NIS2 tillsynsmyndigheter i Sverige: MSB, PTS och sektormyndigheter
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
# NIS2 tillsynsmyndigheter i Sverige: MSB, PTS och sektormyndigheter
Sveriges NIS2-implementering fördelas mellan en samordnande myndighet och ett flertal sektorsspecifika tillsynsorgan. Enligt (MSB, 2025) har regeringen utsett MSB till nationell kontaktpunkt och samordnande myndighet för NIS2, medan sektorstillsynen delas mellan åtta myndigheter. Det skapar en komplex tillsynsstruktur som organisationer måste förstå.
Den här guiden kartlägger hela tillsynslandskapet: vilka myndigheter som ansvarar för vilka sektorer, hur tillsynen fungerar i praktiken och vad du kan förvänta dig vid en inspektion.
NIS2-direktivet, komplett guide
> Key Takeaways
>
> - MSB är nationell kontaktpunkt och samordnar NIS2-tillsynen i Sverige
> - Åtta sektormyndigheter ansvarar för tillsyn inom sina respektive områden
> - Väsentliga entiteter utsätts för proaktiv tillsyn med oanmälda inspektioner (EU NIS2-direktivet, Artikel 32)
> - Tillsynsmyndigheterna kan utfärda bindande instruktioner och kräva revisioner
Vilken roll har MSB i NIS2-tillsynen?
MSB (Myndigheten för samhällsskydd och beredskap) har tre centrala funktioner under NIS2. Enligt (MSB:s årsredovisning, 2024) har myndigheten tilldelats resurser för att bygga upp NIS2-kapacitet sedan 2023. MSB är den myndighet som håller ihop helheten.
Nationell kontaktpunkt
MSB är Sveriges kontaktpunkt gentemot EU:s samarbetsgrupp och ENISA. Det innebär att internationell informationsdelning och samordning vid gränsöverskridande incidenter kanaliseras genom MSB.
CSIRT-funktion
MSB driver CERT-SE, Sveriges nationella CSIRT (Computer Security Incident Response Team). Under NIS2 ansvarar CERT-SE för att ta emot incidentrapporter, ge tekniskt stöd vid incidenter och dela hotinformation med berörda organisationer. Enligt (CERT-SE, 2024) hanterade teamet över 2 400 incidentärenden under 2023.
Samordning av tillsyn
MSB samordnar de sektorsspecifika tillsynsmyndigheterna. Det handlar om att säkerställa enhetlig tillämpning, gemensamma bedömningskriterier och informationsdelning mellan myndigheterna. Hur djupt den samordningen går beror på den slutgiltiga svenska lagstiftningen.
Vilka sektormyndigheter ansvarar för NIS2-tillsyn?
Varje NIS2-sektor i Sverige tilldelas en specifik tillsynsmyndighet. Modellen speglar hur Sverige redan organiserar tillsyn inom andra regelverk. Enligt (Regeringskansliet, 2025) har fördelningen strukturerats för att dra nytta av befintlig sektorsexpertis.
PTS, Post- och telestyrelsen
Sektorer: Digital infrastruktur, förvaltning av IKT-tjänster (B2B), elektroniska kommunikationsnätverk och kommunikationstjänster.
PTS har längst erfarenhet av NIS-tillsyn i Sverige. Myndigheten ansvarade redan under NIS1 för tillsyn av digitala tjänsteleverantörer. Enligt (PTS, 2024) har myndigheten under NIS1 genomfört tillsyn av DNS-leverantörer, molntjänsteleverantörer och online-marknadsplatser. Under NIS2 utvidgas uppdraget till att inkludera datacenter, CDN-leverantörer och managerade tjänsteleverantörer.
Energimarknadsinspektionen (Ei)
Sektorer: El, fjärrvärme, olja, gas och vätgas.
Ei reglerar redan energimarknaden och har etablerad tillsynskompetens. NIS2 utökar myndighetens mandat till att inkludera cybersäkerhet hos energiproducenter, nätoperatörer och handelsplatser.
Transportstyrelsen
Sektorer: Luftfart, järnväg, sjöfart och vägtransport.
Transportstyrelsen ansvarar för säkerhetstillsyn inom alla transportsektorer och har befintliga relationer med operatörer. Flygplatser, tågoperatörer, hamnmyndigheter och större transportföretag faller under denna tillsyn.
Finansinspektionen (FI)
Sektorer: Bankverksamhet och finansmarknadsinfrastruktur.
