Är NIS2 cybersäkerhetslagen?
Står er organisation inför den nya digitala säkerhetsregleringen? Den kan förändra er verksamhet. Undrar ni vad som egentligen gäller?
Vi vet att tydlighet är viktig när det gäller ny lagstiftning. Ja, NIS2 är cybersäkerhetslagen i Sverige. Det är det europeiska direktivet som Sverige har implementerat genom en ny lag.
NIS2-direktivet antogs av EU i december 2022. Det är en uppdatering av det gamla regelverket från 2016. Nu är det implementerat i svensk rätt genom cybersäkerhetslagen och cybersäkerhetsförordningen, som regeringen beslutade om den 11 december 2025.
Lagen började gälla den 15 januari 2026. Det innebär en ny era för cybersäkerhet i Sverige. Detta innebär betydligt skärpta krav på riskhantering, incidentrapportering och ledningens ansvar.
Vi tror att många beslutsfattare behöver förstå vad lagen kräver. De måste också se hur den påverkar deras verksamhet. Regelverket gäller för organisationer inom 18 olika sektorer. Det påverkar fler företag och myndigheter än tidigare, vilket gör efterlevnad till en strategisk prioritet.
Viktiga Punkter
- NIS2 är EU-direktivet som Sverige har omvandlat till den nya cybersäkerhetslagen, giltig från 15 januari 2026
- Regeringen beslutade om cybersäkerhetslagen och cybersäkerhetsförordningen den 11 december 2025
- Den nya lagstiftningen ersätter det tidigare NIS-direktivet från 2018 med betydligt hårdare krav
- Regelverket omfattar nu 18 olika sektorer och påverkar fler organisationer än någonsin tidigare
- Skärpta krav ställs på riskhantering, incidentrapportering och ledningens personliga ansvar
- Efterlevnad kräver konkreta åtgärder och strategisk planering från er organisation
Vad är NIS2 och dess syfte?
NIS2 är en ny EU-lagstiftning som syftar till att öka säkerheten för informations- och it-system inom EU. Det bygger på det tidigare direktivet men har skarpare krav och bredare tillämpning.
Informationsteknologi har blivit viktigare för våra liv och samhället. Samtidigt har hoten mot dessa system ökat. Detta kräver starkare och mer enhetliga regler.
Historisk bakgrund till cybersäkerhet
Det första NIS-direktivet antogs 2016. Det var ett viktigt steg mot en gemensam säkerhetsnivå för informationssäkerhet i EU. Det visade behovet av samordning mot digitala hot.
Det digitala landskapet har förändrats mycket sedan 2016. Digitaliseringen har ökat i alla samhällssektorer. Cyberattacker har blivit vanligare och mer sofistikerade.
NIS-direktivets historia visar att det första direktivet inte räckte till. Rapporteringsmekanismer var dåliga, tillämpningsområdet var begränsat, och sanktioner var svaga. Detta ledde till ojämna implementeringar mellan länder.
NIS2-direktivet är EU:s svar på dessa utmaningar. Det har skarpare och mer detaljerade krav som täcker fler sektorer. Mer information om dessa krav finns på PwC:s NIS2-sida.
Förbättrade säkerhetsåtgärder
NIS2 innehåller omfattande säkerhetsåtgärder. Obligatoriska riskanalyser är en grundpelare. Organisationer måste kontinuerligt bedöma sina risker och dokumentera dem.
Tekniska säkerhetslösningar som kryptering och multifaktorautentisering är nu obligatoriska. Dessa åtgärder skyddar känslig data och säkerställer att endast auktoriserade användare får tillgång till kritiska system.
Kontinuitetsplanering är en annan viktig del. Vi måste kunna återställa verksamheten snabbt efter en incident. Detta kräver regelbundna säkerhetskopior och testade återställningsprocesser.
Det är också viktigt att företagsledningar aktivt deltar i och tar ansvar för cybersäkerhetsarbetet. Detta markerar ett skifte från att se cybersäkerhet som en teknisk till en strategisk fråga. Ledningen måste ha tillräcklig kompetens, avsätta resurser och godkänna säkerhetsstrategier.
- Obligatoriska riskanalyser och dokumentation
- Tekniska säkerhetslösningar som kryptering och MFA
- Kontinuitetsplanering och backup-system
- Aktivt ledningsansvar för cybersäkerhet
- Regelbundna säkerhetsutbildningar för personal
Påverkan på medlemsländerna
NIS2 påverkar medlemsländerna mycket. Det kräver harmonisering av cybersäkerhetsstandarder över hela EU. Sverige måste implementera liknande krav, tillsynsstrukturer och rapporteringsmekanismer som andra länder.
Detta skapar en mer enhetlig säkerhetsnivå som stärker hela unionens försvar mot cyberhot. Svenska företag som verkar på den europeiska marknaden möter likartade cybersäkerhetskrav oavsett var de är etablerade. Detta förenklar gränsöverskridande verksamhet och minskar risken för säkerhetsluckor.
För Sverige innebär EU-lagstiftningen både utmaningar och möjligheter. Utmaningarna inkluderar anpassningskostnader för organisationer som måste uppgradera sina säkerhetssystem. Många företag behöver investera i ny teknologi, utbildning och kompetens för att uppfylla de nya kraven.
Möjligheterna är dock betydande. Förbättrad cybersäkerhet minskar risken för kostsamma dataintrång och driftavbrott. Svenska företag som proaktivt implementerar NIS2-kraven kan stärka sin konkurrenskraft på den europeiska marknaden genom att visa att de tar säkerhet på allvar.
Samarbetet mellan medlemsländer förbättras också genom NIS2. Direktivet skapar tydligare mekanismer för informationsdelning om hot och incidenter mellan länder. Detta stärker den kollektiva förmågan att upptäcka, förebygga och hantera cyberhot som ofta är gränsöverskridande till sin natur.
Tillsynsmyndigheterna i olika länder får också mer likartade befogenheter och verktyg. Detta gör det enklare att samordna insatser och säkerställa att organisationer följer reglerna, oavsett var de har sitt huvudkontor. Sanktionsmöjligheterna vid bristande efterlevnad harmoniseras, vilket skapar starkare incitament för företag att ta cybersäkerhetskraven på allvar.
NIS2:s huvudsakliga krav
NIS2 ställer krav på organisationer att implementera specifika säkerhetsåtgärder. Detta bygger en stark cybersäkerhetskultur. Tre huvudområden ställs tydliga krav på verksamhetsutövare. Syftet är att skapa en enhetlig säkerhetsstandard i EU och ge vägledning i informationssäkerhetsarbetet.
