Vi förklarar vad direktivet betyder för er verksamhet i Sverige och hur vi praktiskt guidar er från nuläge till verifierade kontroller.
EU antog nis2-direktivet i december 2022 och det ersatte NIS1 den 18 oktober 2024. I Sverige pågår införlivandet genom en föreslagen cybersäkerhetslag, med SOU 2024:18 och en lagrådsremiss i juni 2025.
MSB får en central roll för samordning och mottagande av incidentrapporter. Det innebär tydligare krav på riskanalyser, ledningens ansvar och incidentrapportering.
Vi beskriver också hur ni identifierar om ni omfattas, vilka krav som gäller nu och vilka tidsfönster ni bör planera för.
Genom våra tjänster hjälper vi er prioritera åtgärder, skapa spårbarhet och uppnå revisorsbar efterlevnad utan överimplementering.
Viktiga slutsatser
- Direktivet skärper krav på riskhantering och ledningsansvar.
- Planera för svenska lagsteg: SOU 2024:18, lagrådsremiss och proposition.
- MSB samordnar och tar emot incidentrapporter från verksamheter.
- Vi erbjuder praktisk hjälp för att skapa effektiva, spårbara kontroller.
- Identifiera om ni omfattas och starta systematiskt informationssäkerhetsarbete nu.
Den ultimata genomgången av NIS2-direktivet och NIS2 säkerhetskrav
Det nya regelverket började gälla i januari 2023 och ställde större krav på flera sektorer och leveranskedjor.
Varför förändringen?
Varför direktivet ersätter det tidigare ramverket
Syftet var att höja skyddet för kritiska nätverk och informationssystem i hela EU. Reglerna omfattar nu fler sektorer, bland annat offentlig förvaltning, rymd och post- och budtjänster.
Tidslinje i Sverige: från NIS1 till CSL och lagrådsremiss
I praktiken trädde regelverket i kraft 2023 och NIS1 upphävdes 18 oktober 2024. I Sverige fortsätter införlivandet via SOU 2024:18 och en lagrådsremiss i juni 2025. En proposition väntas hösten 2025.
Hur EU stärker cybersäkerheten genom tydligare regler och tillsyn
Direktivet skärper ledningens ansvar, inför rapporteringsplikt vid betydande incidenter och etablerar CSIRT-nätverk samt EU-CyCLONe.
- Breddat tillämpningsområde: flera nya tjänster ingår.
- Tydligare krav: mer precist fastställda åtgärder och uppföljning.
- Starkare tillsyn: snabbare koordinering vid störningar och incidenter.
| Ändring | Före | Efter |
|---|---|---|
| Tillämpningsområde | Få sektorer | Fler sektorer och tjänster |
| Ledningsansvar | Övergripande | Specifik och ansvarsskyldighet |
| Incidenthantering | Nationell nivå | CSIRT-nätverk och EU-CyCLONe |
Vem omfattas: sektorer, storlekskriterier och verksamhetsutövare
Nu omfattas fler sektorer än tidigare och det påverkar hur vi klassar en verksamhet. Det är viktigt att ni snabbt identifierar om er organisation ingår.
Utökade sektorer och nyckelområden
Utöver traditionell kritisk infrastruktur täcker direktivet bland annat offentlig förvaltning, rymdsektorn, avfallshantering, tillverkning av kritiska produkter och fler digitala tjänster.
Post- och budtjänster: vad som räknas
Post- och budtjänster definieras som aktörer som hanterar minst ett steg i leveranskedjan — insamling, sortering, transport eller distribution — och som är beroende av nätverks- och informationssystem.
Storleksprincip och undantag
Principen bygger i regel på medelstora och stora entiteter. En liten del av en större koncern kan göra hela koncernen omfattad. Vissa LEK-aktörer omfattas oavsett storlek.
| Aspekt | Vad det betyder | Praktisk åtgärd |
|---|---|---|
| Sektorer | Fler branscher inkluderas | Kartlägg tjänsteportfölj |
| Storleksprincip | Medelstora/stora entiteter | Beräkna enligt EU:s SMF-regler |
| Jurisdiktion | Flera etableringsställen kan kräva rapportering | Fastställ huvudort och kontaktytor |
Vi hjälper er att klassificera och dokumentera om ni omfattas. För mer detaljerad bakgrund, se det här om nis2-direktivet.
NIS2 säkerhetskrav i praktiken: riskhantering, ledningsansvar och incidenthantering
Organisationer behöver nu koppla tekniska kontroller till ledningens beslut och affärsrisker. Vi hjälper er att operationalisera ett systematiskt informationssäkerhetsarbete som är riskbaserat och långsiktigt.
Systematiskt informationssäkerhetsarbete
Vi bygger upp mandat, tydliga roller och rutiner för riskinventering och konsekvensanalys. Därefter väljer vi kontroller som skyddar era nätverks- och informationssystem.
