Vi ger en klar och kortfattad introduktion till nis2-direktivet och vad det betyder för svenska verksamheter. Beslutet togs av EU i december 2022 och påverkar hur företag och myndigheter arbetar med informationssäkerhet.
Direktivet skärper krav på riskanalyser, incidentrapportering och ledningens ansvar. MSB får en central samordningsroll och sektorsmyndigheter ger vägledning. Detta innebär att lagstiftning och föreskrifter nu konkretiseras i Sverige.
För företag och organisationer handlar det om att granska styrning, processer och leverantörssamverkan. Reglerna påverkar tjänster som är samhällsviktiga och kräver prioritering från ledningen.
Nyckelpunkter
- Beslut i EU 2022; svensk implementering pågår med SOU och lagförslag 2025.
- Direktivet höjer krav på cybersäkerhet, incidentrapportering och ledningsansvar.
- MSB samordnar; sektorsmyndigheter ger tillsyn och vägledning.
- Starta med styrning, processer och leverantörskedjan för att möta reglerna.
- Vi erbjuder stöd vid gap‑analys, planering och genomförande — läs mer för mer information och hjälp.
Översikt: Vad NIS2 innebär och nuläget i Sverige
EU:s uppdaterade ramverk kräver tydligare roller och starkare skydd för kritiska tjänster. Vi förklarar kort vilka förändringar som påverkar svenska organisationer och vad som händer i lagstiftningsprocessen.
Från NIS till NIS2: varför direktivet skärps
Bakgrunden är enkel: digitalisering och en mer komplex hotbild gör att incidenter får större följder för samhällsviktiga tjänster. Därför höjs ribban för ledningens ansvar, riskanalyser och tekniska åtgärder jämfört med nis-direktivet.
Nuvarande status: föreslagen cybersäkerhetslag och kommande föreskrifter
I Sverige har SOU 2024:18 remitterats och regeringen skickade i juni 2025 en lagrådsremiss om cybersäkerhetslagen. En proposition väntas hösten 2025 innan lagen antas.
- Föreskrifter kommer från MSB (gemensamma krav) och sektorsmyndigheter (specifika krav).
- MSB fungerar som nationell samordningspunkt och EU-kontaktpunkt.
- Vi rekommenderar att organisationer påbörjar gap‑analys, styrningsarbete och tidiga riskåtgärder nu.
Har ni frågor eller vill ha svar om vilka verksamheter som ska omfattas, så pekar vi gärna på var mer information och läs mer-material finns hos MSB och andra myndigheter.
Vilka omfattas av NIS2-direktivet?
Vi går igenom vilka aktörer och tröskelvärden som gör att en verksamhet omfattas av de nya reglerna.
Storlekskriterier och omsättning
Generellt gäller att organisationer med fler än 49 anställda eller en omsättning/balansomslutning över 10 miljoner euro per år ofta omfattas nis2.
Offentliga myndigheter såsom statliga förvaltningar, regioner och kommuner omfattas vanligtvis oberoende av storlek.
Väsentliga vs viktiga sektorer
Sektorer delas i två nivåer. Väsentliga får proaktiv tillsyn och strängare sanktioner. Viktiga får mer reaktiv tillsyn och lägre påföljder.
Några centrala sektorer och exempel
Energy: el, kraft, gas, olja, vätgas, fjärrvärme och även laddinfrastruktur kan omfattas. Transport inkluderar flyg, järnväg, väg och sjöfart.
Vi räknar också in bank och finansmarknadsinfrastruktur, vård och laboratorier, dricksvatten/avlopp, digital infrastruktur (datacenter, cloud, DNS), offentlig förvaltning, rymdoperatörer, post- och budtjänster, avfallshantering, livsmedel, kemikalier, tillverkning och forskningsorganisationer.
Praktisk vägledning
Om ni är osäkra, dokumentera er självidentifiering. Kontrollera anställda och omsättning och granska vilka tjänster ni levererar.
Kontakta ansvarig tillsynsmyndighet vid oklarheter och förbered underlag innan föreskrifter träder i kraft.
Krav och åtgärder: riskhantering, ledningens ansvar och incidentrapportering
Ett systematiskt arbetssätt för riskhantering blir centralt för trygg drift av kritiska tjänster.
Riskanalyser och säkerhetsåtgärder
Vi kartlägger nätverk och tjänster, bedömer hot och sårbarheter och prioriterar proportionella åtgärder i teknik, processer och människor.
Resultatet dokumenteras i ett riskregister och översätts till konkreta åtgärder för verksamhetens driftsäkerhet.
Ledningens delaktighet
Styrelse och ledning ansvarar för beslut, utbildning och resurser. Vi rekommenderar regelbunden rapportering och dokumentation för tillsyn.
