Vem omfattas av NIS2?

Väsentliga och viktiga entiteter

NIS2 delar in organisationer i två kategorier med olika tillsynsnivåer:

Viktigt undantag: Organisationer som bedöms som kritiska kan omfattas oavsett storlek. En liten leverantör av DNS-tjänster eller en regional sjukvårdsaktör kan därmed träffas trots att de inte når storlekströskeln.

Svenska sektorer som berörs

De 18 sektorer som NIS2 omfattar inkluderar:

• Energi — el, fjärrvärme, olja, gas, vätgas
• Transport — flyg, järnväg, sjöfart, vägtransport
• Hälso- och sjukvård — inklusive läkemedelstillverkning och medicintekniska produkter
• Dricksvatten och avloppsvatten
• Digital infrastruktur — datacenter, CDN, DNS, molntjänster, tillhandahållare av betrodda tjänster
• Offentlig förvaltning — statlig och regional nivå
• Rymd — markbaserad infrastruktur
• Post- och budtjänster
• Avfallshantering
• Tillverkning — särskilt medicinteknisk, elektronisk, optisk och transportutrustning
• Livsmedelsproduktion och -distribution
• Digitala tjänster — sökmotorer, sociala plattformar, marknadsplatser

Kärnkraven i NIS2

Riskhantering och säkerhetsåtgärder

Artikel 21 i NIS2 specificerar minimikrav för cybersäkerhetsåtgärder. Det handlar inte om att kryssa av en checklista — direktivet kräver ett riskbaserat förhållningssätt som är proportionerligt mot organisationens exponering. De obligatoriska åtgärderna inkluderar:

1. Riskanalys och informationssäkerhetspolicyer — dokumenterade, uppdaterade och förankrade i ledningen

2. Incidenthantering — processer för att upptäcka, analysera, begränsa och återhämta sig från incidenter

3. Driftskontinuitet och krishantering — inklusive backup-rutiner och katastrofåterställning

4. Leverantörskedjans säkerhet — riskbedömning av direkta leverantörer och tjänsteleverantörer

5. Säkerhet vid anskaffning och utveckling — inklusive hantering av sårbarheter

6. Kryptering — där det är lämpligt, inklusive end-to-end-kryptering

7. Åtkomstkontroll och tillgångshantering — zero trust-principer, flerfaktorsautentisering

8. Utbildning — cybersäkerhetsmedvetenhet på alla nivåer, inklusive styrelse och ledning

Från Opsios SOC i Karlstad ser vi dagligen hur organisationer underprioriterar punkt 4 — leverantörskedjans säkerhet. I praktiken innebär NIS2 att ni behöver ställa konkreta säkerhetskrav i avtal med era molnleverantörer, SaaS-partners och it-driftsleverantörer. Det räcker inte att lita på att leverantören "har koll" — ni behöver verifiera det.

Managerad molnsäkerhet med 24/7 SOC

Incidentrapportering — tre steg, strikta tidsfrister

NIS2 inför en stegvis rapporteringsmodell som är betydligt mer krävande än NIS1:

Jämför detta med GDPR:s 72-timmarsregel för personuppgiftsincidenter: NIS2 kräver en första reaktion inom 24 timmar. Det ställer hårda krav på detektionsförmåga och incidentprocesser — något som är svårt att uppnå utan kontinuerlig övervakning.

Managerad SOC/NOC med 24/7-övervakning

Ledningens personliga ansvar

Den kanske mest betydelsefulla förändringen jämfört med NIS1: NIS2 stipulerar uttryckligen att ledningen (styrelse och verkställande ledning) ansvarar för att godkänna och övervaka cybersäkerhetsåtgärder. Vid bristande efterlevnad kan enskilda ledningspersoner drabbas av sanktioner — inte bara organisationen.

I praktiken innebär detta att:

• Styrelsen måste utbildas i cybersäkerhet (artikel 20)
• Cybersäkerhetsrisker ska vara en stående punkt på styrelsens agenda
• Beslut om riskacceptans ska dokumenteras och kunna granskas av tillsynsmyndigheten

NIS2 i svensk kontext

Från direktiv till svensk lag

NIS2 är ett EU-direktiv, vilket innebär att det måste omvandlas till nationell lagstiftning. Sverige har arbetat med implementeringen genom en ny cybersäkerhetslag som ersätter den tidigare NIS-lagen (2018:1174). MSB har fått en central roll som samordnande tillsynsmyndighet, medan sektorsspecifika tillsynsmyndigheter (Energimyndigheten, Transportstyrelsen, IVO med flera) ansvarar för sina respektive områden.

Några specifikt svenska aspekter att beakta:

• MSB:s CSIRT-funktion (CERT-SE) är mottagare av incidentrapporter
• Integritetsskyddsmyndigheten (IMY) hanterar parallella GDPR-frågor vid dataläckor
• Säkerhetspolisen kan bli involverad vid samhällskritiska incidenter
• Datalagringskrav — svenska regler kring var data får lagras gäller parallellt, särskilt för offentlig sektor

Samspelet med GDPR och andra regelverk

NIS2 existerar inte i ett vakuum. Organisationer behöver förstå hur det samverkar med:

• GDPR — vid personuppgiftsincidenter kan båda regelverken utlösa rapporteringsskyldighet, till olika myndigheter med olika tidsfrister
• DORA (Digital Operational Resilience Act) — för finanssektorn, med mer specifika krav som går utöver NIS2
• CER-direktivet (Critical Entities Resilience) — fysisk säkerhet för kritiska entiteter, kompletterar NIS2:s cyberfokus
• ISO/IEC 27001 — en certifiering som underlättar NIS2-efterlevnad men inte automatiskt uppfyller alla krav

Praktisk handlingsplan: fem steg mot NIS2-efterlevnad

Baserat på vad vi på Opsio ser i uppdrag med kunder inom NIS2-sektorerna rekommenderar vi följande prioriteringsordning:

1. Kartlägg om ni omfattas

Gör en formell bedömning baserad på sektor, storlek och kritikalitet. Dokumentera slutsatsen — tillsynsmyndigheten kan begära den.