Kontinuerlig förbättring sker genom tester, uppföljning och mätetal som visar mognad och gap mot regelverket.
Ledningens ansvar och ansvarsskyldighet
Styrelse och VD måste fatta beslut om rimliga åtgärder och dokumentera riskacceptans. Vi utformar beslutsunderlag och utbildningar för att göra ansvar tydligt.
Betydande incidenter och rapportering
Betydande incidenter är störningar som orsakar allvarlig drift- eller ekonomisk skada eller påverkar andra.
Rapportering startar när ni fått kännedom och skickas till MSB enligt regelverkets tidsramar. Vi beskriver processen: upptäckt, initial bedömning, rapport, uppföljning och slutrapport.
Specifika leverantörer och genomförandeakter
Genomförandeförordningen från 7 november 2024 specificerar åtgärder för leverantörer som molntjänster, datacenter, DNS, CDN och hanterade säkerhetstjänster.
Leveranskedjan och tredjepartsrisker
Vi inför due diligence, avtalskrav och sårbarhetshantering för leverantörer. Uppföljning och mätetal säkerställer att beroenden inte skapar nya störningar.
”Ett robust arbetssätt kombinerar tekniska och administrativa åtgärder så att incidenthantering fungerar i praktiken.”
För vägledning om vilka verksamheter som omfattas, se MSB:s information om nis2-direktivet.
Tillsyn och roller i Sverige: MSB, sektorsansvariga myndigheter och EU-samarbete
Tillsynen i Sverige samordnas av flera aktörer som hjälper verksamheter att förstå och leva upp till nya krav.
MSB:s nationella samordning
MSB har nationellt samordningsansvar och fungerar som Sveriges kontaktpunkt i EU. De tar emot rapporter om incidenter och ger stödmaterial som underlättar tolkning av direktivet.
Roller för sektorsmyndigheter och tillsyn
Sektorsansvariga myndigheter utfärdar vägledning och kan fastställa sektorsspecifika föreskrifter. De utövar tillsyn och kräver bevis på att en verksamhet följer krav för informationssäkerhet och drift.
PTS och digital infrastruktur
PTS föreslås få ansvar för digital infrastruktur, IKT-tjänster, rymden och post- och budtjänster. Det innebär att leverantörer av kritiska tjänster får sektorsanpassad tillsyn och teknisk vägledning.
CSIRT-nätverk och EU-CyCLONe
CSIRT-nätverk möjliggör informationsutbyte om hot och sårbarheter mellan myndigheter och operatörer. EU-CyCLONe koordinerar hanteringen av storskaliga incidenter för snabb återställning i flera länder.
- Praktiskt råd: Etablera kontaktpunkter och tydliga eskaleringsvägar i er verksamhet.
- Dokumentation: Förbered bevis på rutiner, leverantörskontroller och incidenthantering.
- Läs mer: Använd MSB och PTS vägledning för sektorn när ni utformar rutiner.
”Snabb samverkan mellan myndigheter och aktörer avgörande för effektiv hantering av incidenter.”
Så uppfyller vi kraven: vår steg-för-steg-plan för efterlevnad i Sverige
Vi kartlägger, åtgärdar och bevisar efterlevnad med tydliga ansvar och tidsplaner. Vår metod börjar med en snabb omfångsbedömning för att avgöra om er verksamhet omfattas och var anmälan ska ske.
Från identifiering och anmälan till tillsyn
Vi genomför: kartläggning av tjänster och sektorer, registreringsstöd till tillsynsmyndighet och en gap-analys mot regelverk och genomförandeakter.
Policyer, utbildning och tekniska kontroller
Vi levererar policyramverk, roller, utbildningar för ledning och nyckelroller samt tekniska åtgärder som IAM, loggning, EDR, patchning och backuper.
- Incidenthantering: detektion, eskalering och rapportering till MSB.
- Leveranskedjan: due diligence, avtalade krav och uppföljning för leverantörer.
- Mätetal: spårbarhet för tillsyn och kontinuerlig förbättring.
| Steg | Vad vi gör | Resultat |
|---|---|---|
| Omfångsbedömning | Kartläggning av tjänster och storlek | Beslut om anmälan och ansvar |
| Gap-analys | Jämförelse mot direktivet och akter | Prioriterad åtgärdsplan |
| Operationalisering | Policys, tekniska kontroller, utbildning | Driftsäkra processer och bevis för tillsyn |
”Ett tydligt och dokumenterat arbetssätt minskar både risk och arbetsbörda vid tillsyn.”
Läs mer i våra mallar och rekommendationer från MSB och PTS när ni vill ta nästa steg.
Slutsats
Slutsats: nis2-direktivet har gett kraft åt ett enhetligt skydd och breddat vilka sektorer som omfattas. Det innebär tydligare ansvar, skärpta krav och ökad rapportering till MSB.
Vi rekommenderar att ni agerar nu. Bekräfta om er verksamhet omfattas och påbörja prioriterade åtgärder för snabb riskreduktion.
