Från NIS1 till NIS2: Vad förändrades?

Det ursprungliga NIS-direktivet fokuserade på två kategorier: "operatörer av samhällsviktiga tjänster" (OES) inom energi, transport, bank och hälsa, samt "digitala tjänsteleverantörer" (DSP) som molntjänster och sökmotorer. Problemet? Varje medlemsstat tolkade direktivet olika, och stora delar av kritisk verksamhet föll utanför.

NIS2 åtgärdar detta med en fundamentalt annorlunda arkitektur:

Det här är inte en uppdatering — det är en omskrivning. Organisationer som "klarade sig" under NIS1 kan nu vara direkt träffade.

Vem omfattas av NIS2?

Väsentliga entiteter (Essential entities)

Väsentliga entiteter är organisationer inom sektorer som EU bedömer som avgörande för samhällets funktion:

• Energi (el, olja, gas, fjärrvärme, vätgas)
• Transport (flyg, järnväg, sjöfart, vägtransport)
• Bankverksamhet och finansmarknadsinfrastruktur
• Hälso- och sjukvård (inklusive tillverkare av medicintekniska produkter)
• Dricksvatten och avloppsvatten
• Digital infrastruktur (IXP, DNS, TLD, molntjänster, datacenter, CDN, tillitsförsäkringstjänster)
• ICT-tjänstförvaltning (B2B) — managerade tjänsteleverantörer och managerade säkerhetstjänster
• Offentlig förvaltning (centrala myndigheter)
• Rymd

Viktiga entiteter (Important entities)

Viktiga entiteter omfattar en bredare krets av sektorer:

• Post- och budtjänster
• Avfallshantering
• Tillverkning av kemikalier
• Livsmedelsproduktion och -distribution
• Tillverkningsindustri (medicintekniska produkter, datorer, elektronik, motorfordon)
• Digitala leverantörer (marknadsplatser, sökmotorer, sociala nätverksplattformar)
• Forskning

Storlekströskeln är generellt medelstora företag och uppåt: 50+ anställda eller 10+ miljoner euro i omsättning. Vissa entiteter, som DNS-tjänsteleverantörer och kvalificerade tillitsförsäkringstjänster, omfattas oavsett storlek.

> Opsio-perspektiv: Vi ser att många svenska IT-tjänstföretag inte inser att de som managerade tjänsteleverantörer nu faller under NIS2. Om ni hanterar IT-drift åt organisationer i de reglerade sektorerna — grattis, ni är med.

De centrala kraven i NIS2

Riskhanteringsåtgärder (Artikel 21)

NIS2 specificerar minimikrav för cybersäkerhetsåtgärder. Dessa är inte vaga rekommendationer utan obligatoriska åtgärder:

1. Riskanalys och informationssäkerhetspolicyer

2. Incidenthantering (förebyggande, detektering och respons)

3. Affärskontinuitet och krishantering (backup-hantering, katastrofåterställning)

4. Säkerhet i leverantörskedjan — inklusive direkta leverantörers och tjänsteleverantörers säkerhet

5. Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem (inklusive sårbarhetshanterings)

6. Policyer och rutiner för att bedöma effektiviteten av riskhanteringsåtgärder

7. Grundläggande cyberhygien och utbildning

8. Policyer för kryptografi och kryptering

9. Personalsäkerhet, åtkomstkontroll och tillgångshantering

10. Multifaktorautentisering (MFA) och säkrad kommunikation

Organisationer som redan följer ISO/IEC 27001 eller NIST CSF har ett försprång, men NIS2 ställer ytterligare krav — särskilt kring leverantörskedja och incidentrapportering — som inte täcks av en ISO-certifiering ensam.

Incidentrapportering

NIS2:s rapporteringskrav är tidskritiska och flerstegsbaserade:

• Inom 24 timmar: Tidig varning till behörig myndighet (i Sverige: MSB eller sektorsspecifik tillsynsmyndighet)
• Inom 72 timmar: Fullständig incidentanmälan med bedömning av allvar, påverkan och indikatorer på kompromittering
• Inom en månad: Slutrapport med rotorsaksanalys och vidtagna åtgärder

24-timmarsfristen för tidig varning är den stora förändringen. Den kräver att organisationer har fungerande detektions- och eskaleringprocesser innan en incident inträffar. Ni kan inte bygga dessa processer under pågående kris.

