Vilka organisationer omfattas?

NIS2 använder en kombination av sektortillhörighet och storlek för att avgöra vilka organisationer som omfattas. Den grovt förenklade tumregeln: medelstora företag och uppåt (50+ anställda eller 10+ miljoner euro i omsättning) inom de definierade sektorerna.

Direktivet skiljer mellan två kategorier:

Storleksundantagen

Även organisationer under storlekströsklarna kan omfattas om de bedöms som kritiska av tillsynsmyndigheten. DNS-leverantörer, TLD-register, leverantörer av betrodda tjänster och operatörer av allmänna elektroniska kommunikationsnät omfattas oavsett storlek. Det innebär att ett litet svenskt företag som driver kritisk DNS-infrastruktur har samma skyldigheter som en storbank.

De tio kärnkraven i NIS2

NIS2 artikel 21 specificerar minimikraven för riskhanteringsåtgärder. Här är de konkretiserade för en svensk kontext:

1. Riskanalys och informationssäkerhetspolicy

Ni behöver en dokumenterad, levande riskanalys — inte en PowerPoint som görs en gång om året. Den ska täcka alla system och tjänster som levererar eller stödjer de tjänster som gör er till en NIS2-entitet. En ISO/IEC 27001-baserad metodik fungerar väl här och ger dubbelnytta om ni redan är certifierade eller planerar certifiering.

2. Incidenthantering

Här är kraven skarpa. Vid en signifikant incident ska:

• Tidigt varning ges till CSIRT (i Sverige: CERT-SE vid MSB) inom 24 timmar
• Incidentanmälan med initial bedömning inom 72 timmar
• Slutrapport inom en månad efter incidentens avslutande

Det kräver inte bara en process på papper utan en operativ förmåga att detektera, klassificera och rapportera dygnet runt. Managerad SOC-tjänst

3. Driftskontinuitet och krishantering

Backuphantering, katastrofåterställning (DR) och krishanteringsplaner måste finnas, testas regelbundet och dokumenteras. Vi rekommenderar minst två tester per år — ett planerat och ett oannonserat.

4. Leveranskedjesäkerhet

Detta är det krav som överraskar flest. Ni är ansvariga för att bedöma och hantera cybersäkerhetsrisker i er leveranskedja. Det gäller molnleverantörer, SaaS-tjänster, IaaS-plattformar och outsourcade IT-funktioner. Varje kritisk leverantör behöver en riskbedömning, och kontraktskrav på säkerhetsåtgärder bör finnas.

5. Säkerhet vid anskaffning och utveckling

Alla system som anskaffas eller utvecklas ska genomgå säkerhetsbedömning. Det inkluderar sårbarhetsbedömning och hantering av avslöjade sårbarheter.

6. Utbildning i cybersäkerhet

NIS2 kräver explicit att ledningen genomgår cybersäkerhetsutbildning. Det räcker inte med en årlig e-learning för medarbetarna — styrelsen och VD ska förstå riskerna på en nivå som möjliggör informerade beslut.

7. Kryptografi och kryptering

Policyer och rutiner för användning av kryptografi, inklusive kryptering där det är lämpligt. I praktiken: kryptering av data i vila och under transport, nyckelhanteringspolicyer och regelbunden översyn av kryptografiska standarder.

8. Åtkomstkontroll och tillgångshantering

HR-säkerhet, åtkomstkontrollpolicyer och hantering av digitala tillgångar. Principen om minsta privilegium ska vara implementerad, inte bara dokumenterad.

9. Multifaktorautentisering

NIS2 nämner explicit MFA och kontinuerlig autentisering. Single-factor lösenord räcker inte för system som stödjer kritiska tjänster.

10. Säker kommunikation

Säkrade röst-, video- och textkommunikationssystem, inklusive i nödsituationer. Det innebär att er krishanteringskanal inte kan vara en okrypterad gruppchatt.

Ledningsansvar: det som gör NIS2 annorlunda

Den mest transformativa aspekten av NIS2 är inte de tekniska kraven — det är det personliga ledningsansvaret. Artikel 20 slår fast att ledningsorgan (styrelse, VD, verkställande ledning) ska:

1. Godkänna riskhanteringsåtgärderna

2. Övervaka implementeringen

3. Genomgå cybersäkerhetsutbildning

4. Kunna hållas ansvariga vid bristande efterlevnad

I praktiken innebär detta att en styrelseledamot inte kan hävda okunskap. Tillsynsmyndigheten kan, vid allvarliga brister, tillfälligt förbjuda ledningspersoner från att utöva sina roller. Det är en dramatisk förändring jämfört med hur cybersäkerhetsansvar traditionellt hanterats i Sverige.

Praktisk implementeringsplan i sex steg

Baserat på vad vi på Opsio har sett fungera hos svenska medelstora och stora organisationer:

Steg 1: Avgör om ni omfattas (vecka 1–2)

Kartlägg er sektortillhörighet och storlek. Kontakta relevant tillsynsmyndighet vid osäkerhet.

