Quick Answer
NIS2-direktivet (EU 2022/2555) omfattar avsevärt fler organisationer än det ursprungliga NIS-direktivet. Berörda enheter finns i 18 utpekade sektorer, och som huvudregel räknas medelstora och stora verksamheter med minst 50 anställda eller en årsomsättning på över 10 miljoner euro. Vissa typer av aktörer, oavsett storlek, omfattas alltid, till exempel leverantörer av digital infrastruktur och offentliga elektroniska kommunikationsnät. Definition och svensk implementering NIS2 är ett direktiv som ska genomföras i nationell rätt. I Sverige sker det genom Cybersäkerhetslagen, som skärper kraven på riskhantering , incidentrapportering och tillsyn. För en bakgrund, se vår förklaring av förhållandet mellan NIS2 och Cybersäkerhetslagen samt om de är samma sak . Den ursprungliga EU-deadlinen för nationell implementering var 17 oktober 2024. Sverige införde sina regler stegvis med start under 2025, och tillsynsmyndigheter som MSB (Myndigheten för samhällsskydd och beredskap) och Post- och telestyrelsen har sektorsspecifika roller. Väsentliga och viktiga enheter NIS2 delar in berörda organisationer i två kategorier med olika tillsyn och sanktioner.
Key Topics Covered
Gratis pentest
Få en kostnadsfri säkerhetsgranskning mot NIS2 & Cybersäkerhetslagen.
AnsökNIS2-direktivet (EU 2022/2555) omfattar avsevärt fler organisationer än det ursprungliga NIS-direktivet. Berörda enheter finns i 18 utpekade sektorer, och som huvudregel räknas medelstora och stora verksamheter med minst 50 anställda eller en årsomsättning på över 10 miljoner euro. Vissa typer av aktörer, oavsett storlek, omfattas alltid, till exempel leverantörer av digital infrastruktur och offentliga elektroniska kommunikationsnät.
Definition och svensk implementering
NIS2 är ett direktiv som ska genomföras i nationell rätt. I Sverige sker det genom Cybersäkerhetslagen, som skärper kraven på riskhantering, incidentrapportering och tillsyn. För en bakgrund, se vår förklaring av förhållandet mellan NIS2 och Cybersäkerhetslagen samt om de är samma sak.
Den ursprungliga EU-deadlinen för nationell implementering var 17 oktober 2024. Sverige införde sina regler stegvis med start under 2025, och tillsynsmyndigheter som MSB (Myndigheten för samhällsskydd och beredskap) och Post- och telestyrelsen har sektorsspecifika roller.
Väsentliga och viktiga enheter
NIS2 delar in berörda organisationer i två kategorier med olika tillsyn och sanktioner.
| Kategori | Typiska sektorer | Tillsyn |
|---|---|---|
| Väsentliga enheter | Energi, transport, bankverksamhet, hälso- och sjukvård, dricksvatten, digital infrastruktur, offentlig förvaltning, rymd | Proaktiv, inklusive inspektioner och revisioner |
| Viktiga enheter | Post- och budtjänster, avfallshantering, kemikalier, livsmedel, tillverkning, digitala leverantörer, forskning | Reaktiv, främst vid misstänkta brister |
Behöver ni hjälp med cloud?
Boka ett kostnadsfritt 30-minuters möte med en av våra specialister inom cloud. Vi analyserar ert behov och ger konkreta rekommendationer — helt utan förpliktelse.
Tröskelvärden och undantag
- Storleksregeln. Som huvudregel omfattas medelstora och stora företag, det vill säga minst 50 anställda eller mer än 10 miljoner euro i årsomsättning samt balansomslutning över 10 miljoner euro.
- Storleksoberoende undantag. Vissa aktörer omfattas oavsett storlek, exempelvis leverantörer av elektroniska kommunikationsnät, betrodda tjänsteleverantörer (eIDAS), DNS-leverantörer, registrar och topdomänregister samt vissa kritiska entiteter under CER-direktivet.