Managerad SOC-tjänst med 24/7 övervakning

Ledningens ansvar

Artikel 20 i NIS2 är tydlig: ledningsorgan ska godkänna och övervaka implementeringen av riskhanteringsåtgärder. Ledningen ska genomgå utbildning i cybersäkerhet och kan hållas personligt ansvarig vid bristande efterlevnad.

Det här är en fundamental förskjutning. Cybersäkerhet är inte längre något som delegeras till IT-avdelningen och glöms bort. Styrelser och ledningsgrupper behöver demonstrerbar kompetens och aktivt engagemang.

Sanktioner vid bristande efterlevnad

NIS2 inför harmoniserade sanktionsnivåer som ger direktivet verklig tyngd:

Utöver ekonomiska sanktioner kan tillsynsmyndigheter:

• Utfärda bindande förelägganden
• Kräva säkerhetsrevisioner
• Tillfälligt förbjuda ledningspersoner från att utöva ledningsfunktioner
• Offentliggöra överträdelser

Jämför med GDPR:s sanktionsstruktur — NIS2 opererar på samma nivå. Skillnaden är att Integritetsskyddsmyndigheten (IMY) hanterar GDPR medan NIS2-tillsynen i Sverige sprids över flera sektorsspecifika myndigheter med MSB i en samordnande roll.

NIS2 och den svenska implementeringen

Sverige var, likt flera andra EU-länder, försenat med den nationella implementeringen av NIS2. Utredningen om cybersäkerhet (SOU 2024:18) lade grunden, men den fullständiga nationella lagstiftningen har tagit tid. Oavsett exakt tidslinje gäller att direktivets intentioner och krav redan utgör den standard som tillsynsmyndigheter och marknaden förväntar sig.

Svenska organisationer bör notera:

• MSB (Myndigheten för samhällsskydd och beredskap) har en central roll i tillsyn och vägledning
• Sektorsspecifika myndigheter (Energimyndigheten, Transportstyrelsen etc.) hanterar tillsyn inom sina områden
• IMY fortsätter att hantera GDPR-relaterade aspekter, men samverkar med NIS2-tillsynen vid dataintrång

> Opsio-perspektiv: Vi rekommenderar att inte vänta på den slutgiltiga nationella lagen. Börja med en GAP-analys mot NIS2:s artikel 21-krav redan nu. De organisationer vi arbetar med som startade tidigt har en dramatisk fördel — inte minst för att de har hunnit bygga incidentprocesser som fungerar under stress.

Leverantörskedjans säkerhet — den underskattade utmaningen

Artikel 21(2)(d) kräver att organisationer hanterar cybersäkerhetsrisker i sin leverantörskedja. I praktiken innebär det:

• Riskbedömning av direkta leverantörer och deras säkerhetsnivå
• Avtalskrav på cybersäkerhet i leverantörskontrakt
• Kontinuerlig uppföljning av leverantörers säkerhetsarbete

För organisationer som använder molntjänster — och det gör de allra flesta — innebär detta att ni behöver veta hur er molnleverantör eller er MSP hanterar säkerhet. AWS, Azure och Google Cloud har alla dokumenterade säkerhetsramverk (AWS Well-Architected Framework, Azure Architecture Center, Google Cloud Architecture Framework), men det är ert ansvar att konfigurera och använda dessa tjänster säkert.

Delat ansvar (shared responsibility model) är ett välkänt begrepp, men under NIS2 blir det regulatoriskt bindande. Ni kan inte peka på er molnleverantör om ert konto är felkonfigurerat.

Managerade molntjänster med säkerhetsbaselining

Praktisk vägledning: Hur kommer ni igång?

Steg 1: Identifiera om ni omfattas

Kartlägg er verksamhet mot NIS2:s sektorslistor och storlekströsklar. Glöm inte att kontrollera om ni levererar tjänster till entiteter som omfattas — det kan dra in er indirekt.

Steg 2: GAP-analys mot artikel 21

Jämför era befintliga säkerhetsåtgärder med NIS2:s tio kravområden. Identifiera bristerna. Om ni har ISO 27001 har ni en god bas, men gapanalysen kommer att avslöja luckor kring leverantörskedja, incidentrapportering och ledningsansvar.

