Vi beskriver nis2-direktivet och varför direktivet höjer ribban för informationssäkerhet i svenska verksamheter. Beskrivningen visar hur beslutet från EU i december 2022 nu implementeras genom SOU 2024:18 och en lagrådsremiss inför den kommande cybersäkerhetslagen.
Vi förklarar vilka delar av er verksamhet och vilka verksamhetsutövare som påverkas. Fokus ligger på ledningens ansvar, riskanalyser och operativ samverkan med leverantörer.
Vårt angreppssätt visar hur vi omsätter lagstiftningen och nya krav i praktiskt arbete. MSB:s roll som nationell samordnare påverkar tillsyn, rapportering och hur föreskrifter konkretiseras.
Vi svarar på vanliga frågor och erbjuder en metodik som integrerar governance, risk och compliance. Målet är tydligare ansvar, bättre motståndskraft i samhällsviktiga tjänster och en enhetligare nivå för informationssäkerhet.
Nyckelinsikter
- Direktivet skärper styrning och ansvar i hela verksamheten.
- Vi omsätter lagstiftningen till praktiska arbetsflöden och policyer.
- MSB samordnar och utvecklar föreskrifter som påverkar tillsynen.
- Ledningens roll och riskhantering blir centrala för alla verksamhetsutövare.
- Vi ger stöd i tolkningsfrågor medan regelverket färdigställs.
Varför NIS2 är avgörande nu: vår ultimata guide för svenska verksamheter
Direktivet förändrar spelreglerna för säkerhetsarbete i svenska verksamheter. Det ställer tydligare förväntningar på ledningens deltagande och på hur riskanalyser genomförs.
Fler sektorer omfattas än tidigare, vilket innebär fler tillsynsmyndigheter och högre sanktionsavgifter vid brister. Exakta kriterier och undantag fastställs först när svensk lag och föreskrifter är på plats.
Vi rekommenderar att verksamheter redan nu kartlägger kritiska tjänster, beroenden och leverantörer. Att starta arbetet tidigt minskar risken för stora gap när tillsynen intensifieras.
På vår sida samlar vi uppdateringar från MSB och omvandlar dem till praktiska åtgärdslistor och mallar. Vi ger också svar på vanliga frågor om resurser, prioritering och hur detta arbete integreras i ledningssystem.
- Prioritera: kartlägg tjänster och beroenden först.
- Planera: börja med riskanalyser och leverantörsbedömningar.
- Förankra: inkludera ledningen i beslut och uppföljning.
Vad NIS2 innebär i Sverige idag
Sverige står i en övergångsfas där EU-beslutet från december 2022 nu får konkret nationell utformning.
EU-beslut, svensk lagprocess och kommande cybersäkerhetslagen
EU antog nis2-direktivet i december 2022. I Sverige föreslås regleringen via SOU 2024:18 och regeringen skickade en lagrådsremiss i juni 2025.
Propositionen för den kommande cybersäkerhetslagen väntas hösten 2025. Det ger verksamheter tid att förbereda sig, men frågor kvarstår kring detaljer i föreskrifter.
Väsentliga och viktiga verksamhetsutövare — vad skiljer dem?
Det blir två kategorier av aktörer: väsentliga och viktiga. Kraven är ofta likartade, men tillsyn och sanktioner kan skilja.
Väsentliga aktörer får i regel strängare tillsyn och högre sanktionsrisk. Viktiga aktörer omfattas också, men med en något annorlunda tillsynsprofil.
MSB:s samordningsroll och sektorskoppling
MSB agerar nationell samordnare och EU-kontaktpunkt. Myndigheten tar fram gemensamma föreskrifter och vägledning.
Sektorsvisa tillsynsmyndigheter utövar tillsyn i sina respektive sektorer och kan komplettera med egna sektorsföreskrifter.
- Aktuellt nuläge: beslut på EU-nivå, svensk lagberedning och en väntad proposition hösten 2025.
- Praktisk hantering: dokumentera tolkningar nu för att snabbt uppdatera styrdokument senare.
- Identifiering: sektorer och anmälningsrutiner formalisera självidentifiering och anmälningsplikt.
NIS2 organisatoriska krav
Att bygga riskanalyser som speglar verksamhetens verkliga hotbild är avgörande för hållbar informationssäkerhet. Vi hjälper er att koppla affärsmål till säkerhetsmål och omsätta tydligare krav till mätbara kontroller.
Riskanalyser och riskhanteringsåtgärder anpassade till verksamheten
Riskprocesser bör vara praktiska och upprepbara. Vi utformar analyser som prioriterar tjänster och identifierar leverantörer i värdekedjan.