Vårt team levererar rådgivning, gap-analys och implementering av tjänster som ger spårbarhet och mätbar effekt. Vi hjälper också till att stärka leveranskedjan och avtal med leverantörer.
Ledningsengagemang och uthålliga processer är avgörande. Kontakta oss så påskyndar vi ert arbete inför kommande svenska genomförandesteg under 2025.
FAQ
Vad innebär de nya kraven i direktivet för vår verksamhet?
De nya reglerna ställer krav på systematiskt informationssäkerhetsarbete, riskhantering och tydligt ledningsansvar. Vi hjälper er kartlägga vilka nätverks- och informationssystem som omfattas, genomföra gap‑analyser och ta fram en åtgärdsplan för att uppfylla skyldigheterna.
Vilka sektorer och verksamheter omfattas av reglerna?
Omfattningen har utvidgats till fler sektorer än tidigare, bland annat energi, hälso‑ och sjukvård, offentlig förvaltning, rymd samt post‑ och budtjänster. Vi bedömer om er verksamhet faller under reglerna utifrån storleksprincipen och verksamhetens kritiska funktioner.
Hur definieras post‑ och budtjänster i regelverket?
Post‑ och budtjänster omfattar verksamheter som hanterar leveranskedjor och som är beroende av informationssystem för att utföra sina tjänster. Vi hjälper er definiera omfattning, identifiera beroenden och införa skydd för kritiska system.
Vad är storleksprincipen och hur påverkar den oss?
Storleksprincipen innebär att medelstora och stora entiteter normalt omfattas, medan mindre företag kan undantas beroende på verksamhetens karaktär. Vi utför en bedömning av företagsstorlek och rådgiver om eventuella undantag eller skyldigheter.
Vilka tidsfrister gäller vid rapportering av betydande incidenter?
Betydande incidenter ska rapporteras snabbt enligt direktivets tidsramar och till ansvarig tillsynsmyndighet. Vi stödjer ert incidenthanteringsarbete, upprättar rutiner för upptäckt och rapportering samt tränar ansvariga i praktisk hantering.
Hur påverkar leveranskedjan och tredjepartsleverantörer vår efterlevnad?
Leveranskedjan är central; ni måste hantera tredjepartsrisker genom kravställning, leverantörsbedömningar och uppföljning. Vi hjälper er implementera leverantörsstyrning, sårbarhetshantering och avtalstext som möter regelkraven.
Vilka tekniska och organisatoriska åtgärder rekommenderas för att uppfylla kraven?
Rekommenderade åtgärder inkluderar riskbedömning, informationssäkerhetspolicyer, åtkomstkontroller, kryptering, säkerhetsövervakning och kontinuerlig utbildning. Vi tar fram anpassade policyer, utbildningsprogram och tekniska kontroller för er miljö.
Vad innebär ledningens ansvar enligt direktivet?
Ledningen har direkta skyldigheter att säkerställa efterlevnad, avsätta resurser och rapportera incidenter. Vi stöder styrelser och ledningar med ansvarsfördelning, rapporteringsrutiner och dokumentation för tillsynsmyndigheter som MSB och PTS.
Hur fungerar tillsynen i Sverige och vilka myndigheter är involverade?
MSB har en samordnande roll och utfärdar föreskrifter; PTS ansvarar för digital infrastruktur och vissa tjänster. CSIRT‑nätverk och EU‑samarbete som EU‑CyCLONe hanterar informationsutbyte vid storskaliga incidenter. Vi hjälper er navigera myndighetskrav och kontakter.
Vad krävs för leverantörer av moln, datacenter och nätverkstjänster?
Specifika genomförandeakter riktar sig mot leverantörer som erbjuder molntjänster, datacenter, DNS och CDN. Dessa leverantörer måste uppfylla särskilda säkerhets- och rapporteringskrav. Vi kan granska avtal, teknisk arkitektur och säkerhetsrutiner för sådana leverantörer.
Hur startar vi arbetet med efterlevnad steg för steg?
Vi rekommenderar en process som börjar med identifiering och registrering, följt av gap‑analys, riskbedömning, prioritering av åtgärder och införande av tekniska och organisatoriska kontroller. Vi levererar en praktisk projektplan och stöd under hela genomförandet.
Vilket stöd finns för incidenthantering och återställning?
Stöd omfattar etablering av incidenthanteringsplaner, övningar, CSIRT‑samarbete och återställningsrutiner. Vi utvecklar och testar era processer så att ni snabbt kan upptäcka, hantera och rapportera störningar med minimala konsekvenser för verksamheten.
Hur kan vi bevisa efterlevnad vid tillsynsbesök eller granskning?
Dokumentation av policyer, riskbedömningar, tekniska kontroller, utbildningar och incidentrapporter är avgörande. Vi hjälper till att skapa tydliga dokumentationsrutiner och lager av bevis som visar att ni följer kraven.