Steg 2: Gap-analys (vecka 3–6)

Mappa ert nuläge mot de tio kärnkraven. ISO 27001-certifierade organisationer har typiskt 60–70 % täckning redan — men leveranskedjesäkerhet och incidentrapporteringstider är nästan alltid luckor. Molnsäkerhetsanalys

Steg 3: Ledningsförankring (vecka 4–5)

Genomför en workshop med styrelse och VD. Presentera gap-analysen, sanktionsramverket och det personliga ledningsansvaret. Vår erfarenhet: detta är det effektivaste sättet att säkra budget.

Steg 4: Implementeringsplan (vecka 6–8)

Prioritera efter risk och gap. Incidenthanteringsförmåga och leveranskedjesäkerhet bör typiskt komma först.

Steg 5: Operativ implementering (vecka 9–26)

Rulla ut tekniska kontroller, upprätta rapporteringsflöden mot CERT-SE, genomför ledningsutbildning, uppdatera leverantörskontrakt. Managerade molntjänster

Steg 6: Verifiering och kontinuerlig förbättring (löpande)

Genomför interna revisioner, testa incidentrapportering end-to-end, uppdatera riskanalysen kvartalsvis.

NIS2 och molninfrastruktur: specifika överväganden

Organisationer som kör arbetsbelastningar i AWS (eu-north-1 Stockholm), Azure (Sweden Central) eller GCP står inför specifika NIS2-frågor:

Delat ansvarsmodell: Molnleverantören ansvarar för säkerhet av molnet, ni ansvarar för säkerhet i molnet. NIS2 bryr sig om er tjänst, inte er leverantörs infrastruktur — men ni måste kunna påvisa att ni bedömt leverantörens säkerhetsförmåga (leveranskedjesäkerhet).

Loggning och övervakning: NIS2:s incidentrapporteringskrav förutsätter att ni kan detektera incidenter. Det kräver centraliserad loggning, SIEM-kapacitet och 24/7-övervakning — exakt det som ett managerat SOC/NOC levererar. Managerad DevOps och övervakning

Dataresidency: Även om NIS2 inte explicit kräver att data lagras i Sverige, underlättar det enormt att ha primär infrastruktur i eu-north-1 eller Sweden Central — både för rapporteringssyfte och för att undvika korsning med Schrems II-problematik kring tredjelandsöverföringar.

FinOps-kopplingen: Överdimensionerad infrastruktur "för säkerhets skull" är vanlig efter compliance-projekt. En genomtänkt FinOps-strategi säkerställer att ni inte spenderar 40 % mer än nödvändigt på infrastruktur som drivs av compliance-rädsla snarare än faktisk risk. Cloud FinOps

NIS2 kontra GDPR: kompletterande men olika

En vanlig fråga vi får: "Vi följer redan GDPR — räcker inte det?"

Kort svar: nej.

Organisationer behöver efterleva båda. En dataintrångsincident kan utlösa rapporteringsskyldighet under både GDPR (till IMY) och NIS2 (till CERT-SE via relevant tillsynsmyndighet). Processerna bör samordnas men de är juridiskt separata.

Vanliga frågor

Vilka svenska företag omfattas av NIS2?

NIS2 omfattar organisationer inom 18 definierade sektorer som uppfyller storlekskraven — generellt medelstora företag och uppåt (50+ anställda eller 10+ miljoner euro i omsättning). Även mindre företag kan omfattas om de klassas som kritiska av myndigheterna. Sektorer inkluderar energi, transport, hälsa, finans, digital infrastruktur, vattenförsörjning och offentlig förvaltning.

Vad händer om mitt företag inte följer NIS2?

Sanktionerna är kännbara. Väsentliga entiteter riskerar böter på upp till 10 miljoner euro eller 2 % av global årsomsättning (det högsta beloppet gäller). Viktiga entiteter riskerar upp till 7 miljoner euro eller 1,4 %. Utöver böterna kan tillsynsmyndigheten kräva korrigerande åtgärder och i extremfall tillfälligt förbjuda ledningspersoner från att utöva sina roller.

Hur skiljer sig NIS2 från det ursprungliga NIS-direktivet?

NIS2 utvidgar antalet sektorer från 7 till 18, inför storleksbaserade trösklar istället för nationell utnämning, skärper incidentrapporteringen till 24/72 timmar, inför personligt ledningsansvar och höjer sanktionsnivåerna dramatiskt. Kraven på riskhantering och leveranskedjesäkerhet är också betydligt mer detaljerade.

Vilken myndighet ansvarar för NIS2-tillsyn i Sverige?

MSB (Myndigheten för samhällsskydd och beredskap) har en central samordningsroll, men sektorspecifika tillsynsmyndigheter ansvarar för respektive sektor — exempelvis Energimyndigheten för energisektorn och Finansinspektionen för finanssektorn. Sammanlagt sex myndigheter delar på tillsynsansvaret.

Kan en managerad tjänsteleverantör hjälpa med NIS2-efterlevnad?

Ja, en MSP med SOC/NOC-kapacitet kan hantera kontinuerlig övervakning, incidentdetektering, logghantering och rapporteringsflöden — alla centrala NIS2-krav. Ansvaret kvarstår dock hos er organisation. En MSP blir ett verktyg för att uppfylla kraven, inte en ansvarsöverföring. Managerade molntjänster

For hands-on delivery in India, see zero-downtime azure managed.

For hands-on delivery in India, see zero-downtime drift.