Systematiskt arbete med informationssäkerhet och ledningens ansvar
Ledningen måste få mandat, resurser och regelbunden uppföljning. Vi stöttar styrelse och ledning så att arbete blir mätbart och spårbart.
Säkerhetsåtgärder: tekniska, organisatoriska och leverantörskedja
- Definiera åtgärder för teknik, process och människor.
- Täck leverantörer för att säkra hela kedjan för era tjänster.
Utbildning av ledning och personal samt kontinuerlig förbättring
Vi utformar utbildningar och incidenthanteringsrutiner för att lära av händelser och förebygga nya. Genom revisioner och KPI:er görs förbättringar löpande.
Vi förbereder er också på kommande föreskrifter från direktivet, så att verksamhetsutövaren kan visa efterlevnad vid tillsyn.
Vem ska omfattas: verksamhetsutövare, sektorer och kriterier
Vi hjälper er att avgöra om er verksamhet faller inom de 18 sektorer som reglerna berör. Det påverkar hur ni kartlägger samhällsviktiga tjänster och vilka rapporteringsvägar ni använder.
De 18 sektorerna: från energi till rymden
De listade sektorerna täcker bland annat energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten och digital infrastruktur.
Ytterligare områden är offentlig förvaltning, förvaltning av IKT‑tjänster, rymden, post- och budtjänster, avfallshantering, kemikaliedistribution, livsmedelsproduktion, tillverkning, digitala leverantörer och forskning.
Identifiera omfattning och anmälan
Vi går igenom hur ni validerar att ni ska omfattas och vilken tillsynsmyndighet ni ska anmäla er till.
Vi hjälper er att kartlägga tjänster, beroenden och distribution så att alla relevanta aktörer får korrekt ansvarsfördelning.
| Sektor | Exempel på tjänster | Anmälan till |
|---|---|---|
| Energi | Elproduktion, nätförvaltning | Tillsynsmyndighet för energi |
| Hälso- och sjukvård | Patientjournaler, vårdinformation | Hälso‑ och sjukvårdens tillsyn |
| Digital infrastruktur & rymden | Nät, satellittjänster | Relevant sektorsmyndighet |
Vi upprättar rutiner för gränsfall, koncernfrågor och omvärldsbevakning. Det gör att ni snabbt kan anpassa styrdokument när föreskrifterna preciseras.
Incidentrapportering: tidslinjer, betydande incidenter och stöd
Snabb och korrekt rapportering är avgörande för att begränsa påverkan av större driftstörningar. Vi beskriver hur rapporteringsfönstren fungerar och hur ni kan organisera er för att möta dem.
Notifiering och rapporteringsfönster
Verksamhetsutövare ska lämna en varning inom 24 timmar efter upptäckt.
En inledande anmälan ska skickas inom 72 timmar och en slutrapport inom en månad.
Om en incident pågår ska en lägesrapport lämnas varje månad tills avslut, därefter en slutrapport en månad efter att situationen är löst.
Vad som kvalificerar som betydande
Kriterier för betydande incident fastställs i kommande föreskrifter. Tills dess hjälper vi er att anpassa bedömningar till era tjänster och riskprofil.
Vi etablerar tydliga bedömningsnivåer så att verksamhetsutövare snabbt kan avgöra när en händelse måste eskaleras.
CERT-SE:s roll vid incidenter
CERT-SE ger teknisk rådgivning, hjälper till med avgränsning och stödjer återställning. Vi bygger in deras kontaktvägar i era playbooks.
- Vi operationaliserar incidentrapportering med tydliga RACI-roller.
- Vi sätter upp kommunikationslinjer till MSB och tillsynsmyndigheten.
- Vi integrerar CERT-SE i beslutsflödet och tränar verksamhetsutövare med realistiska övningar.
Tillsyn, föreskrifter och sanktionsnivåer
Tillsynens roll är att kombinera kontroll med stöd för att stärka motståndskraft i varje sektor. Vi beskriver hur sektorsvisa myndigheter agerar och vad verksamheter kan förvänta sig vid en granskning.
Så fungerar tillsynen i olika sektorer
Varje sektors ansvar ligger hos sin tillsynsmyndighet. De genomför granskningar och kan begära dokumentation, intervjuer eller tillträde till lokaler.
Syftet är både att bedöma efterlevnad och att ge vägledning för förbättringar.