Verksamhetsutövare måste identifiera om de omfattas av direktivet och anmäla sig. De måste också arbeta systematiskt med säkerhetsåtgärder, utbildning och processer. Slutligen ska de ha rutiner för att rapportera betydande incidenter.
Grundläggande säkerhetsåtgärder
De grundläggande säkerhetsåtgärderna omfattar både organisatoriska och tekniska aspekter. Ledningen måste ta ett aktivt ansvar för cybersäkerhetsarbetet. Medarbetare på alla nivåer behöver kompetens och verktyg.
Organisationer måste ha dokumenterade processer och policies. Detta inkluderar en tydlig ansvarsfördelning och regelbundna säkerhetsgenomgångar. Dokumentationen ska vara levande och uppdateras regelbundet.
- Brandväggar och intrångsdetekteringssystem som aktivt övervakar och skyddar nätverkstrafiken mot obehörig åtkomst och skadlig aktivitet
- Säker nätverkssegmentering som begränsar spridningen av eventuella intrång och isolerar kritiska system från mindre känsliga delar av nätverket
- Kryptering av känslig data både vid lagring och överföring för att skydda konfidentialitet och integritet
- Multifaktorautentisering för att säkerställa att endast behöriga användare får tillgång till kritiska system och information
- Säker systemutveckling med inbyggd säkerhet från design till förvaltning enligt etablerade ramverk och standarder
Utbildning av både ledning och personal är central. Ledningen måste ha tillräcklig kompetens för att fatta informerade beslut. Personalen behöver regelbunden träning i säkerhetsmedvetenhet och hur man identifierar och rapporterar säkerhetsincidenter.
Incidentrapportering
Rapporteringsskyldigheten under NIS2 har skärpts. Verksamhetsutövare måste rapportera betydande incidenter snabbt och noggrant. Detta kräver att organisationer har etablerade processer för att snabbt upptäcka och hantera säkerhetsincidenter.
Den tredelade rapporteringsprocessen är utformad för att balansera behovet av snabb information med kravet på noggrann analys:
- Initial indikation inom 24 timmar: När en betydande incident upptäcks måste en första varning skickas till tillsynsmyndigheten. Denna rapport behöver endast innehålla grundläggande information om att en incident har inträffat och vilken typ av händelse det rör sig om.
- Preliminär bedömning inom 72 timmar: En mer detaljerad rapport ska lämnas som beskriver incidentens typ, omfattning och påverkan på verksamheten. Här ska även eventuella indikationer på skadlig handling eller cyberattack redovisas tillsammans med de omedelbara åtgärder som vidtagits.
- Slutrapport inom en månad: En omfattande rapport ska dokumentera hela händelseförloppet, genomförda åtgärder, lärdomar och planerade förbättringar för att förhindra liknande incidenter i framtiden.
För att möta rapporteringsskyldigheten måste organisationer ha tydliga rutiner för incidenthantering. Detta inkluderar definierade roller och ansvar, kontaktvägar till tillsynsmyndigheten, samt mallar och system för att snabbt samla och rapportera nödvändig information. Vi rekommenderar att utbildningen anpassas efter olika roller och ansvarsnivåer i organisationen.
Riskhantering och kontinuitetsplanering
Riskhantering och kontinuitetsplanering är kärnan i NIS2:s förebyggande ansats. Fokus ligger på att identifiera och hantera cybersäkerhetsrisker innan de materialiseras. Regelbunden riskanalys hjälper företag att förstå sin exponering mot olika hot och prioritera säkerhetsinvesteringar där de gör mest nytta.
Riskanalysen ska omfatta både tekniska och organisatoriska aspekter av verksamheten. Detta inkluderar identifiering av kritiska tillgångar, bedömning av sannolikhet och konsekvens för olika hotscenarier, samt utvärdering av befintliga säkerhetsåtgärders effektivitet. Analysen måste dokumenteras och uppdateras regelbundet, särskilt när verksamheten förändras eller nya hot uppstår i omvärlden.
| Riskhanteringskomponent | Huvudsakligt syfte | Uppdateringsfrekvens |
|---|---|---|
| Tillgångsinventering | Identifiera och klassificera kritiska system och data | Kvartalsvis eller vid väsentliga förändringar |
| Hotbedömning | Analysera aktuella cyberhot relevanta för verksamheten | Månadsvis med djupanalys årligen |
| Sårbarhetsanalys | Identifiera tekniska och organisatoriska svagheter | Kontinuerlig skanning, formell rapport kvartalsvis |
| Riskbedömning | Prioritera risker baserat på sannolikhet och påverkan | Halvårsvis eller efter betydande incidenter |
Kontinuitetsplanering säkerställer att organisationen kan upprätthålla kritiska funktioner även vid allvarliga störningar. Vi arbetar med våra kunder för att utveckla robusta planer som täcker olika scenarion. Planerna måste innehålla tydliga rutiner för hantering av kriser och återställning av normal drift.
Backup-lösningar är en viktig del av kontinuitetsplaneringen. Organisationer måste ha regelbundna säkerhetskopior av kritiska data och system. Det är också viktigt att regelbundet testa återställningsprocessen.
Penetrationstester och sårbarhetsanalyser är proaktiva verktyg för att identifiera svagheter. Genom att simulera verkliga attackscenarier kan företag upptäcka tekniska brister och organisatoriska svagheter. Dessa tester bör genomföras regelbundet av kvalificerade säkerhetskonsulter.
Vilka organisationer omfattas av NIS2?
Det är viktigt för företag och organisationer i Sverige att veta vilka som berörs av den nya cybersäkerhetslagen. Omfattning NIS2 är bredare än tidigare, vilket innebär att tusentals organisationer måste följa strängare säkerhetskrav. Vi hjälper er att förstå om er verksamhet är en väsentlig verksamhetsutövare eller viktig verksamhetsutövare och vad det betyder för er kritisk infrastruktur.
De som omfattas av NIS2 kallas verksamhetsutövare och finns i 18 olika sektorer. Detta är en stor utökning jämfört med tidigare lagstiftning.
Kategorier av enheter
NIS2-direktivet delar in verksamheter i två kategorier: väsentliga verksamhetsutövare och viktiga verksamhetsutövare. Kategorin bestäms av sektorns betydelse för samhället. Detta är viktigt eftersom det påverkar tillsyn och eventuella sanktioner.
Väsentliga sektorer är de som kan få stor påverkan på samhället vid avbrott. Det inkluderar energi, transport, banker och hälso- och sjukvård. Dricksvatten, digital infrastruktur, offentlig förvaltning och rymd är också viktiga.
