NIS2 EU-direktiv: Vi guidar er genom kraven och implementeringen

Vi ger en tydlig startpunkt för ert arbete med cybersäkerhet inför de nya kraven. Beslutet togs i december 2022 och införlivandet har följts upp nationellt, med viktiga milstolpar under oktober.

Direktivet höjer EU:s hög gemensam ambitionsnivå för skydd av nätverk och informationssystem. Det påverkar hur information hanteras i affärskritiska processer och ställer krav på både teknik och styrning.

Som verksamhetsutövare behöver vi förstå omfattningen, genomföra riskanalyser och etablera dokumenterad styrning. Ledningens deltagande, incidenthantering och leverantörsstyrning blir centrala delar i varje verksamhet.

I Sverige pågår införlivandet via SOU 2024:18 och en lagrådsremiss, samtidigt som MSB och sektorsmyndigheter erbjuder vägledning. Vi pekar på praktiska steg för att snabbt prioritera åtgärder och skapa verifierbar efterlevnad.

Nyckelinsikter

• Direktivet skärper krav på riskanalyser och ledningsinvolvering.
• Svenska processer pågår via SOU och en kommande cybersäkerhetslag.
• Fler sektorer och högre sanktioner kräver bättre ordning i informationssäkerhet.
• MSB och tillsynsmyndigheter ger vägledning före full nationell reglering.
• Oktober-konferenser och omvärldsbevakning ger praktiska insikter för prioritering.

Vad är NIS2 EU-direktiv och varför spelar det roll nu?

Det uppdaterade ramverket breddar tillämpningen och stärker tillsynen över digital infrastruktur. Vi förklarar kort hur regelverket går längre än tidigare och vad det innebär för er verksamhet.

Från NIS1 till NIS2: breddat tillämpningsområde och starkare tillsyn

Reglerna omfattar nu fler sektorer och tjänster, bland annat offentlig elektronisk kommunikation och flera digitala tjänster. Detta gör att fler leverantörer och offentlig förvaltning inkluderas i skyldigheterna.

Ny gemensam ambitionsnivå för nätverks- och informationssystem

Syftet är att höja nivå på cybersäkerhet genom systematiskt arbete, förbättrade kontroller och dokumenterade processer. Medlemsstaterna ska anta nationella strategier som tar upp leveranskedjan, sårbarhetshantering och utbildning.

• Tidpunkt: Regelverket trädde i kraft i januari 2023 och kraven skulle införlivas i nationell lagstiftning senast i oktober 2024.
• Praktiskt: Kraven riktar sig mot verksamhetsutövare och kräver tydligare styrning i ledningsrum.

Vill ni veta mer om vad detta betyder i praktiken och hur ni bör agera, läs gärna vår fördjupning på vad nis2-direktivet innebar.

Vilka sektorer och tjänster omfattas av direktivet?

Vi listar här vilka sektorer och tjänster som nu omfattas och vad det betyder för er verksamhet.

Sektorer som berörs inkluderar energi, transport och sjukvård samt vattenförvaltning och finans. Dessa samhällsviktiga digitala system har höga krav på kontinuitet och riskhantering.

Samhällsviktiga och digitala tjänster

Digitala tjänster som påverkas är exempelvis plattformar för information, onlinetjänster och system som stödjer kritisk drift. Medelstora och stora aktörer i dessa sektorer ska omfattas och införa lämpliga åtgärder.

Digital infrastruktur och fler digitala tjänster

Med digital infrastruktur menar vi bland annat DNS, IXPs och datacenter. Fler digitala tjänster, bland annat sociala plattformar, har lagts till för att stärka cybersäkerhet i hela infrastrukturen.

Offentlig förvaltning, post- och budtjänster samt avfall

Offentlig förvaltning på central och regional nivå, post- och budtjänster samt avfall och avloppsvatten omfattas. Det påverkar hur information och processer i förvaltning måste skyddas.

Tillverkning och rymdsektorn

Tillverkning av kritiska produkter och rymdsektorn ingår också, med tanke på kraftförsörjning och gränsöverskridande beroenden.

• Vi förklarar vilka aktörer som vanligtvis berörs: främst medelstora och stora verksamheter.
• Rapportering och kontroller behöver uppdateras i många branscher, bland annat offentlig sektor och utilities.