Sanktionsavgifter för väsentliga och viktiga aktörer
Vid allvarliga brister kan myndigheten förelägga eller ta ut sanktionsavgift enligt lagen. Vi förklarar nivåerna i praktiska termer.
| Typ | Sanktionsnivå | Kommentar |
|---|---|---|
| Väsentliga verksamhetsutövare | Högst det största av 2% global omsättning eller 10 000 000 EUR | Strängare tillsyn och högre finansiell exponering |
| Viktiga verksamhetsutövare | Högst det största av 1,4% global omsättning eller 7 000 000 EUR | Lägre nivåer jämfört med väsentliga aktörer |
| Offentliga verksamheter | Upp till 10 000 000 SEK | Särskilda regler kan gälla för myndigheter och kommuner |
Proportionerlig tillsyn och stöd i säkerhetsarbetet
Regelverket och direktivet förespråkar proportionell tillsyn. Det betyder anpassad granskning efter verksamhetens storlek och riskbild.
- Dokumentera: vi hjälper er att visa efterlevnad genom tydliga rutiner och bevis.
- Förbered: självutvärderingar minskar risken för överraskningar vid granskning.
- Dialog: en öppen kontakt med tillsynsmyndigheterna ger vägledning och möjlighet till förbättring över tid.
Vi stödjer verksamheter i att tolka reglerna och att prioritera åtgärder så att tillsyn blir ett verktyg för utveckling, inte bara kontroll.
NIS2 i praktiken: så tar vi arbetet från ord till handling
Vi omsätter regler och riktlinjer till praktiska arbetssteg som ni kan börja genomföra redan idag.
Vår åtgärdsplan: från nulägesanalys till styrning, processer och kontroller
Vi startar med en nulägesanalys som jämför er verksamhet mot relevanta mål. Resultatet blir en konkret backlog med prioriterade åtgärder.
Åtgärder prioriteras efter risk och påverkan på era tjänster. Vi synkar planen med föreskrifter för att minimera omarbete.
Styrning formaliseras genom policyer, roller och kommittéer. Det säkrar ansvar i hela verksamheten och hos leverantörer.
Utbilda och engagera ledning och nyckelpersoner
Vi designar utbildningar för ledning, nyckelpersoner och teknikteam. Träning innehåller praktiska övningar och koppling till affärsplanen.
Kommunikationspaket och Q&A hjälper till att hantera frågor internt och mot sidan från myndigheter.
| Fas | Huvudaktiviteter | Leverabler |
|---|---|---|
| Nuläge | Analys, gap‑bedömning | Backlogg, prioriteringslista |
| Implementering | Policy, processer, åtgärder | Roller, rutiner, tekniska kontroller |
| Utvärdera | Mätetal, övningar, rapportering | KPI:er, revisionsplan, utbildningslogg |
NIS2, CER och helheten i samhällsviktig motståndskraft
Vi visar hur två regelverk tillsammans stärker både digital och fysisk motståndskraft i tjänster som är viktiga för samhället. Detta är centralt för sektorer som energi, transport, bank och hälso‑ och sjukvård.
Hur de kompletterar varandra för digital och fysisk motståndskraft
nis2-direktivet fokuserar på informationssäkerhet och digital infrastruktur. CER förstärker operativ och fysisk säkerhet genom krav på riskbedömning, tekniska och organisatoriska åtgärder samt bakgrundskontroller.
Tillsyn, incidentrapportering och bakgrundskontroller enligt CER
Vi pekar på praktiska samordningspunkter: gemensam incidentprocess, tydliga roller hos tillsynsmyndighet och snabba rapporter.
- En enhetlig incidentprocess stödjer både regelverken med rapportering inom 24 timmar.
- Bakgrundskontroller kopplas till åtkomst för kritiska system och anläggningar.
- MSB kan utfärda föreskrifter om betydande störningar för att samordna tillsyn.
| Aspekt | Digital (nis2-direktivet) | Operativ/fysisk (CER) |
|---|---|---|
| Fokus | Informationssäkerhet samhällsviktiga digitala system | Motståndskraft i anläggningar och personal |
| Rapportering | Incidenter, snabba notifieringar | Omedelbar rapportering inom 24 timmar |
| Tillsyn | Tillsynsmyndighet per sektor | Kriterier för kritiska verksamhetsutövare och bakgrundskontroller |
För att bli efterlevnadsklara rekommenderar vi att ni läser vägledning från MSB om nis2-direktivet och anpassar en gemensam styrmodell för både digital infrastruktur och förvaltning.
Slutsats
strong, I korthet: verksamhetsutövare måste koppla styrning, riskhantering och leverantörskedjan till praktiska åtgärder.
Vi rekommenderar att ni kartlägger om ni ska omfattas genom att jämföra er verksamhet mot sektorer och gällande föreskrifter. Det minskar osäkerhet när lagen konkretiseras.
Prioritera att rapportera incidenter inom angivna tidsramar och definiera incidenter så att mätning och uppföljning blir konsekvent. Det skyddar tjänster och minskar störningar i samhällsviktiga digitala system.