2. Genomför en gap-analys

Jämför er nuvarande säkerhetsförmåga mot NIS2:s krav i artikel 21. Många organisationer med ISO 27001-certifiering har en bra grund, men saknar specifika förmågor kring leverantörskedjans säkerhet och 24-timmarsrapportering.

3. Förankra i ledningen

Presentera NIS2 för styrelsen — inte som en it-fråga utan som en affärsrisk och ett personligt ansvar. Dokumentera styrelsens utbildning och beslut.

4. Bygg (eller köp) operativ förmåga

Kontinuerlig övervakning, incidenthantering och rapporteringsprocesser kräver antingen en intern SOC eller en managerad tjänsteleverantör som kan agera dygnet runt. En 24-timmars rapporteringsfrist innebär att en incident klockan 02:00 på en lördagnatt måste fångas och rapporteras före klockan 02:00 på söndagen.

Managerad DevOps och driftsövervakning

5. Granska leverantörskedjan

Identifiera era kritiska leverantörer, ställ NIS2-relevanta krav i avtal och inför processer för löpande uppföljning. Molntjänsteleverantörer bör kunna visa hur de stöder er efterlevnad — exempelvis genom delade ansvarsmodeller (shared responsibility) och transparens kring incidenthantering.

Cloud FinOps och leverantörsstyrning

Vad vi ser i praktiken — Opsios perspektiv

Från vårt SOC/NOC, som hanterar arbetsbelastningar i eu-north-1 (Stockholm) och Sweden Central dygnet runt, ser vi ett tydligt mönster bland organisationer som arbetar mot NIS2-efterlevnad:

Det som fungerar: Organisationer som behandlar NIS2 som ett ledningsprojekt — inte ett it-projekt — når mognad snabbare. De som redan har en incident-response-plan och testar den regelbundet (tabletop-övningar, red team-tester) har kortast väg till efterlevnad.

Det som havererar: Organisationer som försöker lösa NIS2 enbart med verktyg utan process. Ett SIEM-system utan definierade playbooks och bemannad respons är som ett brandlarm utan brandkår.

Den vanligaste blinda fläcken: Leverantörskedjan. De flesta organisationer vi granskar saknar kontraktuella säkerhetskrav mot sina molnleverantörer och har ingen process för att verifiera leverantörernas säkerhetsförmåga.

Vanliga frågor

Vilka svenska företag omfattas av NIS2?

NIS2 träffar organisationer inom 18 sektorer, uppdelade i "väsentliga" och "viktiga" entiteter. Medelstora företag (50+ anställda eller 10+ miljoner euro i omsättning) inom sektorer som energi, transport, hälso- och sjukvård, dricksvatten, digital infrastruktur och offentlig förvaltning omfattas. Även mindre företag kan träffas om de bedöms som kritiska av sin sektors tillsynsmyndighet.

Vad är skillnaden mellan NIS1 och NIS2?

NIS2 utökar tillämpningsområdet från 7 till 18 sektorer, inför enhetliga storlekskriterier istället för nationella utpekanden, skärper incidentrapporteringskraven till 24 timmar för tidig varning, ställer krav på ledningens personliga ansvar och höjer sanktionsnivåerna markant. I praktiken är det en helt ny reglering som delar namn med sin föregångare.

Vilka sanktioner riskerar företag som inte uppfyller NIS2?

Väsentliga entiteter riskerar böter på upp till 10 miljoner euro eller 2 % av global årsomsättning — det som är högst. Viktiga entiteter riskerar upp till 7 miljoner euro eller 1,4 % av omsättningen. Utöver detta kan ledningspersoner drabbas av personliga sanktioner, och tillsynsmyndigheten kan i extrema fall tillfälligt förbjuda en person att utöva ledningsfunktion.

Hur förhåller sig NIS2 till GDPR?

NIS2 och GDPR kompletterar varandra men har olika fokus. GDPR skyddar personuppgifter, medan NIS2 handlar om nätverks- och informationssäkerhet i bredare bemärkelse. En dataläcka kan utlösa rapporteringsskyldighet enligt båda regelverken — till IMY enligt GDPR och till CERT-SE/MSB enligt NIS2 — med olika tidsfrister och informationskrav.

Räcker ISO 27001 för att uppfylla NIS2?

ISO 27001 ger en stark grund, men täcker inte alla NIS2-specifika krav. Direktivet ställer exempelvis explicita krav på 24-timmarsrapportering, leverantörskedjans säkerhet och ledningens personliga ansvar som går utöver vad en ISO 27001-certifiering garanterar. Se certifieringen som en accelerator, inte en slutlösning.