FI har redan strikta säkerhetskrav genom DORA-förordningen (Digital Operational Resilience Act) och befintliga tillsynsregler. NIS2 och DORA överlappar delvis, och FI förväntas koordinera de båda regelverken.
IVO, Inspektionen för vård och omsorg
Sektorer: Hälso- och sjukvård.
IVO ansvarar för kvalitetstillsyn inom vård och omsorg. NIS2 adderar cybersäkerhetskrav till deras mandat, inklusive tillsyn av sjukhus, laboratorier och läkemedelskedjor.
Livsmedelsverket
Sektorer: Livsmedelsproduktion, bearbetning och distribution.
Livsmedelsverket övervakar redan livsmedelssäkerhet. Under NIS2 tillkommer krav på cybersäkerhet i produktionskedjor, lagerhållning och distribution.
Kemikalieinspektionen
Sektorer: Tillverkning, produktion och distribution av kemikalier.
Länsstyrelser och kommunal tillsyn
Sektorer: Dricksvatten och avloppsvatten.
Tillsynen av VA-organisationer samordnas regionalt. Storlekströskeln gör att främst de större VA-bolagen omfattas.
[PERSONAL EXPERIENCE] Vår erfarenhet från NIS1-tillsynen visar att organisationer som tidigt etablerar dialog med sin tillsynsmyndighet får bättre vägledning och färre överraskningar. Myndigheterna föredrar proaktiva organisationer framför dem som väntar passivt.
Vill ni ha expertstöd med nis2 tillsynsmyndigheter i sverige?
Våra molnarkitekter hjälper er med nis2 tillsynsmyndigheter i sverige — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
Hur fungerar tillsynen i praktiken?
NIS2 definierar två tillsynsmodeller med olika befogenheter. Enligt (EU NIS2-direktivet, Artikel 32, 2022) har tillsynsmyndigheter för väsentliga entiteter betydligt bredare befogenheter än för viktiga entiteter.
Tillsynsverktyg för väsentliga entiteter (Artikel 32)
Tillsynsmyndigheterna kan:
- Genomföra inspektioner på plats, inklusive oanmälda besök
- Kräva regelbundna säkerhetsrevisioner utförda av en oberoende part
- Begära dokumentation: policyer, riskanalyser, incidentloggar och revisionsrapporter
- Utföra säkerhetsskanningar av organisationens system
- Utfärda bindande instruktioner med tidsfrister
- Besluta om administrativa böter utan att en incident har inträffat
- Tillfälligt förbjuda individer i ledande ställning från att utöva ledningsfunktioner
Tillsynsverktyg för viktiga entiteter (Artikel 33)
Tillsynsmyndigheterna kan:
- Genomföra inspektioner efter indikation på bristande efterlevnad
- Kräva dokumentation vid begäran
- Utfärda varningar och instruktioner
- Besluta om administrativa böter
Skillnaden är tydlig. Väsentliga entiteter lever under kontinuerlig granskning. Viktiga entiteter granskas primärt vid misstanke.
Skillnaden mellan väsentlig och viktig entitet
Vad händer vid en inspektion?
En NIS2-inspektion följer typiskt en strukturerad process. Det finns ännu inga publicerade svenska inspektionsmallar, men baserat på NIS1-erfarenheter och direktivets text kan vi skissera vad organisationer bör förvänta sig.
Förberedelsefasen
Tillsynsmyndigheten kan avisera inspektionen i förväg eller genomföra den oanmält (för väsentliga entiteter). Vid aviserade inspektioner begär myndigheten vanligtvis dokumentation i förväg: riskanalyser, policyer, incidentloggar och organisationsscheman.
Inspektionen
Inspektören granskar typiskt:
- Styrning och organisation: Finns det formella beslut om cybersäkerhetsåtgärder? Har styrelsen godkänt dem?
- Tekniska kontroller: Fungerar brandväggar, åtkomstkontroll, kryptering och loggning i praktiken?
- Incidenthantering: Finns en testad incidenthanteringsplan? Kan organisationen rapportera inom 24 timmar?
- Leverantörshantering: Hur bedöms och övervakas tredjepartsrisker?
- Personalutbildning: Har personal och ledning genomgått cybersäkerhetsutbildning?
Uppföljning
Inspektören dokumenterar fynd och kan utfärda förelägganden. Organisationen ges typiskt en tidsfrist för åtgärder. Vid allvarliga brister kan böter utfärdas direkt.
Hur rapporterar du incidenter till rätt myndighet?
