NIS2 och OT-Säkerhet: Efterlevnadsguide för Svenska Organisationer
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
NIS2 och OT-Säkerhet: Efterlevnadsguide för Svenska Organisationer
NIS2-direktivet är den mest omfattande EU-lagstiftningen om cybersäkerhet och trädde i kraft i svensk rätt den 1 januari 2025. Direktivet utökar täckningen avsevärt jämfört med ursprungliga NIS och inkluderar nu OT-operatörer i sektorer som tillverkning, energi, transport och vatten. Bristande efterlevnad kan leda till böter på upp till 10 miljoner euro eller 2 procent av global omsättning (MSB, 2025). Den här guiden ger svenska OT-operatörer en tydlig bild av kraven och hur de uppfylls.
Viktiga slutsatser
- NIS2 implementerades i svensk lag den 1 januari 2025 via lagen om cybersäkerhet.
- MSB är primär tillsynsmyndighet med rätt att utfärda böter upp till 10 miljoner euro.
- NIS2 täcker nu tillverkning, energi, vatten, transport och flera nya sektorer.
- Incidentrapportering krävs till MSB inom 24 timmar för väsentliga händelser.
- IEC 62443 och NIST 800-82 accepteras av MSB som referensramverk för OT-säkerhet.
Vad är NIS2 och hur skiljer det sig från ursprungliga NIS?
NIS2-direktivet (Directive on measures for a high common level of cybersecurity, EU 2022/2555) ersätter det ursprungliga NIS-direktivet från 2016. De viktigaste förändringarna är bredare sektortäckning, striktare säkerhetskrav, hårdare sanktioner och obligatorisk harmonisering across EU-länder. ENISA estimerar att NIS2 täcker 10 gånger fler entiteter än det ursprungliga NIS-direktivet (ENISA, 2024).
För OT-operatörer är den viktigaste förändringen att tillverkning nu inkluderas, att leveranskedjesäkerhet är ett explicit krav och att sanktionsnivåerna är väsentligt höjda. Ursprungliga NIS täckte primärt energi, transport, vatten, banker och hälsa. NIS2 lägger till tillverkning av kritiska produkter, digital infrastruktur, livsmedel och rymdfart.
Vilka svenska OT-operatörer omfattas av NIS2?
NIS2-täckning baseras på sektor och företagsstorlek. Organisationer med minst 50 anställda och mer än 10 miljoner euro i omsättning i de utpekade sektorerna är bundna av NIS2. Undantag gäller för mikro- och småföretag, men kritisk infrastruktur som väsentlig entitet kan inkluderas oavsett storlek om den bedöms ha hög samhällsbetydelse (MSB, 2025).
Täckta sektorer med OT-relevans inkluderar: energi (el, gas, olja, fjärrvärme), transport (järnväg, väg, sjöfart, luftfart), dricksvatten och avloppshantering, hälso- och sjukvård, digital infrastruktur och tillverkning av läkemedel, medicintekniska produkter, kemi, livsmedel och elektronik. Kontakta MSB för en preliminär bedömning om ni är osäkra på om er organisation omfattas.
Väsentliga och viktiga entiteter: vad är skillnaden?
NIS2 delar in täckta organisationer i väsentliga entiteter (essential entities) och viktiga entiteter (important entities). Väsentliga entiteter, typiskt stor energi, transport och hälsa, har striktare krav och mer frekvent tillsyn. Viktiga entiteter, typiskt tillverkning och digital tjänster, har något lägre krav men är fortfarande bundna av NIS2:s grundkrav. Bötenivåerna skiljer sig: väsentliga entiteter kan bötas upp till 10 miljoner euro eller 2% av omsättning, viktiga entiteter upp till 7 miljoner euro eller 1,4%.
[CHART: Jämförelse NIS vs NIS2 - täckta sektorer och krav - källa: ENISA/MSB]Vill ni ha expertstöd med nis2 och ot-säkerhet?
