NIS2-direktivet: Vad svenska företag måste göra 2026
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
NIS2-direktivet: Vad svenska företag måste göra 2026
NIS2 är EU:s skärpta cybersäkerhetsdirektiv som ersätter det ursprungliga NIS-direktivet och berör betydligt fler svenska organisationer. Direktivet ställer explicita krav på ledningsansvar, riskhantering, incidentrapportering inom 24 timmar och leveranskedjesäkerhet. Svenska företag som omfattas — från energibolag till digitala tjänsteleverantörer — behöver agera nu, oavsett att den svenska lagstiftningsprocessen har dragit ut på tiden. Här är den praktiska vägledningen.
Viktiga slutsatser
- NIS2 ersätter det ursprungliga NIS-direktivet och omfattar betydligt fler sektorer och företag i Sverige — medelstora och stora organisationer i 18 sektorer berörs
- Ledningen bär personligt ansvar för cybersäkerhet — det går inte längre att delegera bort frågan till IT-avdelningen
- Incidentrapportering skärps: tidigt varning inom 24 timmar, fullständig rapport inom 72 timmar
- MSB är tillsynsmyndighet i Sverige — företag bör redan nu ha dialog med sin sektorsmyndighet
- Sanktionsavgifter kan bli kännbara: upp till 10 miljoner euro eller 2 % av global omsättning för väsentliga entiteter
Från NIS till NIS2: Varför det spelar roll
Det ursprungliga NIS-direktivet från 2016 var EU:s första övergripande cybersäkerhetslagstiftning. Det fungerade som en startpunkt, men hade uppenbara begränsningar. Varje medlemsstat fick stort utrymme att tolka kraven, vilket ledde till en fragmenterad tillämpning. Många organisationer som borde ha omfattats hamnade utanför. Tillsynen saknade tänder.
NIS2, som trädde i kraft på EU-nivå i januari 2023 med en implementeringsdeadline i oktober 2024, adresserar dessa brister systematiskt. Direktivet inför storleksbaserade trösklar istället för nationella utnämningsprocesser, utökar antalet sektorer från sju till arton, skärper rapporteringstiderna och inför kännbara sanktioner.
Vad vi ser i praktiken från Opsios SOC: Många svenska organisationer har fortfarande inte kartlagt om de omfattas av NIS2. Det är en riskabel hållning. Att direktivet ännu inte är helt implementerat i svensk lag innebär inte att kraven försvinner — det innebär att tidsfönstret för förberedelse krymper.
Vill ni ha expertstöd med nis2-direktivet: vad svenska företag måste göra 2026?
Våra molnarkitekter hjälper er med nis2-direktivet: vad svenska företag måste göra 2026 — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
Vilka svenska organisationer omfattas?
NIS2 delar in organisationer i två kategorier: väsentliga entiteter och viktiga entiteter. Skillnaden avgör tillsynsintensiteten och sanktionsnivåerna, men säkerhetskraven är i grunden desamma.
Väsentliga entiteter (bilaga I)
| Sektor | Exempel på svenska aktörer |
|---|---|
| Energi | Elproducenter, nätägare, fjärrvärmeoperatörer |
| Transport | Trafikverket-anknutna aktörer, flygplatser, hamnar, järnvägsoperatörer |
| Bankverksamhet | Storbanker, kreditinstitut |
| Finansmarknadsinfrastruktur | Handelsplatser, centrala motparter |
| Hälso- och sjukvård | Regioner, privata vårdgivare, läkemedelstillverkare |
| Dricksvatten | Kommunala VA-bolag |
| Avloppsvatten | Kommunala reningsverk |
| Digital infrastruktur | Datacenter, DNS-tjänster, molnleverantörer, TLD-register |
| ICT-tjänstehantering (B2B) | Managerade tjänsteleverantörer, managerade säkerhetstjänster |
| Offentlig förvaltning | Centrala myndigheter |
| Rymden | Operatörer av markbaserad infrastruktur |
Viktiga entiteter (bilaga II)
Hit räknas bland annat post- och budtjänster, avfallshantering, kemikalietillverkning, livsmedelsproduktion och -distribution, tillverkning av medicintekniska produkter, datorer och elektronik, motorfordon samt digitala tjänster som marknadsplatser, sökmotorer och sociala plattformar.
Storlekströskeln: Organisationer med 50 eller fler anställda, eller med en årsomsättning/balansomslutning över 10 miljoner euro, som verkar i dessa sektorer omfattas. Vissa kritiska aktörer omfattas oavsett storlek — exempelvis kvalificerade tillhandahållare av betrodda tjänster och DNS-tjänster.
De konkreta kraven: Vad NIS2 kräver av din organisation
Ledningsansvar — inte en IT-fråga
Det kanske mest omvälvande med NIS2 är att direktivet uttryckligen lägger ansvaret på ledningsnivå. Artikel 20 kräver att ledningsorgan (styrelse och ledningsgrupp) godkänner cybersäkerhetsåtgärder, genomgår utbildning och kan hållas personligt ansvariga vid brister.