Krav på verksamhetsutövare: riskhantering, åtgärder och ledningsansvar

Verksamhetsutövare måste nu etablera tydliga processer för riskhantering och operativa åtgärder. Vi rekommenderar ett systematiskt arbete med styrdokument, roller och mätetal som visar faktisk effekt.

Systematiskt informationssäkerhetsarbete och lämpliga säkerhetsåtgärder

Vi föreslår att informationssäkerhet byggs i riskprocessen med riskregister och kontrollbibliotek. Prioritera identitetshantering, patch- och sårbarhetshantering, backup och nätsegmentering.

Ledningens ansvar och ansvarsskyldighet vid bristande efterlevnad

Ledningen ska vara delaktig och få regelbunden rapportering. Brister kan medföra ansvarsskyldighet och kräver tydliga rapportvägar till styrelse och beslutsfattare.

Säkerhet i leveranskedjan och sårbarhetshantering

Vi betonar due diligence på leverantörer, avtal med säkerhetskrav och kontinuerlig övervakning. Tredjepartsrisker ska mappas mot kritiska tjänster och sektorer.

Utbildning och medvetenhet för personal och styrelse

Utbildning av nyckelpersoner och styrelse skapar bättre beslutsunderlag. Medvetenhetsprogram bör skräddarsys för olika roller och kopplas till incidentberedskap.

• Operationalisera kraven med tydlig spårbarhet mellan risk, kontroll och efterlevnad.
• Koppla playbooks och scenarier till era prioriterade åtgärder för att minska påverkan på kritiska tjänster.

Incidenter och rapportering: från upptäckt till koordinerat svar

När allvarliga incidenter sker måste vi agera strukturerat för att skydda kritiska tjänster och infrastruktur. Snabb identifiering och tydliga rapporteringsfilter avgör om en händelse når rapporteringsnivå enligt direktivet.

Definition av betydande incidenter och rapporteringskrav

Vi definierar betydande incidenter utifrån påverkan på tillgänglighet, sekretess och funktionalitet. Verksamhetsutövare ska sätta tröskelvärden och dokumentera när en händelse kräver anmälan.

Rapporter bör följa en kedja: tidig varning, initial rapport, uppföljande information och slutrapport. Ange tydlig information om påverkan, tidslinjer, rotorsak och åtgärder.

CSIRT-nätverk och EU-CyCLONe vid storskaliga händelser

CSIRT-enheter erbjuder operativ hjälp vid analys, koordinering och återställning. Vi rekommenderar att CSIRT-kontakter integreras i era playbooks för ransomware, DDoS och dataintrång.

Vid gränsöverskridande kriser samordnar EU-CyCLONe informationsutbyte och resurser för att minska skador på nätverks- informationssystem och infrastruktur.

• Förbered: playbooks med beslutspunkter för olika scenarier.
• Dokumentera: loggar, tidslinjer, påverkan och korrigerande åtgärder för tillsynens efterkontroll.
• Öva: teknisk telemetri och forensisk beredskap för snabbare upptäckt och återhämtning av informationssystem.

Implementering i svensk lagstiftning och tillsyn

Införandet i svensk rätt bygger på förslag från SOU 2024:18 och en nyligen inlämnad lagrådsremiss. Dessa steg banar väg för en ny cybersäkerhetslagen som ska införlivas i svensk lagstiftning. Lagrådet yttrar sig innan propositionen väntas hösten 2025.

Nuvarande läge och vägen framåt

SOU 2024:18 föreslår hur reglerna ska bli tillämpbara för verksamheter i olika sektorer. Regeringens lagrådsremiss från juni 2025 preciserar förslag till cybersäkerhetslagen.

MSB och sektorsvisa tillsynsmyndigheter

MSB har en samordnande roll mot tillsynsmyndigheter och verksamhetsutövare. Myndigheten fungerar även som kontaktpunkt mot EU och kan utfärda föreskrifter som rör gemensamma krav.

Varje sektor får en eller flera tillsynsmyndigheter med rätt att meddela sektorsspecifika regler och utföra tillsyn över tjänster och infrastruktur.