Viktiga sektorer är också viktiga men har mindre påverkan vid avbrott. Till denna kategori hör post, avfallshantering, kemikalier och livsmedelsproduktion. Tillverkningsindustri, digitala leverantörer och forskningsorganisationer är också inkluderade.
| Väsentliga sektorer | Viktiga sektorer | Tillsynsnivå |
|---|---|---|
| Energi, Transport, Banker | Post, Avfallshantering | Högre för väsentliga |
| Hälso- och sjukvård | Kemikalier, Livsmedel | Strängare kontroller |
| Dricksvatten, Digital infrastruktur | Tillverkningsindustri | Fler rapporteringskrav |
| Offentlig förvaltning, Rymd | Digitala leverantörer, Forskning | Olika sanktionsnivåer |
Den totala omfattning NIS2 omfattar nu 18 sektorer. Det innebär att nästan alla delar av kritisk infrastruktur i samhället berörs av nya krav. Varje organisation måste göra en noggrann bedömning för att förstå sina skyldigheter.
Skillnader mellan stora och små företag
Storleken på en organisation spelar en stor roll för att avgöra om den omfattas av cybersäkerhetslagen. Företag med 50 eller fler anställda eller en årsomsättning över 10 miljoner euro i någon av de 18 sektorerna omfattas automatiskt.
Det finns dock undantag från denna regel. Vissa kritiska aktörer måste följa reglerna oavsett storlek på grund av deras vikt för samhället. Detta gäller för exempelvis operatörer av kritisk infrastruktur inom energi- och transport.
Mikroföretag med färre än 50 anställda och lägre omsättning kan i vissa fall undantas från kraven. Men även mindre organisationer som arbetar med större aktörer bör förbereda sig för ökade krav.
Varje organisation måste göra en individuell bedömning. Vi stödjer er i denna analys för att ni ska förstå era skyldigheter och kunna planera era implementeringsinsatser effektivt.
Inställningar för offentliga tjänster
Den offentliga sektorn har särskilda bestämmelser för att skydda medborgardata och upprätthålla samhällsviktiga funktioner. De flesta statliga myndigheter, regioner och kommuner omfattas av cybersäkerhetslagen oavsett storlek. Detta är en stor skillnad jämfört med privata aktörer.
Sveriges beredskapsmyndigheter och säkerhetskritiska organisationer omfattas enligt cybersäkerhetsförordningen. Detta innebär att den offentliga sektorn står inför stora implementeringskrav för att uppfylla NIS2:s standarder.
Vi förstår att många offentliga organisationer har begränsade resurser för cybersäkerhet trots stort ansvar. Det är viktigt att dessa enheter prioriterar sina investeringar strategiskt och söker stöd från nationella myndigheter för att uppnå efterlevnad inom de uppsatta tidsfristerna.
Den offentliga sektorns omfattning under NIS2 understryker vikten av att skydda kritisk infrastruktur som medborgarna är beroende av. Detta inkluderar sjukvårdssystem, utbildningsplattformar och digitala myndighetstjänster.
NIS2:s konsekvenser för företag
NIS2-direktivet kommer att påverka företag i Sverige på många sätt. Det innebär att företag måste investera i cybersäkerhet. Detta är inte längre en frivillig åtgärd, utan en lagkrav.
Företag måste noggrant granska sin säkerhetsstruktur. De behöver identifiera områden där säkerheten behöver förbättras. Detta är en viktig del för att följa NIS2.
Kravet på cybersäkerhet blir hårdare för många företag. Vi vill ge er en realistisk bild av vad NIS2 innebär för er. Det är viktigt att förstå de ekonomiska och operativa konsekvenserna.
Investeringar i efterlevnad
Efterlevnadskostnader varierar beroende på företagets nuvarande säkerhetsnivå. För många innebär det stora investeringar. Kostnaden beror på verksamhetens komplexitet.
Kostnaderna inkluderar teknisk infrastruktur som säkerhetslösningar. Resurser behövs för att etablera säkerhetsarbete. Utbildning av personal är också viktig.
Organisationer behöver investera i konsultstöd. Detta inkluderar löpande kostnader för incidenthantering. Företag måste budgetera för dessa kostnader.
Strategiska fördelar genom stärkt säkerhet
Att förbättra cybersäkerheten ger betydande affärsvärde. Det minskar risken för cyberincidenter. Investeringar i digital säkerhet blir strategiska.
Stärkt förtroende från kunder och partners ger konkurrensfördelar. Organisationer som arbetar proaktivt med säkerhet ses som pålitliga samarbetspartners. Detta är viktigt i ett digitaliserat affärslandskap.
Bättre beredskap mot framtida hot skapas genom säkerhetsarbete. Compliance kan katalysera digital transformation. Effektivisering följer när säkerhetsprocesser integreras i driften.
| Förbättringsområde | Operativ nytta | Strategiskt värde |
|---|---|---|
| Incidenthantering | Snabbare återhämtning vid störningar | Minskade verksamhetsavbrott |
| Riskbedömning | Proaktiv identifiering av sårbarheter | Förebyggande kostnadsbesparingar |
| Säkerhetskultur | Medveten personal som agerar säkert | Stärkt organisatorisk motståndskraft |
| Leverantörshantering | Kontrollerad tredjepartsrisk | Säkrare leverantörskedjor |
Ekonomiska påföljder vid bristande regelefterlevnad
Att inte följa NIS2 innebär stora ekonomiska risker. Sanktionsavgifter kan bli mycket höga. Det är viktigt att följa reglerna för att undvika dessa avgifter.
Verksamhetsutövare kan få administrativa sanktionsavgifter på upp till 10 miljoner euro. Detta beroende på omsättning. Viktiga företag riskerar högre avgifter.
Att inte följa reglerna kan leda till reputationsskada. Detta påverkar affärsrelationer. Ökad risk för cyberattacker är också ett problem.
Personligt ansvar för företagsledningen kan bli ett problem. Vi rekommenderar att se NIS2 som en strategisk prioritet. Den långsiktiga kostnaden för bristande efterlevnad är mycket högre än de initiala kostnaderna.
Hur påverkar NIS2 leverantörskedjor?
NIS2-direktivet gör att organisationer inte kan se cybersäkerhet som enbart en intern angelägenhet. De måste inkludera hela leverantörskedjan. Detta är en stor förändring i hur man ser på ansvar och riskhantering.
