NIS2 för kommuner och regioner: vägledning för offentlig sektor
Country Manager, Sweden
AI, DevOps, Security, and Cloud Solutioning. 12+ years leading enterprise cloud transformation across Scandinavia
NIS2 för kommuner och regioner: vägledning för offentlig sektor
Sveriges 290 kommuner och 21 regioner ansvarar för samhällskritiska tjänster – vattenförsörjning, räddningstjänst, äldreomsorg, kollektivtrafik och sjukvård. NIS2-direktivet (EU 2022/2555) klassar offentlig förvaltning som en egen sektor, och till skillnad från privata företag gäller inga storleksgränser. Det innebär att Bjurholm med 300 anställda i princip träffas av samma regelverk som Stockholm med 45 000. Här går vi igenom vad det faktiskt kräver och hur kommuner och regioner kan ta sig an arbetet konkret.
Viktiga slutsatser
- Offentlig förvaltning är en egen sektor under NIS2 – storleksgränser gäller inte för kommuner och regioner
- De flesta kommuner träffas eftersom de bedriver verksamhet inom minst en NIS2-sektor (VA, räddningstjänst, avfallshantering)
- Regioner kan klassificeras under tre sektorer samtidigt – hälso- och sjukvård, kollektivtrafik och offentlig förvaltning
- Incidentrapportering inom 24 timmar till CERT-SE blir lagkrav – en drastisk förändring för organisationer som idag saknar dygnet-runt-övervakning
- Delade IT-miljöer via kommunalförbund kräver juridiskt hållbara ansvarsavtal innan reglerna träder i kraft
- Ledningsansvar med personliga sanktioner gör NIS2 till en fråga för kommunstyrelsen, inte bara IT-avdelningen
Varför kommuner och regioner omfattas av NIS2
NIS2-direktivet listar offentlig förvaltning i Bilaga I (väsentliga entiteter) för central nivå och i Bilaga II (viktiga entiteter) för regional och lokal nivå. Den svenska utredningen SOU 2024:18 föreslog att kommuner och regioner omfattas i den mån de bedriver verksamhet inom NIS2-sektorerna.
Och det gör nästan alla. Titta på vad en typisk svensk kommun driver:
| Kommunal verksamhet | NIS2-sektor | Klassificering |
|---|---|---|
| Vattenförsörjning och avlopp | Dricksvatten / Avloppsvatten | Väsentlig entitet |
| Avfallshantering | Avfallshantering | Viktig entitet |
| Räddningstjänst | Offentlig förvaltning | Viktig entitet |
| Fjärrvärme (kommunalt bolag) | Energi | Väsentlig entitet |
| Skolverksamhet (digitala plattformar) | Indirekt via digital infrastruktur | Bedöms per fall |
Det räcker med att en kommun driver eget VA-verk – vilket de allra flesta gör – för att NIS2 ska bli relevant.
Storleksgränserna gäller inte
Här skiljer sig offentlig sektor fundamentalt från privat. NIS2:s standardkriterier (minst 50 anställda eller 10 miljoner euro i omsättning) tillämpas inte på offentliga organisationer. Medlemsstaterna avgör exakt vilka nivåer av offentlig förvaltning som inkluderas, men SOU 2024:18 är tydlig: kommuner och regioner som bedriver verksamhet i NIS2-sektorer omfattas.
Regioner: tredubbelt ansvar
Regionerna har det bredaste ansvaret. Hälso- och sjukvård klassificeras som väsentlig sektor. Kollektivtrafik faller under transportsektorn. Regionens egen förvaltning faller under offentlig förvaltning. En enda region kan alltså träffas av NIS2 genom tre separata sektorsklassificeringar – med potentiellt olika tillsynsmyndigheter.
Vill ni ha expertstöd med nis2 för kommuner och regioner?
Våra molnarkitekter hjälper er med nis2 för kommuner och regioner — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
De specifika utmaningarna för kommuner
Kommuner är inte företag med enhetlig IT-styrning. De har decennier av uppbyggd teknisk skuld, politisk styrning som skiftar vart fjärde år och en resursverklighet som gör att säkerhetsarbete alltför ofta hamnar på IT-chefens skrivbord – bredvid hundra andra uppgifter.
Brist på dedikerad säkerhetskompetens
Enligt MSB:s kartläggning av informationssäkerhet i offentlig sektor saknar en betydande andel av Sveriges kommuner en dedikerad CISO. Många hanterar informationssäkerhet som en sidouppgift för IT-chefen. Det är en konstruktion som inte håller under NIS2, där ledningen (i praktiken kommunstyrelsen) hålls ansvarig för att riskhanteringsåtgärder vidtas och där systematiskt säkerhetsarbete ska kunna påvisas vid tillsyn.