Incidenthantering och incidentrapportering
Processen täcker detektering, triagering, initial rapport, utredning och återställning. Snabb och korrekt incidentrapportering är avgörande för att minimera följder.
Informationssäkerhet i praktiken
- Åtkomststyrning, sårbarhetshantering och loggning.
- Kontinuitetsplaner, leverantörsstyrning och due diligence i avtal.
- Regelbundna tester: tekniska skanningar, tabletop-övningar och krisövningar.
Verksamhetsutövare och företag bör bygga bevis för efterlevnad: policies, åtgärdsplaner, utbildningsloggar och incidentrapporter. Det hjälper oss att ligga i fas med kommande cybersäkerhetslagen.
Tillsyn, efterlevnad och sanktioner
Tillsynslandskapet förändras när fler sektorer får formell tillsyn och myndigheter skärper sina kontrollrutiner. Vi förklarar hur ansvar fördelas och vad det innebär för er verksamhet.
Tillsynsmyndigheter per sektor och MSB:s roll
Varje sektor får en eller flera tillsynsmyndigheter som utfärdar föreskrifter och ger vägledning. MSB har nationellt samordningsansvar och fungerar som EU-kontaktpunkt.
Föreskrifter, kontroller och proaktiv/realtiv tillsyn
Väsentliga aktörer möts av proaktiv tillsyn med regelbundna kontroller. Viktiga aktörer får i första hand reaktiv tillsyn vid incidenter.
| Typ | Tillämpning | Vanliga kontroller |
|---|---|---|
| Väsentliga | Stora tjänster och kritiska leverantörer | Revisioner, tekniska tester, rapportgranskning |
| Viktiga | Mindre kritiska verksamheter | Utredning efter incident, dokumentgranskning |
| MSB (samordning) | Nationell överblick | Harmonisering av föreskrifter och tillsynsprocesser |
Sanktioner och koppling till omsättning
Sanktionerna är skarpare än tidigare. Branschgenomgångar visar att sanktionsavgifter kan kopplas till global omsättning. Det ger starka incitament för företag att prioritera efterlevnad av lagen och lagstiftningen.
- Förberedelse: dokumentera processer och bevis för att möta kraven.
- Samarbete: tidig dialog med tillsynsmyndigheten minskar risk för ingripanden.
- Leverantörskedjan: inkludera kritiska beroenden i era kontroller.
NIS2 och CER: samspel mellan cybersäkerhet och fysisk motståndskraft
CER kompletterar cybersäkerhetsreglerna genom att lägga fokus på fysisk motståndskraft och driftstabilitet för samhällsviktiga tjänster. Vi förklarar vad det betyder för energi, kraftsystem och andra kritiska verksamheter.
Vad CER kräver utöver NIS2
CER ställer krav på kontinuitet i produktion, distribution och fysisk säkerhet. Det handlar om redundans, åtkomstkontroll och personliga säkerhetskontroller.
Identifiering av kritiska verksamhetsutövare och tillsyn
Tre kriterier avgör identifiering: leverera en samhällsviktig tjänst i listad sektor, ha kritisk infrastruktur i Sverige och risk för betydande störningar vid incidenter.
Tillsyn placeras hos sektorsmyndigheter; MSB kan utfärda föreskrifter för offentlig förvaltning.
Riskbedömning, åtgärder och bakgrundskontroller
Kritiska verksamhetsutövare måste genomföra allriskbedömningar och införa tekniska samt organisatoriska åtgärder.
Bakgrundskontroller införs för definierade befattningar som hanterar känsliga system.
Incidentrapportering till MSB: betydande störningar och tidsfrister
Vi måste rapportera incidenter utan dröjsmål. En första rapport ska lämnas inom 24 timmar till MSB.
Föreskrifter kommer att ange vad som är en betydande störning och detaljer i rapporteringen. Vi rekommenderar att organisationer söker hjälp tidigt för att anpassa ledningssystem och undvika dubbelarbete mellan cyber- och fysisk säkerhet.
Slutsats
Avslutningsvis visar utvecklingen att kraven på cybersäkerhet nu påverkar fler sektorer och att ledningen måste agera konkret. Cer och nis2-direktivet stärker både digital och fysisk motståndskraft.
Vi rekommenderar en tydlig roadmap: verifiera om ni omfattas, identifiera sektor och gör en gap‑analys. Prioritera åtgärder för infrastruktur, incidenthantering och leverantörer.
Propositionen om cybersäkerhetslagen väntas hösten 2025, och MSB samordnar nationellt. Förbered dokumentation, rutiner och rapportering så att ni kan följa kraven när föreskrifter träder i kraft.