- Koncerner. Vid bedömning av storlek räknas hela koncernen, inte enbart det enskilda dotterbolaget.
- Leverantörskedjan. Underleverantörer som inte själva omfattas direkt kan ändå behöva uppfylla krav som kontraktuella villkor från kunder som omfattas.
Sektorer som är nya jämfört med NIS1
NIS2 lägger till flera sektorer som inte fanns under NIS1, bland annat livsmedelsproduktion och distribution, avfallshantering, tillverkning av läkemedel och medicintekniska produkter, post- och budtjänster, kemikalietillverkning, offentlig förvaltning på central nivå samt forskningsorganisationer. Hanterade IT-tjänsteleverantörer och leverantörer av hanterad säkerhet är också uttryckligen inkluderade som väsentliga eller viktiga enheter.
Praktiska konsekvenser
För berörda organisationer innebär NIS2 krav på riskbaserad cybersäkerhet, incidentrapportering inom 24 timmar för tidig varning och 72 timmar för fullständig anmälan, leverantörskedjekontroll, säkerhet i upphandling och utbildning av styrelse och ledning. Sanktioner kan uppgå till 10 miljoner euro eller 2 procent av global omsättning för väsentliga enheter. Ledningen kan hållas personligt ansvarig vid grov försummelse. För vidare läsning, se är NIS2 tillämpligt på mig och för vilka gäller NIS2.
Så hjälper Opsio
Opsio stödjer berörda enheter med riskanalys, segmentering, incidenthantering och kontinuerlig övervakning genom våra Cybersecurity Services. Vi hjälper också att bygga revisionsbara kontroller i molnplattformen så att rapportering till MSB och andra tillsynsmyndigheter kan göras snabbt och korrekt.
Vanliga frågor
Omfattas små företag av NIS2?
Som huvudregel nej, men det finns undantag. Mikro- och småföretag som tillhandahåller vissa kritiska tjänster, till exempel DNS, betrodda tjänster eller elektroniska kommunikationsnät, omfattas oavsett storlek.
Räcker det att vi följer GDPR och ISO 27001?
Nej. NIS2 har egna krav på styrning, leverantörskedja och incidentrapportering. Ett befintligt ISO 27001-arbete är ett bra utgångsläge men täcker inte alla NIS2-krav, särskilt inte rapporteringsfrister och styrelseansvar.
Hur snabbt måste vi rapportera en incident?
En tidig varning ska skickas inom 24 timmar från det att en betydande incident upptäckts. En fullständig anmälan ska lämnas inom 72 timmar och en slutrapport inom en månad. Dessa frister gäller vid incidenter med betydande påverkan.
Vilken tillsynsmyndighet gäller för oss?
Det beror på sektor. MSB är central samordnande tillsynsmyndighet, medan Post- och telestyrelsen, Energimyndigheten, Finansinspektionen, Inspektionen för vård och omsorg och andra agerar sektorsvis. Kontrollera den utpekade myndigheten för just er sektor.
Vad händer om vi inte uppfyller kraven?
Sanktionerna är betydande och inkluderar administrativa avgifter, tillfälligt indraget tillstånd och personligt ledningsansvar. Tillsynsmyndigheter kan också kräva offentliggörande av överträdelser, vilket i sig påverkar förtroendet.
Written By
Group COO & CISO at Opsio
Fredrik is the Group Chief Operating Officer and Chief Information Security Officer at Opsio. He focuses on operational excellence, governance, and information security, working closely with delivery and leadership teams to align technology, risk, and business outcomes in complex IT environments. He leads Opsio's security practice including SOC services, penetration testing, and compliance frameworks.
Editorial standards: Denna artikel är skriven av molnpraktiker och granskad av vårt ingenjörsteam. Vi uppdaterar innehållet kvartalsvis. Opsio upprätthåller redaktionellt oberoende.