Vi stödjer verksamhetsutövaren i att skapa en roadmap, involvera leverantörer och förbereda dialog med tillsynsmyndigheten. På så sätt blir arbetet uthålligt inför kommande cybersäkerhetslagen.
FAQ
Vad innebär de nya organisatoriska reglerna för vår verksamhet?
De nya reglerna ställer tydligare krav på vårt systematiska arbete med informationssäkerhet. Vi måste göra riskanalyser, införa tekniska och organisatoriska åtgärder, hantera leverantörskedjan och dokumentera ledningens ansvar. Målet är att skydda samhällsviktiga tjänster och minska störningar i digital infrastruktur.
Hur vet vi om vår verksamhet omfattas av lagstiftningen?
Vi identifierar om vi ingår i någon av de 18 sektorerna, som energi, hälso- och sjukvård, transport och rymd. Därefter kontrollerar vi om vår verksamhet uppfyller kriterier för väsentlig eller viktig aktör enligt föreskrifterna och anmäler oss till rätt tillsynsmyndighet.
Vilka tidsfrister gäller för incidentrapportering?
Vi ska notifiera tillsynsmyndigheten inom 24 timmar efter att vi upptäckt en incident, lämna en inledande rapport inom 72 timmar och en slutrapport inom en månad. Dessa tidslinjer gäller för incidenter som bedöms ha betydande påverkan på tjänster eller säkerhet.
Vad räknas som en betydande incident?
En betydande incident påverkar drift, konfidentialitet, integritet eller tillgänglighet på ett sätt som hotar samhällsviktiga funktioner eller stora grupper användare. Definitionen preciseras i kommande föreskrifter och bedöms utifrån påverkan, omfattning och varaktighet.
Vilken roll har Myndigheten för samhällsskydd och beredskap (MSB) och CERT-SE?
MSB samordnar nationell tillämpning och föreskrifter samt stödjer tillsynsmyndigheter. CERT-SE erbjuder rådgivning, incidenthantering och teknisk samordning vid större cyberhändelser. Vi samarbetar med båda för att stärka vår förmåga att förebygga och hantera incidenter.
Hur skiljer sig väsentliga och viktiga verksamhetsutövare åt?
Väsentliga aktörer har ofta större påverkan på samhällsviktiga tjänster och möter strängare tillsyn och högre sanktionsnivåer. Viktiga aktörer har betydande funktioner men bedöms ha mindre samhällspåverkan. Skillnaden avgörs av kriterier i föreskrifterna.
Vad krävs av ledningen för att uppfylla reglerna?
Ledningen måste visa ansvar genom att godkänna säkerhetspolicyer, avsätta resurser, delta i riskbedömningar och säkerställa utbildning. Vi behöver dokumentera beslut och löpande följa upp förbättringar och kontroller.
Vilka tekniska och organisatoriska åtgärder ska vi prioritera?
Vi prioriterar åtgärder som patchhantering, segmentering av nätverk, åtkomstkontroller, loggning och incidentresponsteam. Organisationellt bör vi stärka leverantörskontroller, utbildning och styrande processer för kontinuerlig förbättring.
Hur påverkar reglerna vår leverantörskedja?
Vi måste bedöma risker i leverantörskedjan, ställa säkerhetskrav i avtal och följa upp efterlevnad. Leverantörer som påverkar våra samhällsviktiga funktioner kan krävas att rapportera incidenter och visa säkerhetsåtgärder.
Vilken tillsyn kan vi förvänta oss och vilka sanktioner finns?
Tillsynsmyndigheten kan kräva åtgärder, genomföra revisioner och besluta om sanktionsavgifter vid brister. Avgiftsnivåerna varierar mellan väsentliga och viktiga aktörer och ska vara proportionerliga utifrån påverkan och allvar.
Hur kommer vi igång praktiskt med arbetet?
Vi startar med en nulägesanalys, genomför riskanalyser, skapar en åtgärdsplan och etablerar styrning, processer och kontroller. Parallellt utbildar vi ledning och nyckelpersoner för att säkerställa genomförande och ansvarsförankring.
Hur påverkar detta vår långsiktiga motståndskraft?
Genom att implementera strukturerade säkerhetsåtgärder, förbättrad incidentrapportering och samspel med CER och andra regelverk stärker vi både digital och fysisk motståndskraft. Vi minskar risken för avbrott och ökar vår förmåga att återhämta oss snabbt.
Finns det stöd för att tolka föreskrifterna och göra rätt prioriteringar?
Ja. Vi kan använda vägledningar från MSB, rådgivning från CERT-SE och branschspecifika rekommendationer. Vi hjälper också till att översätta regler till praktiska åtgärder och checklistor anpassade till er verksamhet.