Våra molnarkitekter hjälper er med nis2 och ot-säkerhet — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
MSB:s roll som tillsynsmyndighet
MSB, Myndigheten för samhällsskydd och beredskap, är den primära tillsynsmyndigheten för NIS2 i Sverige för de flesta sektorer. Sektorsspecifika myndigheter, som Energimyndigheten, Transportstyrelsen och Socialstyrelsen, har tillsyn i sina respektive sektorer. MSB koordinerar och ger övergripande vägledning (MSB, 2025).
MSB:s tillsynsverktyg inkluderar begäran om dokumentation, platsbesök, revision och sanktioner. Tillsynen är riskbaserad, med fokus på väsentliga entiteter och på sektorer med hög samhällsbetydelse. MSB har publicerat vägledning och FAQ för NIS2-efterlevnad på msb.se, inklusive specifika råd för OT-operatörer.
Vilka specifika OT-säkerhetskrav ställer NIS2?
NIS2 artikel 21 specificerar minimikraven för säkerhetsåtgärder. För OT-operatörer är dessa krav direkt tillämpliga och kräver OT-specifik implementering. ENISA:s vägledning för NIS2-implementering i OT-miljöer publicerades 2024 och ger detaljerad tolkning av artikelkraven i industriell kontext (ENISA, 2024).
Riskhantering och riskanalys
NIS2 kräver en dokumenterad riskanalysprocess för alla relevanta system, inklusive OT. Riskanalysen ska identifiera hot, sårbarheter och konsekvenser, värdera risker och dokumentera valda säkerhetsåtgärder. En OT-säkerhetsbedömning baserad på IEC 62443 eller NIST 800-82 uppfyller detta krav om den dokumenteras korrekt och uppdateras när hotbilden förändras.
Incidentrapportering inom 24 timmar
NIS2 kräver att väsentliga och viktiga entiteter rapporterar signifikanta incidenter till MSB inom 24 timmar. En slutrapport krävs inom en månad. Incidenter som kräver rapportering är de som har eller kan ha väsentlig påverkan på tillhandahållande av tjänster. För OT-operatörer innebär det incidenter som påverkar produktion, leverans eller säkerhet i kritiska processer. MSB har publicerat specifika riktlinjer för vad som kvalificerar som rapporteringspliktig incident.
Leveranskedjesäkerhet och tredjepartskrav
NIS2 kräver explicit hantering av leveranskedjans cybersäkerhetsrisker. För OT-operatörer innebär det: säkerhetskrav i avtal med OT-leverantörer och systemintegratörer, validering av leverantörers säkerhetsrutiner, SBOM-krav för kritisk mjukvara och krav på säkra uppdateringsprocesser. ENISA pekar ut leveranskedjans säkerhet som ett av de svåraste NIS2-kraven att implementera i praktiken.
OT-säkerhet: 12 bästa praxisVilka böter kan MSB utfärda vid bristande efterlevnad?
NIS2 inför väsentligt skarpare sanktioner än det ursprungliga NIS-direktivet. Väsentliga entiteter kan bötfällas med upp till 10 miljoner euro eller 2 procent av total global omsättning. Viktiga entiteter riskerar böter upp till 7 miljoner euro eller 1,4 procent av omsättning. Utöver böter kan MSB utfärda bindande beslut och, som sista åtgärd, tillfälligt förbjuda verksamhetsansvariga att utöva sin roll.
Sanktionerna är avsedda att vara avskräckande, inte primärt punitive. MSB:s vägledning betonar att tillsynen i ett inledningsskede fokuserar på vägledning och stöd snarare än omedelbar sanktionering, men att grov eller upprepade brister mot NIS2 kan leda till böter.
Hur implementerar du NIS2-efterlevnad steg för steg?