Energiområdet visar tydligt denna förändring. Tidigare fokuserades bara på företag som producerar och levererar energi. Nu måste hela kedjan, inklusive tillverkare av vindkraftverk och operatörer av laddstationer, inkluderas.
Denna utvidgning påverkar företags policies och strategier kring cyber- och informationssäkerhet. Tredjepartsrisker är nu en central del av efterlevnadsarbetet. Det kräver att organisationer utvecklar metoder för att hantera säkerhetsrisker genom hela värdekedjan.
Samarbete med tredjepartsleverantörer
Samarbetet med tredjepartsleverantörer får en ny dimension under NIS2-direktivet. Verksamhetsutövare måste ta hänsyn till sårbarheter hos leverantörer och tjänsteleverantörer. Det gäller särskilt för de som tillhandahåller kritiska IT-tjänster och molntjänster.
Det innebär att ni måste ha tydliga avtal och styrningsmodeller. De ska specificera säkerhetsansvar, rapporteringsskyldigheter och incidenthanteringsprocesser med era leverantörer.
En framgångsrik leverantörsrelation under det nya regelverket bygger på ömsesidig transparens. Ni bör genomföra regelbunden utvärdering och granskning av leverantörers säkerhetspraxis. Detta för att säkerställa att de uppfyller era säkerhetskrav.
Kommunikationen med leverantörer måste struktureras kring säkerhetskrav. Detta inkluderar:
- Tydliga definitioner av säkerhetsansvar och ansvarsfördelning mellan parterna
- Etablerade processer för incidentrapportering med specificerade tidsramar och eskaleringsvägar
- Regelbundna säkerhetsgranskningar och revisionsrättigheter som möjliggör kontinuerlig validering
- Krav på certifieringar och efterlevnad av erkända säkerhetsstandarder
- Transparens kring underleverantörer och deras säkerhetspraxis
Åtgärder för att säkerställa leverantörsäkerhet
Åtgärder för att säkerställa leverantörsäkerhet kräver en systematisk approach. Detta innebär att ni måste börja redan vid val av nya leverantörer. Ni bör genomföra grundlig due diligence och säkerhetsbedömningar.
Avtalsstrukturen spelar en avgörande roll för att säkerställa efterlevnad. Ni bör inkludera specifika cybersäkerhetskrav och -klausuler i leverantörsavtal. Dessa klausuler måste vara juridiskt bindande och verifierbara för att ha reell effekt.
En kontinuerlig övervakning av leverantörers säkerhetsstatus är grundläggande för riskhantering. Detta uppnås genom regelbundna granskningar och certifieringsverifieringar. Vi rekommenderar följande åtgärder:
- Implementera tekniska åtgärder som nätverkssegmentering och begränsad åtkomst för att minimera påverkan av en komprometterad leverantör
- Utveckla beredskapsplaner för scenarier där en kritisk leverantör drabbas av en säkerhetsincident eller inte längre kan leverera tjänster
- Etablera processer för kontinuerlig riskbedömning som tar hänsyn till förändringar i hotbilden och leverantörens verksamhet
- Skapa forum för säkerhetssamarbete där leverantörer och kunder kan dela hotinformation och bästa praxis
| Åtgärdsområde | Implementeringstid | Prioritetsnivå | Ansvarig funktion |
|---|---|---|---|
| Due diligence vid leverantörsval | 2-4 veckor per leverantör | Hög | Inköp och IT-säkerhet |
| Avtalsgranskning och uppdatering | 3-6 månader | Kritisk | Juridik och Compliance |
| Kontinuerlig övervakning | Pågående | Hög | IT-säkerhet och Risk |
| Beredskapsplanering | 1-3 månader | Medel | Verksamhetskontinuitet |
Juridiska och ekonomiska risker
De juridiska och ekonomiska riskerna för leverantörskedjor under NIS2-direktivet är betydande. En verksamhetsutövare bär det yttersta ansvaret för efterlevnad. Detta innebär att om en leverantörs säkerhetsbrister leder till en incident kan ni fortfarande drabbas av sanktioner.
Ansvarsfördelningen mellan organisationer och deras leverantörer är komplext. Många underskattar den kumulativa risken från flera leverantörer. Tredjepartsrisker multipliceras när beroenden skapar komplexa kedjor av sårbarheter.
Incidenter i leverantörskedjan kan leda till omfattande konsekvenser. Detta inkluderar verksamhetsavbrott och dataförluster. Reputationskada är också en risk som ofta förbises men kan vara förödande.
Reputationsskada kan påverka förtroendet från kunder och tillsynsmyndigheter. Detta kan få långvariga ekonomiska konsekvenser. De ekonomiska riskerna inkluderar flera dimensioner som organisationer måste planera för.
- Sanktionsavgifter från tillsynsmyndigheter som kan uppgå till betydande belopp baserat på företagets omsättning
- Kostnader för incidentrespons och återställning när en leverantörsrelaterad incident inträffar
- Förlust av affärsmöjligheter när kunder väljer konkurrenter med starkare leverantörskedja cybersäkerhet
- Ökade försäkringspremier för cyberförsäkringar när riskprofilen försämras
- Investeringar i ersättande leverantörer när befintliga partners inte uppfyller säkerhetskrav
Vi rekommenderar starkt att organisationer utvecklar en strukturerad approach till tredjepartsriskhantering. Detta inkluderar att etablera en riskbaserad modell där leverantörer klassificeras baserat på deras kritikalitet. Högriskleverantörer måste undergå mer rigorösa granskningar och omfattas av strängare kontrollmekanismer.
Den ekonomiska planeringen för leverantörskedjerelaterade risker bör inkludera budgetering för både förebyggande åtgärder och potentiella incidentkostnader. En proaktiv investeringsstrategi i leverantörsäkerhet kan betydligt reducera de totala kostnaderna jämfört med reaktiva åtgärder efter att en incident inträffat. Genom att integrera leverantörskedjesäkerhet i den övergripande riskhanteringsprocessen skapas förutsättningar för både regelefterlevnad och verksamhetsmässig resiliens.
Tidslinje för implementering av NIS2
NIS2 har gått igenom en komplex implementeringsprocess. Den når nu sitt avgörande skede. Många organisationer är i en intensiv anpassningsfas med begränsad tid för förberedelse. Den europeiska cybersäkerhetslagen har förändrat digital säkerhet. Vi vill ge er en tydlig förståelse för de kritiska milstolpar som påverkar er verksamhet.
Implementeringen av cybersäkerhetslag kräver noggrann planering. Varje organisation måste nu utvärdera sin position i relation till de nya lagkraven. De måste agera snabbt för att säkerställa efterlevnad.
