Vilka företag omfattas?

NIS2 delar in berörda organisationer i två kategorier: väsentliga verksamhetsutövare och viktiga verksamhetsutövare. Skillnaden påverkar tillsynens intensitet och sanktionernas storlek, men de grundläggande säkerhetskraven är desamma.

Väsentliga verksamhetsutövare (Essential entities)

Hit räknas organisationer inom sektorer som energi, transport, bankväsende, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning och rymdverksamhet. Stora företag (250+ anställda eller 50+ M€ omsättning) inom dessa sektorer klassas automatiskt som väsentliga.

Viktiga verksamhetsutövare (Important entities)

Denna kategori fångar medelstora företag i ovan nämnda sektorer samt organisationer inom post- och budtjänster, avfallshantering, kemikalier, livsmedel, tillverkning av medicintekniska produkter, datorer, elektronik, motorfordon och digitala leverantörer (marknadsplatser, sökmotorer, sociala plattformar).

Storlekstestet

Tumregeln: om ditt företag har minst 50 anställda eller en årsomsättning och balansomslutning på minst 10 miljoner euro och verkar inom någon av de 18 sektorerna, omfattas ni. Vissa organisationer — exempelvis kvalificerade tillhandahållare av betrodda tjänster, DNS-leverantörer och TLD-register — omfattas oavsett storlek.

> Opsios erfarenhet: Många företag vi möter förvånas över att de träffas av lagen, särskilt inom tillverkningsindustrin och livsmedelskedjan. Gör en formell bedömning — anta inte att ni faller utanför.

De konkreta kraven: Vad måste ert företag göra?

Cybersäkerhetslagen kräver ett riskbaserat förhållningssätt till informationssäkerhet. Det innebär inte en statisk checklista utan ett löpande arbete med identifiering, skydd, upptäckt, respons och återhämtning. Kraven kan grupperas i fyra huvudområden.

1. Riskhantering och säkerhetsåtgärder

Organisationer ska vidta tekniska, operativa och organisatoriska åtgärder som är proportionella mot risken. NIS2 specificerar ett antal minimiåtgärder:

• Riskanalys och policy för informationssäkerhet
• Incidenthantering (förebyggande, upptäckt, respons)
• Driftskontinuitet och krishantering
• Leveranskedjans säkerhet
• Säkerhet vid förvärv, utveckling och underhåll av system
• Policyer och rutiner för att utvärdera åtgärdernas effektivitet
• Grundläggande cyberhygien och utbildning
• Kryptografi och, där tillämpligt, kryptering
• Personalsäkerhet, åtkomsthantering och tillgångsförvaltning
• Flerfaktorsautentisering och säkrad kommunikation

2. Incidentrapportering

Rapporteringskraven är tydligt tidsbundna:

• Inom 24 timmar: Tidig varning till berörd tillsynsmyndighet (CSIRT eller sektorsansvarig myndighet)
• Inom 72 timmar: Incidentrapport med initial bedömning av allvarlighetsgrad, påverkan och kompromissindikatorer
• Inom 1 månad: Slutrapport med rotorsaksanalys, vidtagna åtgärder och gränsöverskridande påverkan

En incident anses allvarlig om den orsakat eller kan orsaka betydande driftsstörning, ekonomisk förlust eller påverkan på fysiska eller juridiska personer.

3. Ledningsansvar

Det kanske mest omvälvande kravet: ledningen ska godkänna säkerhetsåtgärderna, genomgå utbildning och kan hållas personligt ansvarig om organisationen inte uppfyller kraven. Det räcker inte att delegera cybersäkerhet till IT-avdelningen eller till en extern leverantör.

I praktiken innebär det att styrelseledamöter och VD behöver:

• Förstå organisationens riskprofil på en övergripande nivå
• Formellt godkänna riskhanteringspolicyn
• Säkerställa att tillräckliga resurser allokeras
• Delta i cybersäkerhetsutbildning

4. Tillsyn och sanktioner

Tillsynen sker sektorsvis genom befintliga myndigheter — exempelvis Energimyndigheten för energisektorn, Transportstyrelsen för transporter och MSB (Myndigheten för samhällsskydd och beredskap) som övergripande koordinerande myndighet. Tillsynsmyndigheterna har befogenhet att genomföra revisioner, begära information och utfärda förelägganden.

Sanktionsavgifterna är avskräckande:

• Väsentliga verksamhetsutövare: Upp till 10 miljoner euro eller 2 % av global årsomsättning (det högsta beloppet gäller)
• Viktiga verksamhetsutövare: Upp till 7 miljoner euro eller 1,4 % av global årsomsättning

Praktisk handlingsplan: Fem steg mot efterlevnad

Baserat på vad vi ser hos managerade molnkunder som redan genomgått processen, rekommenderar vi följande struktur:

Steg 1: Kartlägg er omfattning

Fastställ om och i vilken kategori er organisation faller. Mappa era tjänster mot de 18 sektorerna. Dokumentera beslutet — tillsynsmyndigheten kommer att fråga.