NIS2-implementering för OT-operatörer kan delas i sex steg. Steg 1 är att fastställa om ni är en väsentlig eller viktig entitet och vilka system som ingår i NIS2-scope. Steg 2 är att genomföra en gap-analys mot NIS2:s artikel 21-krav. Steg 3 är att prioritera åtgärder baserat på gap-analysen och genomföra de mest kritiska. Steg 4 är att dokumentera alla åtgärder och processer i ett ISMS (Information Security Management System). Steg 5 är att etablera incidentrapporteringsrutiner och testa dem. Steg 6 är att etablera ett kontinuerligt förbättringsprogram för att bibehålla efterlevnad.
[PERSONAL EXPERIENCE] I vår erfarenhet av NIS2-förberedelser hos svenska OT-operatörer är dokumentation det vanligaste gapet. Tekniska åtgärder finns ofta i viss utsträckning, men de är inte dokumenterade på ett sätt som MSB kan granska. Dokumentation är inte en formalitet, den är evidensen för efterlevnad.
Hur kopplas IEC 62443 till NIS2-efterlevnad?
IEC 62443 är ett av de ramverk som MSB och ENISA rekommenderar för NIS2-implementering i OT-miljöer. En mappning av IEC 62443-krav mot NIS2 artikel 21 publicerades av ENISA 2024 och visar att en IEC 62443-implementering adresserar de flesta NIS2-kraven. Certifiering mot IEC 62443 ger ett oberoende intyg som stärker NIS2-efterlevnadsdokumentationen.
De viktigaste kopplingarna: IEC 62443-2-1 (säkerhetsprogram) uppfyller NIS2:s krav på riskhantering och policyer. IEC 62443-3-2 (zoner och förbindelser) uppfyller NIS2:s krav på nätverkssegmentering. IEC 62443-4-2 (komponentkrav) stöder leveranskedjesäkerhetskraven. En komplett IEC 62443-implementering ger NIS2-efterlevnad med oberoende validering.
Vad är IEC 62443?Vanliga frågor om NIS2 och OT-säkerhet
Måste vi registrera oss hos MSB under NIS2?
Ja. Väsentliga och viktiga entiteter ska registrera sig hos MSB (eller relevant sektors tillsynsmyndighet). MSB tillhandahåller ett registreringsformulär och process. Registreringen inkluderar uppgifter om organisationen, ansvarig kontaktperson för cybersäkerhetsincidenter och vilka tjänster som tillhandahålls. Registreringsfristen var satt till Q1 2025 men MSB är pragmatisk för organisationer som aktivt arbetar med efterlevnad.
Vad räknas som en rapporteringspliktig incident under NIS2?
En incident är rapporteringspliktig om den har eller kan ha en väsentlig påverkan på tillhandahållande av er tjänst. MSB definierar väsentlig påverkan som: störning av mer än 1000 användare, 30+ minuters avbrott i kritiska tjänster eller ekonomisk skada över 2 miljoner euro. Kontakta MSB om ni är osäkra, rapportering av borderline-incidenter ses positivt av tillsynsmyndigheten.
Kan ett SMF uppfylla NIS2 med begränsade resurser?
Ja, men det kräver prioritering. MSB:s vägledning erkänner att SMF har begränsade resurser och rekommenderar att börja med de mest kritiska åtgärderna: riskanalys, incidentrapporteringsrutiner och grundläggande tekniska kontroller. Managed security services och branschspecifika säkerhetstjänster kan vara kostnadseffektiva alternativ till att bygga intern kompetens.
Sammanfattning
NIS2 är nu svensk lag och OT-operatörer i täckta sektorer måste agera. Kraven på riskhantering, incidentrapportering och leveranskedjesäkerhet är konkreta och mätbara. MSB:s tillsyn är aktiv och sanktionsnivåerna är avskräckande.
Det goda är att erkända ramverk som IEC 62443 och NIST 800-82 ger en tydlig väg till efterlevnad. Börja med en gap-analys, dokumentera befintliga åtgärder och bygg en implementeringsplan baserad på er faktiska riskprofil. Kontakta MSB för vägledning om er specifika situation.
Opsio OT-säkerhetstjänsterOm författaren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.