2 måste ni kunna visa att ni jobbar strukturerat med cybersäkerhet. Att ni bedömer risker löpande, har dokumenterade rutiner och att säkerhetsarbetet är integrerat i både teknik, processer och organisation. Du behöver ha skydd, men också kunna visa att ni arbetar systematiskt, riskbaserat och förebyggande med säkerheten.

Bland annat kräver direktivet att du:

• Genomför riskanalyser och har rutiner för hantering av säkerhetsincidenter

• Säkerställer kontinuitet i verksamheten vid avbrott eller intrång

• Inför sårbarhetshantering och säkerhet i leverantörsledet

• Utbildar anställda i cybersäkerhet

• Rapporterar incidenter snabbt till tillsynsmyndigheten

Kravbilden gäller både tekniska lösningar och organisatoriskt ansvar. För många organisationer innebär det även att ledningen får ett tydligare ansvar för säkerheten.

Vad händer om du inte uppfyller kraven för NIS2?

Till skillnad från tidigare, kan bristande efterlevnad av NIS2 nu leda till kännbara konsekvenser.

Ledningen bär ett direkt och personligt ansvar för att säkerställa att organisationen efterlever direktivet. Det innebär att brister i cybersäkerhetsarbetet inte längre kan delegeras bort, utan kan få juridiska följder för ansvariga personer.

Dessutom gäller strikta krav vid incidenter. En första rapport ska lämnas in till berörd tillsynsmyndighet inom 24 timmar från att en allvarlig incident upptäcks. Därefter krävs en mer omfattande uppföljning inom 72 timmar.

Om kraven inte efterlevs kan det leda till sanktioner, inklusive böter på upp till 10 miljoner euro, eller 2 % av organisationens globala årsomsättning, beroende på vilket belopp som är högst.

Checklista: Är ni redo för NIS2?

För att göra det så enkelt som möjligt att leva upp till NIS2 har vi tagit fram en praktisk checklista för att bedöma nuläget, identifiera gap och tydliggöra var ni behöver agera.

1. Omfattas ni av direktivet?

• Har ni fastställt om er verksamhet ingår i en "väsentlig" eller "viktig" sektor enligt NIS2?

• Uppfyller ni storlekskraven för att omfattas? (antal anställda, omsättning)

• Finns det särskilda skäl till att ni ändå omfattas – trots att ni inte tillhör en utpekad sektor?

2. Är ansvaret förankrat i ledningen?

• Har styrelse och ledningsgrupp insikt i sitt juridiska ansvar enligt NIS2?

• Har ledningen godkänt era cybersäkerhetsåtgärder och arbetssätt?

• Finns det kompetensutveckling eller utbildning för ledningen i säkerhetsfrågor?

3. Hur ser er cybersäkerhet ut i praktiken?

• Har ni en uppdaterad riskanalys och process för att bedöma hotbilden?

• Finns etablerade planer för incidenthantering, backup och återställning?

• Har ni identifierat sårbarheter i leverantörskedjan och hanterar dessa systematiskt?

• Följer ni grundläggande säkerhetsrutiner som patchning, hård härdning och sårbarhetsskanning?

• Använder ni MFA och principer för "least privilege" vid åtkomsthantering?

• Krypterar ni data både i vila och under överföring?

4. Är ni redo att rapportera incidenter?

• Har ni definierat vad som räknas som en rapporteringspliktig incident?

• Finns det en ansvarig och en tydlig process för rapportering till rätt myndighet?

• Har ni tekniska och organisatoriska förutsättningar att rapportera inom 24 timmar?

Vi hjälper er att möta kraven

På Cyloq arbetar vi dagligen med verksamheter som vill gå från grundläggande skydd till mätbar riskminskning. Genom offensiva tester, strategiskt stöd och löpande säkerhetsgranskning hjälper vi er att inte bara uppfylla NIS2, utan att bygga upp ett långsiktigt motståndskraftigt skydd.

Behöver ni hjälp att förstå vad NIS2 innebär för er organisation, och hur ni bäst möter kraven i praktiken?

‍