Vill ni ha stöd? Läs mer i officiella källor eller kontakta oss för hjälp att anpassa er styrning och säkerhet.
FAQ
Vad är syftet med NIS2-direktivet?
Vi förklarar att syftet är att höja skyddet för nätverk och informationssystem över hela EU genom tydligare krav på cybersäkerhet, stärkt incidentrapportering och skärpt tillsyn för företag och offentliga verksamheter inom kritiska sektorer.
Vilka organisationer omfattas av reglerna?
Vi visar att omfattningen styrs av sektor, verksamhetstyp och storlekskriterier som omsättning och antal anställda. Väsentliga och viktiga aktörer inom energi, transport, bank, hälsa, vatten, digital infrastruktur, offentlig förvaltning och flera andra sektorer omfattas.
Hur avgör vi om vår verksamhet är väsentlig eller viktig?
Vi rekommenderar att ni kartlägger verksamhetens kritikalitet, beroenden i leverantörskedjan och påverkan på samhällsviktiga tjänster. Myndigheter kommer att använda sektorregler och tröskelvärden för att klassificera aktörer.
Vilka konkret åtgärder måste vi vidta för riskhantering?
Vi föreslår att ni genomför regelbundna riskanalyser, inför tekniska och organisatoriska säkerhetsåtgärder, utför sårbarhetstester och dokumenterar rutiner för kontinuerlig förbättring och rapportering.
Vad innebär ledningens ansvar enligt direktivet?
Vi betonar att ledningen måste vara aktivt delaktig i styrning, resurser, utbildning och beslutsfattande kring cybersäkerhet. Ansvarsfördelning och rapporteringsvägar ska vara tydliga i styrningsdokument.
Hur fungerar incidentrapportering och vilka tidsfrister gäller?
Vi förklarar att incidenter som påverkar kontinuitet eller säkerhet måste rapporteras snabbt till ansvarig myndighet. Exakta tidsfrister och rapporteringskrav varierar beroende på allvarlighetsgrad och kommande nationell lagstiftning.
Vilka sanktioner kan vi förvänta oss vid bristande efterlevnad?
Vi informerar att tillsynsmyndigheter kan utfärda förelägganden, sanktionsavgifter och andra påföljder. Sanktionernas storlek kan relateras till organisationens globala omsättning och allvaret i överträdelsen.
Hur påverkas leverantörskedjan och tredjepartsleverantörer?
Vi påpekar att krav på säkerhet och rapportering även kan sträcka sig till leverantörer. Organisationer bör ställa krav i avtal, genomföra leverantörsbedömningar och följa upp genom revisioner.
Hur samverkar NIS2 med CER och fysisk motståndskraft?
Vi förklarar att CER kompletterar cybersäkerhetskraven med krav på fysisk motståndskraft för energi- och kritisk infrastruktur. Båda regelverken kräver riskbedömningar, åtgärdsplaner och samordning mellan aktörer och myndigheter.
Vilka sektorer är särskilt utsatta och kräver extra fokus?
Vi listar energi (el, gas, olja, vätgas, laddinfrastruktur), transport (flyg, järnväg, väg, sjöfart), bank och finans, hälsa, vatten, digital infrastruktur, post- och budtjänster samt avfallshantering som exempel på sektorer där konsekvenser av störningar är stora.
Hur ska små och medelstora företag förhålla sig till kraven?
Vi rekommenderar att SME kartlägger sina risker, inför grundläggande säkerhetsåtgärder, använder standardiserade mallar och söker stöd från branschorganisationer eller rådgivare för att möta kraven kostnadseffektivt.
Vem blir tillsynsmyndighet och vilken roll har MSB?
Vi beskriver att ansvariga myndigheter utses per sektor, och att Myndigheten för samhällsskydd och beredskap (MSB) får en samordnande roll i många frågor kring cybersäkerhet, incidentrapportering och vägledning.
Hur påverkar direktivet offentlig förvaltning?
Vi förklarar att central och regional offentlig förvaltning kan omfattas beroende på verksamhetens natur och påverkan. Offentliga organ måste stärka informationssäkerheten och rapportera betydande incidenter.
Vilken dokumentation och bevis krävs vid tillsynsgranskning?
Vi anger att ni bör ha uppdaterade riskanalyser, rutiner för incidenthantering, utbildningsbevis, testresultat, leverantörsavtal och ledningsbeslut tillgängliga för granskning av tillsynsmyndigheten.
Var kan vi få mer information och stöd för implementering?
Vi hänvisar till myndigheter som MSB, branschorganisationer och certifierade konsultfirmor för vägledning. Många erbjuder checklistor, utbildningar och stöd vid införande av teknik och processer för informationssäkerhet.