Övergångsperiod och deadlines
EU-lagstiftning antog NIS2-direktivet i december 2022. Medlemsländerna fick en ambitiös deadline att implementera det i nationell lagstiftning. Sverige fick en förlängd tid på grund av den omfattande analysprocess som krävdes.
Den svenska regeringen utfärdade cybersäkerhetslagen och cybersäkerhetsförordningen den 11 december 2025. Alla ändringar träder i kraft den 15 januari 2026. Det innebär att organisationer som omfattas nu befinner sig i en akut fas.
NIS2 tidslinje visar på en stram tidsplan. Organisationer måste identifiera sitt omfattning och genomföra gap-analyser. De måste också implementera nödvändiga säkerhetsåtgärder för att uppfylla lagkraven. Deadline januari 2026 är absolut och lämnar inget utrymme för förseningar.
| Datum | Händelse | Påverkan |
|---|---|---|
| December 2022 | EU antog NIS2-direktivet | Startpunkt för medlemsländernas implementering |
| 11 december 2025 | Sverige utfärdade cybersäkerhetslagen | Juridisk grund för nationell efterlevnad |
| 15 januari 2026 | Lagen träder i kraft | Organisationer måste uppfylla alla krav |
Tillhandahållande av resurser och stöd
Myndigheten för samhällsskydd och beredskap, numera Myndigheten för civilt försvar, har ett samordningsansvar. De tillhandahåller omfattande vägledningsmaterial. Vi ser att dessa resurser gradvis har utökats för att möta organisationers behov av konkret stöd i implementering cybersäkerhetslag.
Myndigheten erbjuder grundpresentationer, webbinarier och cybersäkerhetsrådgivning. Detta hjälper organisationer förstå sina skyldigheter. Dessa verktyg är särskilt värdefulla för företag som inte har omfattande interna säkerhetsresurser.
Sektorspecifika tillsynsmyndigheter kommer att utfärda föreskrifter och vägledning anpassad för respektive sektor. Detta innebär att organisationer inom olika branscher får skräddarsydda instruktioner som är relevanta för deras specifika verksamhet och riskmiljö.
Privata konsulter och teknikleverantörer spelar en viktig roll i att stödja organisationer. De hjälper till med praktisk implementering av säkerhetsåtgärder och compliance-processer. Vi samarbetar med olika aktörer för att säkerställa att våra kunder får tillgång till bästa möjliga expertis och lösningar.
Hur man förbereder sig för förändringar
För att möta deadline januari 2026 med trygghet rekommenderar vi att organisationer följer en systematisk förberedelsestrategi. Tiden fram till ikraftträdandet är kort, vilket kräver prioritering och fokuserade insatser.
Vi föreslår följande åtgärder för effektiv förberedelse:
- Genomför omedelbart en självutvärdering för att fastställa om ni omfattas av NIS2 baserat på sektor och storlekskriterier
- Utför en omfattande gap-analys som jämför nuvarande säkerhetspraxis mot NIS2:s krav för att identifiera områden som behöver förbättras
- Prioritera de mest kritiska åtgärderna som riskanalyser, incidenthanteringsprocesser och ledningsengagemang för snabb implementering
- Etablera en projektorganisation med tydligt ansvar och budget för NIS2-efterlevnad
- Registrera er hos ansvarig tillsynsmyndighet och håll er uppdaterade om sektorspecifika föreskrifter och vägledning
Ledningsgruppen måste ta aktivt ansvar för cybersäkerhetsarbetet enligt de nya kraven. Detta innebär att styrelse och VD inte kan delegera detta ansvar helt utan måste visa engagemang och förståelse för cybersäkerhetsrisker.
Dokumentation av alla säkerhetsåtgärder och processer är avgörande för att kunna visa efterlevnad vid tillsyn. Vi ser att organisationer som startar denna process tidigt får en betydande fördel när tillsynsmyndigheter börjar sina granskningar efter ikraftträdandet.
Regeringens roll i NIS2-implementeringen
När NIS2 träder i kraft blir den svenska regeringens stöd och vägledning viktig. Det hjälper företag att anpassa sig till nya cybersäkerhetskrav. Genom nationell samordning säkerställs en systematisk och effektiv implementering. Myndigheten för civilt försvar ansvarar för MSB cybersäkerhet på nationell nivå, vilket ger organisationer vägledning.
Minister för civilt försvar Carl-Oskar Bohlin betonar vikten av ett gemensamt ansvarstagande:
För att Sveriges cybersäkerhet ska kunna stärkas på bred front behöver många verksamhetsutövare lägga i en högre växel.
Detta visar att regeringen ser NIS2 som en möjlighet att höja säkerhetsnivån i hela samhället. Samarbetet mellan myndigheter och näringsliv är avgörande för framgång.
Praktiskt stöd och vägledning för svenska företag
Myndigheten för civilt försvar erbjuder omfattande resurser för anpassning till cybersäkerhetslagen. De har utvecklat grundläggande informationsmaterial som inkluderar presentationer och talmanus. Detta gör det lättare för organisationer att sprida kunskap om NIS2-kraven. Resurserna är kostnadsfria och tillgängliga för alla.
Utöver skriftligt material arrangerar myndigheten regelbundna webbinarier och evenemang. Detta ger organisationer chansen att ställa frågor och få svar från experter. Dessutom erbjuds cybersäkerhetsrådgivning för att diskutera unika utmaningar och få skräddarsydd vägledning.
Varje sektor har en eller flera tillsynsmyndigheter som ansvarar för vägledning. De förstår de unika säkerhetsutmaningarna inom respektive sektor och ger riktad support. De utfärdar också sektorspecifika föreskrifter som kompletterar de övergripande lagkraven.
Stödstrukturen innehåller flera viktiga komponenter som tillsammans skapar ett robust säkerhetsnät för organisationer:
- Grundläggande utbildningsmaterial som förklarar NIS2:s krav och tillämpning
- Interaktiva vägledningsforum där verksamheter kan utbyta erfarenheter
- Checklistor och självutvärderingsverktyg för att bedöma nuvarande säkerhetsnivå
- Teknisk expertis tillgänglig för konsultation vid komplexa säkerhetsfrågor
- Exempel och best practices från andra organisationer som framgångsrikt implementerat cybersäkerhetsåtgärder
Övervakning och säkerställande av efterlevnad
Tillsynsstrukturen för NIS2 bygger på en sektorbaserad modell där 18 olika sektorer övervakas av specialiserade myndigheter. Varje tillsynsmyndighet har befogenhet att genomföra inspektioner och granskningar av verksamhetsutövares säkerhetsåtgärder. Detta säkerställer att cybersäkerhetskraven implementeras i praktiken.