Det här är en fundamental förändring. Cybersäkerhet kan inte längre delegeras till en CISO som rapporterar tre nivåer ner i organisationen. Styrelseprotokoll ska kunna visa att cybersäkerhetsrisker behandlas som affärsrisker.
Riskhanteringsåtgärder (Artikel 21)
NIS2 specificerar en minimiuppsättning av åtgärder som alla organisationer som omfattas måste implementera:
| Kravområde | Vad det innebär i praktiken |
|---|---|
| Riskanalys och policyer | Dokumenterad riskbedömning, uppdaterad minst årligen |
| Incidenthantering | Definierade processer, roller och kommunikationsvägar |
| Driftskontinuitet | Backup-hantering, katastrofåterställning, krishantering |
| Leveranskedjesäkerhet | Riskbedömning av leverantörer och deras säkerhetsåtgärder |
| Säkerhet vid förvärv och utveckling | Säker utvecklingslivscykel (SDLC), sårbarhetshanterin |
| Kryptografi och kryptering | Policyer för användning av kryptering och, där relevant, kryptografi |
| Åtkomstkontroll och tillgångshantering | Identitets- och åtkomsthantering (IAM), HR-säkerhet |
| Multifaktorautentisering (MFA) | MFA eller kontinuerlig autentisering för kritiska system |
| Säker kommunikation | Säkrade kommunikationskanaler för nödsituationer |
| Utbildning | Cybersäkerhetsutbildning för all personal, med fokus på ledningen |
Incidentrapportering — tre steg, strikta tidsfrister
NIS2 inför en trestegsmodell för incidentrapportering som är betydligt striktare än det ursprungliga direktivet:
1. Tidigt varning (24 timmar): Inom 24 timmar efter att en signifikant incident upptäcks ska en initial varning skickas till CSIRT (i Sverige: CERT-SE vid MSB). Varningen ska ange om incidenten misstänks vara orsakad av en olaglig eller illvillig handling.
2. Incidentmeddelande (72 timmar): Inom 72 timmar ska en mer detaljerad rapport lämnas med en initial bedömning av incidentens allvarlighetsgrad och påverkan, samt indikatorer på intrång (IoC).
3. Slutrapport (en månad): Inom en månad ska en slutrapport levereras med en detaljerad beskrivning av incidenten, grundorsaken, vidtagna åtgärder och gränsöverskridande påverkan.
Opsio-perspektivet: 24-timmarsrapportering kräver att din organisation har förmåga att upptäcka incidenter snabbt. Utan kontinuerlig övervakning — det som en SOC levererar dygnet runt — finns risken att 24-timmarsfönstret redan har passerat innan ni ens vet att något har hänt. Vi ser regelbundet att organisationer utan dygnet-runt-övervakning upptäcker intrång först efter veckor. Managerad SOC/NOC
Svensk implementering: Var står vi?
Den svenska implementeringen av NIS2 har inte följt EU:s tidsplan. Utredningen SOU 2024:18 "Cybersäkerhet i Sverige – en ny satisfa" levererade sitt betänkande, och lagstiftningsarbetet fortgår. Den nya cybersäkerhetslagen förväntas ersätta den nuvarande lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.
Myndigheten för samhällsskydd och beredskap (MSB) är den övergripande tillsynsmyndigheten, men sektorsspecifika myndigheter (Energimyndigheten, Transportstyrelsen, Finansinspektionen med flera) kommer att ha tillsynsansvar inom sina respektive områden.
Att Sverige dröjer med implementeringen förändrar inte direktivets krav. Organisationer som väntar på lagtext förlorar förberedelsetid. De organisationer vi arbetar med som börjat tidigt har en betydande fördel — inte bara regulatoriskt, utan i faktisk säkerhetsmognad.
Praktisk handlingsplan: Fem steg att påbörja nu
1. Kartlägg om ni omfattas
Gå igenom bilaga I och II i NIS2-direktivet mot er verksamhet och storlek. Många organisationer som inte omfattades av det ursprungliga NIS-direktivet faller nu inom NIS2:s tillämpningsområde. Tänk särskilt på om ni levererar tjänster till organisationer som är väsentliga entiteter — leveranskedjesäkerhetskraven kan indirekt beröra er.
2. Förankra i ledningen
Presentera NIS2-kraven för styrelse och ledningsgrupp. Fokusera på det personliga ansvaret och sanktionsnivåerna. Säkerställ att cybersäkerhet blir en stående punkt på styrelsens dagordning. Dokumentera beslut och utbildningsinsatser.
3. Genomför en GAP-analys
Jämför er nuvarande säkerhetsnivå med NIS2:s krav i artikel 21. Använd etablerade ramverk som ISO/IEC 27001 eller NIST CSF som referenspunkt — de täcker stora delar av NIS2:s kravbild. Identifiera specifika brister och prioritera åtgärder. Molnsäkerhet och compliance
4. Bygg incidenthanteringsförmåga
Testa er förmåga att upptäcka, klassificera och rapportera en incident inom 24 timmar. Genomför tabletop-övningar. Om ni inte kan uppfylla detta internt, överväg en managerad detektions- och responstjänst (MDR) eller SOC-as-a-Service.