Steg 2: Genomför en gap-analys

Jämför ert nuvarande säkerhetsarbete mot NIS2:s minimikrav. Organisationer med ett befintligt ledningssystem enligt ISO/IEC 27001 har ett försprång, men kontrollera specifikt leveranskedjan, incidentrapportering och ledningsutbildning — det är där de flesta luckor finns.

Steg 3: Upprätta ett riskbaserat säkerhetsprogram

Prioritera insatserna utifrån var riskerna är störst, inte var det är enklast att bocka av krav. Implementera tekniska kontroller som flerfaktorsautentisering, nätverkssegmentering, loggning och övervakning med SOC-tjänster dygnet runt.

Steg 4: Testa incidenthanteringen

En incidenthanteringsplan som aldrig övats är inte värd pappret den står på. Genomför tabletop-övningar med ledningsgruppen — det uppfyller samtidigt kravet på ledningsengagemang.

Steg 5: Dokumentera och förbättra löpande

Inför regelbundna granskningar (minst årligen) av ert säkerhetsprogram. Dokumentera beslut, risker och åtgärder. NIS2 premierar organisationer som kan visa systematiskt arbete snarare än perfekt skydd.

Leveranskedjans säkerhet — det underskattat svåra kravet

NIS2 ställer explicita krav på att organisationer hanterar risker i leveranskedjan. Det innebär att ni behöver bedöma era IT-leverantörers, molnleverantörers och underleverantörers säkerhet. I praktiken ser vi att detta krav skapar en kedjereaktion: om ni omfattas av lagen, kommer era krav att flöda nedåt till leverantörer som annars inte hade träffats.

Konkret bör ni:

• Inventera kritiska leverantörer och deras beroenden
• Ställa kontraktuella säkerhetskrav (SLA:er för incidenthantering, rätt till revision)
• Verifiera leverantörers säkerhetsarbete — certifieringar som ISO 27001 eller SOC 2 Type II ger en bra utgångspunkt
• Planera för leverantörsbyten om en kritisk leverantör inte uppfyller kraven

> Opsios perspektiv: Som managerad tjänsteleverantör med SOC/NOC dygnet runt hanterar vi redan dessa krav åt våra kunder. Men vi ser alltför ofta att organisationer har hundratals leverantörer utan att ha prioriterat vilka som faktiskt är kritiska ur NIS2-perspektiv.

Koppling till GDPR och andra regelverk

Cybersäkerhetslagen existerar inte i ett vakuum. Den överlappar med GDPR (särskilt artikel 32 om säkerhetsåtgärder och artikel 33 om incidentrapportering till IMY), molnsäkerhetskrav i finanssektorn (DORA-förordningen) och branschspecifika krav.

Organisationer som redan har ett moget GDPR-arbete har en god grund. Nyckeln är att integrera NIS2-kraven i befintliga ledningssystem istället för att bygga parallella strukturer. Ett gemensamt riskramverk — exempelvis baserat på NIST CSF eller ISO 27001 — som adresserar både dataskydd och cybersäkerhet sparar resurser och minskar risken för luckor.

Vanliga frågor

Vilka företag omfattas av cybersäkerhetslagen?

Lagen omfattar väsentliga och viktiga verksamhetsutövare inom 18 sektorer, däribland energi, transport, hälso- och sjukvård, dricksvatten, digital infrastruktur, offentlig förvaltning och tillverkningsindustri. Medelstora och stora företag (50+ anställda eller 10+ miljoner euro i omsättning) inom dessa sektorer träffas automatiskt.

Hur snabbt måste en cyberincident rapporteras?

Vid en allvarlig incident ska en tidig varning lämnas till berörd tillsynsmyndighet inom 24 timmar. En mer detaljerad incidentrapport ska följa inom 72 timmar, och en slutrapport senast en månad efter incidenten.

Vad händer om mitt företag inte uppfyller kraven?

Tillsynsmyndigheten kan utfärda förelägganden, genomföra revisioner och besluta om administrativa sanktionsavgifter. För väsentliga verksamhetsutövare kan avgiften uppgå till 10 miljoner euro eller 2 % av global årsomsättning. Ledningen kan även åläggas personligt ansvar.

Vad är skillnaden mellan NIS1 och NIS2 för svenska företag?

NIS2 breddar tillämpningsområdet från 7 till 18 sektorer, inför striktare sanktioner, ställer explicita krav på ledningsansvar och harmoniserar rapporteringstiderna inom hela EU. Den svenska implementeringen ersätter den tidigare NIS-lagen.

Behöver vi ISO 27001-certifiering för att uppfylla cybersäkerhetslagen?

Lagen kräver inte specifikt ISO 27001, men ett certifierat ledningssystem för informationssäkerhet underlättar efterlevnaden avsevärt. Kraven på riskhantering, incidenthantering och kontinuerlig förbättring överlappar i hög grad med ISO/IEC 27001:2022.