Tillsynsmyndigheterna har flera verktyg för att säkerställa efterlevnad. De kan begära in dokumentation och information om säkerhetsarbete och incidenthantering från verksamhetsutövare. När brister identifieras har de rätt att utfärda förelägganden och kräva korrigerande åtgärder inom en specificerad tidsram.
Rapporteringsskyldigheten är en central del av tillsynsarbetet. Organisationer måste rapportera betydande säkerhetsincidenter enligt fastställda tidsramar. Detta gör att myndigheterna kan få överblick över hotbilden och samordna responser. Det skapar ett proaktivt säkerhetsklimat där hot kan identifieras och hanteras snabbt.
| Tillsynsområde | Myndighetsansvar | Tillsynsmetod | Sanktionsmöjlighet |
|---|---|---|---|
| Incidentrapportering | Kontroll av tidskrav och innehåll | Granskning av rapporterade incidenter | Administrativa avgifter vid förseningar |
| Säkerhetsåtgärder | Verifiering av tekniska och organisatoriska kontroller | Dokumentgranskning och platsbesök | Förelägganden med vite |
| Riskhantering | Bedömning av riskanalyser och kontinuitetsplaner | Regelbunden uppföljning och revision | Krav på kompletterande åtgärder |
| Leverantörskedjor | Kontroll av tredjepartshantering | Granskning av avtal och säkerhetsprocesser | Restriktioner vid otillräckliga garantier |
Det finns en viktig skillnad mellan tillsynen av viktiga och väsentliga enheter. Viktiga sektorer omfattas främst av reaktiv tillsyn som baseras på incidentrapporter och klagomål. Väsentliga sektorer kan däremot bli föremål för proaktiv tillsyn med regelbundna granskningar, även när inga incidenter har rapporterats.
Vid bristande efterlevnad av rapporteringsskyldighet eller andra krav kan tillsynsmyndigheter utdöma administrativa sanktionsavgifter. Storleken på dessa avgifter beror på överträdelsens allvar och organisationens storlek, vilket skapar en proportionerlig men tydlig avskräckande effekt.
Gränsöverskridande samarbete med europeiska institutioner
Cyberhot respekterar inga nationsgränser, vilket gör internationellt samarbete absolut nödvändigt för effektiv säkerhet. Myndigheten för civilt försvar fungerar som Sveriges officiella kontaktpunkt gentemot EU:s samarbetsnätverk för cybersäkerhet. Genom denna roll deltar Sverige aktivt i att forma den europeiska säkerhetsarkitekturen.
Den nationella samordningen kopplas till EU-nivån genom flera etablerade kanaler. Medlemsländer utbyter kontinuerligt information om identifierade hot, pågående incidenter och beprövda metoder för säkerhetsarbete. Detta informationsflöde sker både genom formella rapporteringsstrukturer och genom informella nätverk av säkerhetsexperter.
När gränsöverskridande cyberincidenter inträffar aktiveras samordnade responsmekanismer. Sverige deltar i dessa gemensamma insatser, vilket innebär att vi både bidrar med vår expertis och får tillgång till andra länders erfarenheter och resurser. Denna kollektiva försvarsstrategi stärker hela Europas motståndskraft mot cyberhot.
EU-kommissionen förväntar sig regelbundna rapporter från medlemsländerna om implementeringen av NIS2. Sverige rapporterar genom Myndigheten för civilt försvar om hur direktivet har införlivats i nationell lagstiftning, hur efterlevnaden ser ut och vilka utmaningar som identifierats. Denna transparens skapar möjligheter för kontinuerlig förbättring på europeisk nivå.
Samarbetet omfattar också utveckling av gemensamma standarder och riktlinjer. Svenska representanter deltar i arbetsgrupper som utformar best practices för incidenthantering, riskbedömning och säkerhetsåtgärder. Detta säkerställer att svenska organisationer får tillgång till det senaste inom europeisk cybersäkerhetstänkande samtidigt som svensk expertis bidrar till att forma framtidens säkerhetsstandarder.
Genom detta multilaterala samarbete skapas en europeisk cybersäkerhetsekosystem där varje medlemsland både ger och tar. Sverige drar nytta av kollektiv säkerhetsintelligens och samordnade försvar samtidigt som vi bidrar med vår egen kompetens och erfarenhet, vilket höjer säkerhetsnivån för alla inblandade.
Orosmoment kring NIS2
Många företag känner oro inför NIS2:s krav. Vi vill hjälpa er att förstå dessa utmaningar. Trots att direktivet syftar till att stärka cybersäkerheten, skapar det stora compliance-utmaningar. Det kräver noggrann planering och resurser.
De nya cybersäkerhetskraven ökar förväntningarna på säkerhetsarbetet. Det påverkar särskilt företag som tidigare inte haft sektorspecifika regler. Detta skapar en komplex situation där flera krav måste balanseras.
Kolliderande lagar och regler
En stor compliance-utmaning är att hantera överlappande regler. GDPR fokuserar på personuppgiftsskydd, medan NIS2 betonar operativ cybersäkerhet. Båda kräver uppmärksamhet från ledning och säkerhetsfunktion.
Det finns överlappande krav, särskilt inom incidentrapportering och dataskydd. Det är viktigt att kartlägga dessa för att undvika dubbelarbete. En systematisk genomgång av regelverk är avgörande för effektiv efterlevnad.
Sektorspecifika regler lägger till komplexitet. Företag inom finans och hälso- och sjukvård har specifika krav. Energisektorn har sina egna säkerhetskrav som måste harmoniseras med NIS2.
För att hantera regelverkskomplexiteten rekommenderar vi en central funktion för regelverksövervakning. Denna funktion ska kartlägga regler, identifiera överlappningar och säkerställa att företagets policyer och processer uppfyller kraven. Juridisk expertis inom IT-säkerhet och dataskydd är nödvändig.
Kostnader i små och medelstora företag
Kostnaden för små och medelstora företag NIS2 är ett stort orosmoment. Även om vissa mikroföretag kan undantas, omfattas många företag som ligger över tröskelvärdena. Dessa har ofta begränsade resurser, vilket gör kostnaderna högre.
De initiala investeringarna kan skapa likviditetsproblem. Implementeringen av säkerhetsåtgärder kräver teknikinvesteringar och kompetensuppbyggnad. Detta inkluderar kostnader för säkerhetssystem, utbildning och löpande övervakning.