5. Adressera leveranskedjesäkerhet
Kartlägg kritiska leverantörer och deras säkerhetsnivå. Inför cybersäkerhetskrav i avtal och upphandlingar. NIS2 kräver uttryckligen att organisationer beaktar säkerheten hos sina direkta leverantörer och tjänsteleverantörer.
NIS2 och molnet: Särskilda överväganden
Molntjänsteleverantörer klassificeras som digital infrastruktur under NIS2 och omfattas som väsentliga entiteter. Men det ansvaret befriar inte er som kund. Den delade ansvarsmodellen (shared responsibility model) gäller fortfarande: molnleverantören ansvarar för säkerheten av molnet, ni ansvarar för säkerheten i molnet.
Konkret innebär det att:
- Konfigurationsansvar ligger på er. En öppen S3-bucket i eu-north-1 (Stockholm) är ert problem, inte AWS.
- Identitets- och åtkomsthantering i ert AWS-, Azure- eller GCP-konto är ert ansvar.
- Loggning och övervakning måste ni säkerställa — CloudTrail, Azure Monitor, GCP Cloud Audit Logs måste vara aktiverade och analyserade.
- Kryptering av data i vila och under transport är ert ansvar att konfigurera och hantera.
Att använda en managerad molntjänsteleverantör som Opsio innebär inte att ansvaret försvinner, men det innebär att ni får stöd i att implementera och kontinuerligt övervaka säkerhetskonfigurationer som uppfyller NIS2:s krav. Managerade molntjänster
NIS2 kontra relaterade regelverk
NIS2 existerar inte i ett vakuum. Svenska organisationer behöver hantera ett helt landskap av regelverk:
| Regelverk | Fokus | Relation till NIS2 |
|---|---|---|
| GDPR | Personuppgiftsskydd | Komplementärt — NIS2 fokuserar på system, GDPR på data. En incident kan trigga rapportering under båda. |
| DORA | Finanssektorns digitala motståndskraft | Lex specialis — DORA gäller istället för NIS2 för finansiella entiteter |
| CER-direktivet | Fysisk motståndskraft för kritiska entiteter | Komplementärt — CER hanterar fysiska hot, NIS2 digitala |
| ISO/IEC 27001 | Informationssäkerhetsledning | Stödjande — ett 27001-certifierat ISMS täcker stora delar av NIS2:s krav, men är inte tillräckligt i sig |
| SOC 2 | Tjänsteleverantörers kontroller | Stödjande — visar att kontroller finns, men är ingen NIS2-certifiering |
Vanliga frågor
Vilka svenska företag omfattas av NIS2?
NIS2 delar in organisationer i "väsentliga" och "viktiga" entiteter. Väsentliga entiteter inkluderar energi, transport, hälso- och sjukvård, dricksvatten, digital infrastruktur och offentlig förvaltning. Viktiga entiteter täcker bland annat post- och budtjänster, avfallshantering, livsmedel, tillverkning av kritiska produkter och digitala tjänster. Medelstora och stora företag (50+ anställda eller 10+ MEUR omsättning) i dessa sektorer omfattas.
Vad händer om vi inte uppfyller NIS2-kraven?
Väsentliga entiteter riskerar administrativa sanktionsavgifter upp till 10 miljoner euro eller 2 % av global årsomsättning — det högsta beloppet gäller. Viktiga entiteter riskerar upp till 7 miljoner euro eller 1,4 % av omsättningen. Tillsynsmyndigheten kan även utfärda förelägganden och i extremfall tillfälligt förbjuda ledningspersoner från att utöva sina funktioner.
Hur skiljer sig NIS2 från det ursprungliga NIS-direktivet?
NIS2 är avsevärt bredare: fler sektorer omfattas, storlekströsklar avgör tillämplighet istället för nationell utnämning, ledningsansvaret är explicit, rapporteringstiderna striktare och sanktionsavgifterna betydligt högre. Direktivet harmoniserar också kraven mer mellan EU-länderna, vilket minskar det tolkningsutrymme som ledde till fragmentering under NIS1.
När ska NIS2 vara implementerat i svensk lag?
EU:s deadline för nationell implementering var oktober 2024. Sverige har dröjt med sin lagstiftningsprocess, men det pågående lagstiftningsarbetet baserat på SOU 2024:18 förväntas resultera i svensk lag under 2025–2026. Företag bör inte vänta på att lagen träder i kraft utan påbörja anpassningen nu — kraven är kända och tillsynen kommer att starta snabbt efter ikraftträdandet.
Behöver vi en SOC för att uppfylla NIS2?
NIS2 kräver inte uttryckligen en SOC, men direktivets krav på kontinuerlig övervakning, incidentdetektering och 24-timmarsrapportering gör det i praktiken mycket svårt att uppfylla utan dygnet-runt-bevakning. En managerad SOC-tjänst — som Opsios 24/7 SOC/NOC i Karlstad och Bangalore — är ofta den mest kostnadseffektiva lösningen för organisationer som saknar resurser att bemanna internt. Cloud FinOps och kostnadsoptimering
Relaterade artiklar
Om författaren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