Föråldrad IT-infrastruktur
Kommuner driftar ofta en blandning av moderna molntjänster och äldre system som byggts på under årtionden. Fastighetssystem, verksamhetssystem för skola och omsorg, VA-styrsystem (SCADA/ICS) och ekonomisystem kan vara av vitt skild teknisk generation. SKR har uppmärksammat att en betydande andel av kommunernas kritiska IT-system kör på programvara som inte längre får säkerhetsuppdateringar från leverantören.
Från Opsios SOC-perspektiv ser vi det här mönstret konstant: system som "fungerar" i operativ mening men som exponerar hela nätverket för kända sårbarheter. Att bara kartlägga vilka system som finns, och deras säkerhetsstatus, är i sig ett substantiellt projekt för de flesta kommuner.
Upphandlingskrav (LOU) bromsar snabb förändring
Lagen om offentlig upphandling (LOU) styr hur kommuner köper IT-system och tjänster. Det skapar ett strukturellt hinder för snabb cybersäkerhetsförbättring. En upphandlingsprocess tar månader, och likabehandlingsprincipen gör det svårt att snabbt byta ut en leverantör som inte uppfyller nya säkerhetskrav.
Den praktiska konsekvensen: kommuner som inte redan har rätt ramavtal på plats riskerar att fastna i upphandlingsprocesser medan NIS2-kraven börjar gälla. Att agera nu handlar inte om överambition – det handlar om att förstå offentlig upphandlings tidshorisonter.
Kommunalförbund och delade IT-miljöer
Många kommuner delar IT-drift genom kommunalförbund eller gemensamma nämnder. Det är operativt effektivt men skapar en ansvarsfråga under NIS2: vem är entiteten som rapporterar incidenter? Vem genomför riskanalysen? Vem står till svars vid tillsyn?
NIS2 placerar ansvaret på den entitet som bedriver verksamheten – inte på IT-leverantören. Det innebär att varje kommun i ett kommunalförbund behöver ett avtal som tydligt specificerar:
- Vem som ansvarar för incidentrapportering till CERT-SE
- Hur riskhanteringsåtgärder dokumenteras och fördelas
- Vem som hanterar tillsynskontakt
- Leveranskedjeansvar för tredjepartssystem
Vad NIS2 konkret kräver av kommuner och regioner
NIS2 ställer krav inom fyra huvudområden. Här är vad de innebär i kommunal kontext:
1. Riskhanteringsåtgärder (Artikel 21)
Kommuner ska vidta tekniska, operativa och organisatoriska åtgärder som är proportionella mot riskerna. Direktivet specificerar bland annat:
- Riskanalys och informationssäkerhetspolicyer – inte som PDF-dokument som samlar damm, utan som levande styrning
- Incidenthanteringsprocesser – med tydliga roller, eskaleringsvägar och övningar
- Kontinuitetshantering och krishantering – inklusive backup och återställning
- Leveranskedjegranskning – varje leverantör som hanterar data eller driftar system behöver bedömas
- Kryptering och åtkomstkontroll – anpassat efter verksamhetens behov
- Utbildning av ledning och personal – NIS2 kräver explicit att ledningen genomgår utbildning
2. Incidentrapportering (Artikel 23)
Det här är den mest operativt krävande förändringen. Kommuner ska rapportera betydande incidenter till CERT-SE:
| Tidsram | Åtgärd |
|---|---|
| Inom 24 timmar | Tidig varning – att en incident har inträffat |
| Inom 72 timmar | Fullständig incidentanmälan med initial bedömning |
| Inom 1 månad | Slutrapport med orsaksanalys och vidtagna åtgärder |
För en kommun som idag saknar 24/7-övervakning är 24-timmarskravet en fundamental utmaning. En incident som inträffar på en fredagskväll måste upptäckas, bedömas och rapporteras innan lördagskvällen. Det förutsätter antingen egen dygnet-runt-bemanning eller en avtalad partner med SOC-kapacitet.
3. Ledningsansvar (Artikel 20)
NIS2 kräver att ledningen godkänner riskhanteringsåtgärder och genomgår utbildning. I kommunal kontext innebär det att kommunstyrelsen – inte IT-chefen – bär det formella ansvaret. Ledningen kan hållas personligt ansvarig vid allvarliga brister.
Det här är nytt territorium för många kommunalpolitiker. Cybersäkerhet har traditionellt delegerats till förvaltningen, men NIS2 gör det till en fråga som kräver beslut och uppföljning på högsta nivå.
4. Tillsyn och sanktioner
Sverige utser tillsynsmyndighet genom den nationella implementeringen. För offentlig förvaltning blir det sannolikt en myndighet med befintligt tillsynsansvar – potentiellt MSB eller länsstyrelserna. Sanktionsavgifter för viktiga entiteter kan uppgå till 7 miljoner euro eller 1,4 procent av global omsättning (det högre beloppet).