Att genomföra riskanalyser och etablera incidenthanteringsprocesser kräver kompetens. För små och medelstora företag NIS2 som tidigare inte arbetat systematiskt med cybersäkerhet kan detta innebära en kulturförändring. Kostnaden för att anställa eller anlita specialistkompetens inom cybersäkerhet kan bli betydande.
Men förbättrad cybersäkerhet skapar långsiktigt värde. Det minskar risktagande och ökar motståndskraft. Investeringar i säkerhet kan också öppna nya affärsmöjligheter.
| Kostnadskategori | Små företag (50-250 anställda) | Medelstora företag (250-1000 anställda) | Stora företag (1000+ anställda) |
|---|---|---|---|
| Initial implementering | 500 000 – 2 miljoner SEK | 2 – 8 miljoner SEK | 8 – 50+ miljoner SEK |
| Årliga driftskostnader | 200 000 – 800 000 SEK | 800 000 – 3 miljoner SEK | 3 – 20+ miljoner SEK |
| Kompetensuppbyggnad | 150 000 – 500 000 SEK | 500 000 – 2 miljoner SEK | 2 – 10 miljoner SEK |
| Extern konsultstöd | 300 000 – 1 miljon SEK | 1 – 4 miljoner SEK | 4 – 20 miljoner SEK |
Möjliga konsekvenser av straffavgifter
De höjda sanktionsnivåerna under NIS2 är en avskräckande faktor. Väsentliga verksamhetsutövare riskerar böter upp till 10 miljoner euro. Viktiga verksamhetsutövare kan få böter upp till 7 miljoner euro.
Dessa sanktioner kan hota existens för medelstora företag. För ett företag med 500 miljoner SEK i årsomsättning kan straffet bli 10 miljoner SEK. Detta påverkar lönsamhet och fortsatt verksamhet. Straffavgifterna är utformade för att vara avskräckande.
Utöver ekonomiska konsekvenser medför bristande compliance flera indirekta effekter. Ökad tillsynsintensitet innebär mer granskningar och krav på dokumentation. Reputationsskada kan påverka kundförtroende och leda till förlorade affärsmöjligheter.
I vissa fall kan personligt ansvar drabba företagsledningen. De måste visa att de tagit sitt ansvar för cybersäkerhet. Styrelseledamöter och verkställande direktörer förväntas ha kunskap om säkerhetsläget och delta i riskbedömningar.
Vi rekommenderar starkt att se NIS2-efterlevnad som en strategisk risk. Det kräver ledningens kontinuerliga uppmärksamhet och adekvat resursallokering. Att avvakta eller underskatta konsekvenserna är inte ett alternativ. Företag måste bygga upp robusta säkerhetsprocesser och investera i kontinuerlig förbättring.
Genom att proaktivt adressera dessa orosmoment kan organisationer vända utmaningarna till möjligheter. Strukturerad efterlevnad skapar inte bara regelefterföljd utan även konkurrensfördelar.
Framtiden för cybersäkerhet i EU
Framtiden för cybersäkerhet i EU bygger på innovation och internationellt samarbete. EU:s arbete med digital säkerhet utvecklas från isolerade direktiv till ett sammanhängande system. Detta skapar en bättre säkerhetsram för organisationer att bygga på.
För att förstå framtiden behöver företag och myndigheter analysera nya lagar och teknologiska trender. Vi hjälper våra kunder att göra strategiska planer till konkreta åtgärder.
Kommande lagstiftningsinitiativ
EU expanderar snabbt sitt regleringslandskap för digital säkerhet. NIS2-direktivet och CER-direktivet skapar en helhetslösning. Detta innebär att cybersäkerhet och fysisk säkerhet måste hanteras tillsammans.
CER-direktivet kräver att verksamheter skyddar fysiska anläggningar. Detta innebär att organisationer måste utveckla strategier för både digitala och fysiska system.
Ytterligare initiativ som påverkar digitalisering säkerhet inkluderar EU:s AI Act och regleringar för kvantdatorsäkerhet. Dessa kommer att forma framtiden för informationssäkerhet.
Framgångsrik cybersäkerhet handlar inte längre om att uppfylla ett enskilt direktiv. Det handlar om att bygga en integrerad säkerhetskultur som omfattar alla aspekter av verksamheten.
| Lagstiftningsinitiativ | Fokusområde | Implementeringsstatus | Påverkan på organisationer |
|---|---|---|---|
| NIS2-direktivet | Cybersäkerhet för nätverks- och informationssystem | Implementering pågår, deadline 2024 | Krav på riskhantering, incidentrapportering och ledningsansvar |
| CER-direktivet | Fysisk resiliens för kritiska entiteter | Parallell implementering med NIS2 | Skydd av fysiska anläggningar och kontinuitetsplanering |
| EU AI Act | Säker och etisk användning av artificiell intelligens | Trätt i kraft, gradvis implementering | Riskklassificering och compliance för AI-system |
| Kvantdatorsäkerhet | Post-kvantum kryptografi och datasäkerhet | Under utveckling | Migration till kvantresistenta krypteringsmetoder |
Trender inom cybersäkerhet
De teknologiska trenderna inom informationssäkerhet rör sig mot mer sofistikerade säkerhetsmodeller. Organisationer övergår till zero-trust-arkitekturer där ingen användare eller system litas på implicit. Detta kräver omfattande omstrukturering av säkerhetsinfrastruktur.
Artificiell intelligens och maskininlärning används både för försvar och attacker. AI används för att detektera avvikelser och förutsäga hot. Samtidigt används den av angripare för att genomföra mer sofistikerade attacker.
Supply chain security har blivit kritiskt efter högprofilerade incidenter. Organisationer måste granska hela sin mjukvaruförsörjningskedja. Detta kräver tekniska lösningar och kontraktuella garantier från leverantörer.
Konceptet security-by-design vinner mark. Säkerhet byggs in från grunden i system och tjänster. Vi arbetar med kunder för att integrera säkerhetstänkande redan i design- och utvecklingsfasen.
En förskjutning mot kontinuerlig compliance och security operations innebär att digital säkerhet blir en löpande verksamhet. Automatisering och realtidsövervakning ersätter traditionella säkerhetsgranskningar. Detta kräver nya kompetenser och verktyg men ger bättre säkerhetsnivåer.
Betydelsen av internationellt samarbete
Cyberhot respekterar inga nationsgränser. Detta gör internationellt samarbete avgörande för informationssäkerhet. NIS2:s struktur med samarbetsnätverk mellan medlemsländer skapar en europeisk cyberförsvarsgemenskap.