NIS2 kräver incidentrapportering i tre steg. Enligt (EU NIS2-direktivet, Artikel 23, 2022) ska organisationer rapportera till sin sektorsspecifika tillsynsmyndighet och till CERT-SE.
Rapporteringstidslinjen
- Tidig varning inom 24 timmar från upptäckt. Ska ange om incidenten misstänks vara orsakad av olagliga handlingar.
- Incidentanmälan inom 72 timmar. Ska innehålla en initial bedömning av incidentens allvarlighetsgrad och påverkan.
- Slutrapport inom en månad. Ska innehålla detaljerad beskrivning av incidenten, grundorsak, vidtagna åtgärder och gränsöverskridande påverkan.
Vem rapporterar du till?
Rapportera till din sektorsspecifika tillsynsmyndighet. Om du är tveksam om vilken myndighet som gäller, kontakta CERT-SE som kan vidarebefordra rapporten. Dubbelrapportering (till både sektormyndighet och CERT-SE) rekommenderas i de tidiga faserna av implementeringen.
[UNIQUE INSIGHT] Ett underskattat problem i den svenska NIS2-strukturen är gränsfall mellan sektormyndigheter. En organisation som bedriver både energiproduktion och digital infrastruktur kan i teorin omfattas av både Ei och PTS. Den samordnande rollen MSB har blir kritisk för att undvika dubbeltillsyn och motstridiga krav.
Vanliga frågor om NIS2-tillsyn i Sverige
Kan en organisation ha flera tillsynsmyndigheter?
Ja, om verksamheten spänner över flera NIS2-sektorer. Ett företag som tillhandahåller både molntjänster (PTS) och hälso-IT (IVO) kan teoretiskt övervakas av båda myndigheterna. MSB:s samordningsroll ska i teorin hantera sådana situationer, men praxis återstår att se.
När börjar tillsynen konkret?
Tillsynsmyndigheterna behöver tid att bygga kapacitet. Enligt (MSB, 2025) pågår rekrytering och kompetensuppbyggnad. Proaktiv tillsyn av väsentliga entiteter förväntas inledas kort efter att den svenska lagen träder i kraft. Viktiga entiteter kan förvänta sig tillsyn vid incidenter eller indikatorer redan från dag ett.
Hur förbereder vi oss för en inspektion?
Säkerställ att följande finns dokumenterat och tillgängligt: NIS2-gapanalys, riskanalys, säkerhetspolicyer, incidenthanteringsplan, utbildningsprotokoll, leverantörsbedömningar och styrelseprotokoll som visar cybersäkerhetsbeslut. Praktisk testning av incidenthanteringsplanen stärker bevisläget avsevärt.
Compliance-analys och riskbedömning
Kan tillsynsmyndigheten kräva att vi byter leverantör?
NIS2 ger tillsynsmyndigheterna breda befogenheter, inklusive att utfärda bindande instruktioner. Om en leverantör bedöms utgöra en säkerhetsrisk kan myndigheten kräva åtgärder, vilket i extremfall kan innebära leverantörsbyte. Det understryker vikten av robust leverantörshantering.
<a href="/sv/nis2-directive/" title="NIS2 Leverantörskedja">NIS2 leverantörskedja</a>
Finns det överklagandemöjligheter?
Ja, tillsynsmyndigheternas beslut kan överklagas enligt svenska förvaltningsprocessrättsliga regler. Sanktionsbeslut, förelägganden och andra bindande instruktioner kan prövas av förvaltningsdomstol.
Slutsats: Förstå din tillsynsmyndighet
NIS2-tillsynen i Sverige är sektorsbaserad men samordnad genom MSB. Organisationer måste identifiera vilken myndighet som ansvarar för deras sektor och förstå den specifika tillsynsmodellen som gäller.
Proaktiva organisationer som tidigt etablerar kontakt med sin tillsynsmyndighet och bygger en dokumenterad säkerhetsstruktur har en klar fördel. Tillsynsmyndigheterna vill se aktivt arbete, inte perfektion. Och den organisationen som kan visa att styrelsen engagerat sig, att riskanalysen är genomförd och att kontrollerna fungerar i praktiken har goda förutsättningar.
Identifiera din sektormyndighet, bygg din dokumentation och var redo. NIS2-tillsynen i Sverige tar form, och det gäller att vara förberedd.
NIS2-direktivet, komplett guide
For hands-on delivery in India, see end-to-end disaster recovery.
For hands-on delivery in India, see end-to-end konsult.
Relaterade artiklar
Om författaren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