Praktisk färdplan: sex steg för kommuner
Baserat på vad vi ser fungera hos de offentliga organisationer vi stödjer, rekommenderar vi följande prioriteringsordning:
Steg 1: Kartlägg vilka verksamheter som omfattas. Inte alla kommunala verksamheter faller under NIS2 – men fler än de flesta tror. Gå igenom sektorslistan mot er verksamhet.
Steg 2: Genomför gap-analys mot NIS2 Artikel 21. Om ni arbetar efter MSB:s föreskrifter (MSBFS 2020:6) och ISO/IEC 27001 har ni en grund, men NIS2 ställer specifika krav på leveranskedjegranskning, incidentrapportering och ledningsansvar som sannolikt saknas.
Steg 3: Förankra hos kommunstyrelsen. NIS2:s ledningsansvar är inte valfritt. Styrelsen behöver förstå sitt ansvar, godkänna riskhanteringsåtgärder och genomgå utbildning.
Steg 4: Lös incidentrapporteringsförmågan. Inom 24 timmar dygnet runt, året runt. Det kräver antingen egen SOC eller en upphandlad partner.
Steg 5: Granska avtal med kommunalförbund och leverantörer. Ansvarsfördelning, rapporteringsvägar och säkerhetskrav behöver vara tydligt specificerade.
Steg 6: Planera upphandlingar nu. LOU:s tidsramar gör att ni behöver starta upphandlingsprocesser för säkerhetstjänster och systemuppgraderingar redan idag.
Molnmigrering för offentlig sektor
SKR:s stöd och samordning
Sveriges Kommuner och Regioner (SKR) erbjuder ramverk och stöd för systematiskt informationssäkerhetsarbete, inklusive KLASSA – ett verktyg för informationsklassificering. SKR har även samordnat arbete kring NIS2-implementering med vägledning och erfarenhetsutbyte mellan kommuner. Det är en resurs som bör tas till vara, men den ersätter inte det egna ansvaret att vidta konkreta åtgärder.
Varför dygnet-runt-övervakning inte är förhandlingsbart
NIS2:s 24-timmars incidentrapportering förutsätter att incidenter upptäcks – och det kräver kontinuerlig övervakning. En kommun med 15 000 invånare har inte budget för ett eget SOC med treskiftsschema. Det är helt enkelt inte realistiskt.
Vad som däremot är realistiskt är att upphandla managerad övervakning genom ramavtal. Opsios SOC/NOC i Karlstad och Bangalore erbjuder just den typen av dygnet-runt-kapacitet som NIS2 förutsätter – med databehandling inom EU och larmkedja anpassad efter svenska förhållanden.
Vanliga frågor
Omfattas alla 290 kommuner av NIS2?
Inte per automatik, men i praktiken bedriver de allra flesta kommuner verksamhet inom minst en NIS2-sektor – exempelvis vatten och avlopp, avfallshantering eller räddningstjänst. SOU 2024:18 föreslog att kommuner omfattas i den mån de bedriver verksamhet inom NIS2-sektorerna. Storleksgränserna som gäller privat sektor tillämpas inte på offentliga organisationer.
Vad händer om en kommun inte uppfyller NIS2-kraven?
NIS2-direktivet ger tillsynsmyndigheten befogenhet att utfärda förelägganden och sanktionsavgifter. Den svenska implementeringen fastställer exakta nivåer, men ledningen kan hållas personligt ansvarig för brister i riskhantering – ett helt nytt ansvarslager för kommunpolitiker och förvaltningschefer.
Hur skiljer sig NIS2 från MSB:s nuvarande föreskrifter?
MSB:s föreskrifter (MSBFS 2020:6) täcker systematiskt informationssäkerhetsarbete men saknar NIS2:s specifika krav på incidentrapportering inom 24 timmar, leveranskedjegranskning och ledningsansvar med personligt sanktionsansvar. NIS2 höjer ribban betydligt, men en kommun med moget ISMS-arbete har en stark grund att bygga vidare på.
Kan kommuner outsourca NIS2-efterlevnad?
Ansvaret förblir alltid hos kommunen, men operativt stöd – SOC-övervakning, incidenthantering, logganalys – kan upphandlas via ramavtal eller kommunalförbund. Det kräver att avtalen tydligt specificerar ansvarsfördelning, rapporteringsvägar och att leverantören själv uppfyller NIS2-krav i sin leveranskedja.
Hur påverkas kommunalförbund som driftar IT åt flera kommuner?
Kommunalförbundet kan vara operativt ansvarig för drift, men varje enskild kommun behåller sitt NIS2-ansvar. Det kräver tydliga avtal om vem som rapporterar incidenter, vem som genomför riskanalys och hur tillsynskontakt hanteras. Utan sådana avtal riskerar ansvaret att falla mellan stolarna – precis den situation NIS2 är utformad för att förhindra.
Relaterade artiklar
Om författaren
Country Manager, Sweden at Opsio
AI, DevOps, Security, and Cloud Solutioning. 12+ years leading enterprise cloud transformation across Scandinavia
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