Framgångsrik cybersäkerhet kräver samarbete mellan EU-länder och internationella partners. Gränsöverskridande informationsutbyte om hot och gemensamma responser stärker den globala cybersäkerheten. Vi arbetar för att våra kunders säkerhetslösningar är kompatibla med internationella standarder.
Samverkan mellan offentlig och privat sektor är viktig. Myndigheter och företag måste dela hotinformation och säkerhetsstrategier. Vi faciliterar denna typ av samarbete genom våra nätverk och plattformar.
Engagemang i internationella standardiseringsorganisationer utvecklar gemensamma ramar och tekniska standarder. Detta underlättar interoperabilitet mellan system och höjer den globala cybersäkerhetsnivån. Vi säkerställer att våra lösningar följer dessa internationella standarder.
Den framtida digitalisering säkerhet kommer att definieras av hur väl vi koordinerar insatser på lokal, nationell, europeisk och global nivå. Organisationer som proaktivt engagerar sig i dessa samarbetsnätverk kommer att ha fördelar som tidig varning om hot och tillgång till expertis.
Slutsats: Vad innebär NIS2 för Sverige?
Frågan ”är NIS2 cybersäkerhetslagen?” har ett tydligt svar: ja. Från den 15 januari 2026 blir den en del av Sveriges lagstiftning. Detta är en viktig förändring för vår digitala säkerhet.
Sammanfattning av nyckelpunkter
NIS2 omfattar nu 18 områden inom kritisk infrastruktur, inte bara några få som tidigare. Det finns nya krav på informationssäkerhet. Man måste rapportera incidenter och hantera risker på ett systematiskt sätt.
Minister Carl-Oskar Bohlin säger att många måste göra mer för att stärka Sveriges cybersäkerhet. Sanktionsavgifterna blir också högre, vilket visar hur allvarligt det är att följa dessa regler.
Det är inte bara IT-ansvariga som måste ta ansvar. Nu är det en strategisk prioritet för alla ledningar.
Betydelsen av cybersäkerhet i framtiden
Med snabb digitalisering och ökande hot är cybersäkerhet viktigare än någonsin. NIS2 hjälper till att bygga upp motståndskraft. Det skyddar både samhället och individer i en digital värld.
Handlingsplan för företag och organisationer
Starta med att kolla om ni omfattas av NIS2. Kontakta sedan tillsynsmyndigheten för vägledning. Gör en analys för att se vad ni behöver för att uppfylla NIS2:s krav.
Fokusera på de mest kritiska åtgärderna snabbt. Vi hjälper er att bygga upp en stark cybersäkerhetsstrategi.
Vanliga frågor om NIS2 och cybersäkerhetslagen
Är NIS2 samma sak som cybersäkerhetslagen i Sverige?
Ja, NIS2 är liktydigt med cybersäkerhetslagen i Sverige. Detta direktiv från EU har Sverige implementerat genom en ny lag. Den trädde i kraft den 15 januari 2026.
Sverige har genomfört NIS2 genom cybersäkerhetslagen och förordningen. Det innebär att när vi talar om NIS2 i Sverige, refererar vi till denna lag.
Vilka organisationer omfattas av NIS2-direktivet?
NIS2 gäller för 18 olika sektorer. Det inkluderar energi, transport och banker. Det gäller också hälso- och sjukvård, dricksvatten och digital infrastruktur.
Offentlig förvaltning och rymd är också inkluderade. Organisationer med 50 anställda eller mer omfattas. Men vissa kritiska aktörer gäller oavsett storlek.
Vilka säkerhetsåtgärder kräver NIS2?
NIS2 kräver många säkerhetsåtgärder. Det inkluderar systematiskt informationssäkerhetsarbete och tekniska skyddsmekanismer.
Det kräver också regelbundna riskanalyser och utbildning i cybersäkerhet. Detta skapar en stark säkerhetskultur.
Hur fungerar incidentrapporteringen enligt NIS2?
Incidentrapporteringen har skärpta krav enligt NIS2. Det finns en tredelad tidsplan för rapportering.
En första indikation ska ske inom 24 timmar. En initial bedömning ska ske inom 72 timmar. Slutrapporteringen ska ske inom en månad.
Vilka sanktioner riskerar vi vid bristande efterlevnad av NIS2?
Sanktioner under NIS2 är mycket höga. Väsentliga verksamhetsutövare kan få avgifter på upp till 10 miljoner euro.
Viktiga verksamhetsutövare riskerar upp till 7 miljoner euro. Ekonomiska påföljder kan leda till skada på företagets rykte och affärsmöjligheter.
När trädde NIS2-direktivet i kraft i Sverige?
EU antog NIS2 i december 2022. Sverige fick en förlängd tidslinje. Den svenska regeringen utfärdade lagen den 11 december 2025.
Lagen trädde i kraft den 15 januari 2026. Det innebär att organisationer måste agera snabbt för att uppfylla kraven.
Hur påverkar NIS2 arbetet med leverantörer och tredjeparter?
NIS2 kräver att man tar hänsyn till sårbarheter hos leverantörer. Det är viktigt att ha tydliga avtal och styrningsmodeller.
Man måste genomföra due diligence och säkerhetsbedömningar. Det är också viktigt att ha processer för kontinuerlig övervakning av leverantörers säkerhetsstatus.
Vilken myndighet ansvarar för NIS2 i Sverige?
Myndigheten för civilt försvar ansvarar för NIS2 i Sverige. De ger grundläggande information och vägledning.
Varje sektor har en eller flera tillsynsmyndigheter. De ansvarar för att företag följer lagen genom inspektioner och sanktioner.
Omfattas små företag av NIS2?
Det beror på storlek och sektor. Mikroföretag med färre än 50 anställda kan undantas i vissa fall.
Men många små och medelstora företag omfattas fullt ut. Det är viktigt att göra en individuell bedömning.
Vad är skillnaden mellan väsentliga och viktiga verksamhetsutövare?
Väsentliga verksamhetsutövare finns inom kritiska sektorer. Det inkluderar energi och transport.
Viktiga verksamhetsutövare finns inom andra sektorer. Den största skillnaden är tillsynsgraden och sanktionsavgifterna.
Hur ofta måste vi genomföra riskanalyser enligt NIS2?
NIS2 kräver regelbundna riskanalyser. Det är bäst att göra dem årligen eller vid större förändringar.
Man bör också ha kontinuerliga processer för sårbarhetshantering. Det är viktigt att genomföra penetrationstester för att identifiera svagheter.