Steg 3: Bygg incidentprocesser

24-timmarsfristen för tidig varning kräver:

• Definierade eskaleringvägar
• Fungerande detektionsförmåga (SIEM, logganalys, nätverksövervakning)
• Förifyllda rapportmallar
• Övning — minst kvartalsvis

Steg 4: Engagera ledningen

Se till att styrelse och ledningsgrupp förstår sina skyldigheter. Dokumentera utbildning och beslut. NIS2 kräver att ledningen aktivt godkänner säkerhetsåtgärderna.

Steg 5: Hantera leverantörskedjan

Inventera era kritiska leverantörer. Inför säkerhetskrav i avtal. Begär dokumentation om leverantörernas säkerhetsarbete.

Molnmigrering med inbyggd säkerhetsstyrning

NIS2 och andra regelverk — så hänger det ihop

NIS2 existerar inte i ett vakuum. Organisationer behöver hantera ett växande regulatoriskt landskap:

Enligt Gartners Hype Cycle for Cybersecurity har regulatorisk efterlevnad blivit en av de primära drivkrafterna för investeringar i cybersäkerhet — NIS2 är den största enskilda katalysatorn i Europa.

Vanliga frågor

Vilka organisationer omfattas av NIS2-direktivet?

NIS2 delar in organisationer i "väsentliga" och "viktiga" entiteter över 18 sektorer. Väsentliga entiteter inkluderar energi, transport, hälso- och sjukvård, dricksvatten, digital infrastruktur och bankverksamhet. Viktiga entiteter omfattar bland annat post, avfallshantering, livsmedel, kemikalier och tillverkningsindustri. Storlekströskeln är generellt medelstora företag (50+ anställda eller 10+ MEUR i omsättning) och uppåt.

Vad händer om min organisation inte uppfyller NIS2-kraven?

Väsentliga entiteter riskerar administrativa sanktionsavgifter på upp till 10 miljoner euro eller 2 % av global årsomsättning. Viktiga entiteter riskerar upp till 7 miljoner euro eller 1,4 %. Tillsynsmyndigheter kan därutöver besluta om förelägganden, kräva säkerhetsrevisioner och tillfälligt förbjuda ledningspersoner från att utöva ledningsfunktioner.

Hur skiljer sig NIS2 från det ursprungliga NIS-direktivet?

NIS2 breddar omfattningen från 7 till 18 sektorer, skärper säkerhetskraven, harmoniserar implementeringen mellan EU-länder, inför strängare sanktioner, kräver snabbare incidentrapportering (24 timmar istället för 72 för tidig varning) och lägger uttryckligt ansvar på ledningsnivå. Det är inte en uppdatering — det är en omskrivning.

Hur hänger NIS2 ihop med GDPR?

NIS2 och GDPR kompletterar varandra. GDPR skyddar personuppgifter, NIS2 skyddar nätverks- och informationssystem. En dataintrångsincident kan utlösa rapporteringskrav under båda regelverken. Organisationer med robust GDPR-efterlevnad har en god grund, men NIS2 ställer ytterligare tekniska och organisatoriska krav — särskilt kring leverantörskedja och aktiv ledningsstyrning.

Hur kan en managerad tjänsteleverantör hjälpa med NIS2-efterlevnad?

En MSP med SOC/NOC-kapacitet kan leverera kontinuerlig övervakning, incidentdetektering och -respons, sårbarhetsskanning och dokumenterad säkerhetsstyrning — alla centrala krav i NIS2. Outsourcad drift betyder dock inte outsourcat ansvar. Ni äger fortfarande er efterlevnad, men en kompetent partner gör det genomförbart att möta kraven utan att bygga allt internt.

Cloud FinOps — optimera kostnader parallellt med säkerhetsinvesteringar

NIS2 är inte ett projekt med ett slutdatum — det är ett kontinuerligt åtagande att driva cybersäkerhet som en affärsfunktion. De organisationer som lyckas är de som slutar behandla direktivet som en regulatorisk börda och börjar se det som det det faktiskt är: en strukturerad ram för att bli motståndskraftiga mot hot som bara blir mer sofistikerade. Börja med er GAP-analys, engagera er ledning och bygg processer som håller under press. Resten följer.