• Praktisk tillsyn kräver dokumentation, bevis för kontroller och åtgärder samt möjligheten att visa spårbarhet till styrdokument.
• Brister kan leda till sanktionsavgifter eller andra påföljder; därför behöver offentlig förvaltning stärka styrning och riskkontroller.
• Digital infrastruktur och samhällsviktiga digitala tjänster kan komma att få förtydligade krav via MSB:s föreskrifter.

För att följa utvecklingen och få myndighetsmaterial rekommenderar vi att ni läser det här materialet från MSB och anpassar interna policys så att de speglar kommande regler och sektorskrav.

NIS2 och CER: helhetsbilden av cybersäkerhet och fysisk motståndskraft

Vi beskriver hur två parallella regelverk tillsammans höjer kraven på både digital säkerhet och fysisk motståndskraft. Målet är att ge en tydlig bild av hur verksamhetsutövare kan harmonisera arbete för att möta nya förväntningar från tillsyn och lagstiftning.

Skillnader och kopplingar mellan direktiven

Det ena regelverket fokuserar på digitala kontroller, incidentrapportering och skydd av nätverk och informationssystem. Det andra bygger upp fysisk motståndskraft, beredskapsplaner och personalrelaterade åtgärder.

De kompletterar varandra: digitala säkerhetskontroller kan återanvändas i motståndskraftplaner. På så vis minskar vi dubbelarbete och skapar en mer robust styrning.

Krav på riskbedömning, bakgrundskontroller och incidentrapportering enligt CER

CER-direktivet kräver att kritiska verksamhetsutövare gör riskbedömningar och inför tekniska, organisatoriska och säkerhetsmässiga åtgärder.

• Bakgrundskontroller för personer i känsliga roller blir ett krav.
• Incidenter ska rapporteras utan dröjsmål, med en första rapport inom 24 timmar.
• Tillsynsmyndigheter kan utfärda föreskrifter om riskbedömning och motståndsplaner.

Vi rekommenderar en gemensam riskmetod, delade kontroller och synkroniserade beredskapsplaner mellan sektorer. Detta underlättar revision och minskar administrativ börda för aktörer inom energi, transport, sjukvård, post- och budtjänster samt offentlig förvaltning.

Så kommer ni igång: praktiska steg för efterlevnad i Sverige

Börja med en enkel kartläggning för att snabbt se om er verksamhet omfattas nis2 och vilka åtgärder som behövs. Vi rekommenderar ett tidigt beslut om ansvar och en plan för anmälan som verksamhetsutövare.

Identifiera om ni omfattas och anmälan som verksamhetsutövare

Vi guidar er genom kriterier för vilka som ska omfattas och hur anmälan går till i praktiken. Gör en lista över kritiska tjänster och leverantörer.

Etablera styrning, nivåanpassade åtgärder och dokumenterade processer

Sätt upp policyer, riskregister och ett kontrollbibliotek. Anpassa åtgärder efter risk och påverkan på tjänster.

Arbeta med leverantörer och distribution: krav i hela kedjan

Ställ krav i avtal, genomför due diligence och följ upp tredjepartsrisker för att säkra distribution och drift.

Öva, följa upp och förbered incidentrapportering till rätt tillsyn

Bygg playbooks, definiera roller och SLA:er samt öva scenarier regelbundet. Förbered teknisk telemetri för snabb rapportering.

Slutsats

Vi rekommenderar en tydlig färdplan där ledningen tar ansvar för prioritering, resurser och styrning. Ett samlat program för cybersäkerhet och motståndskraft minskar risk och gör efterlevnad mer hanterbar.

Direktivet ställer krav på dokumentation, incidentrapportering och leverantörsstyrning. Genom att fokusera på risk, kontroller och regelbunden övning skyddar ni era kritiska tjänster och minskar sanktionsrisk.

CER kompletterar detta med krav på fysisk motståndskraft och bakgrundskontroller. Vi ser stort värde i att integrera arbetet för snabbare återhämtning och effektivare tillsyn.

Ta nästa steg: etablera en färdplan, säkra ledningsstöd och avsätt resurser. Vill ni fördjupa er, läs mer i MSB:s material och läs mer i relevanta EU-vägledningar för praktiska råd om implementering.