Opsio - Cloud and AI Solutions
Compliance8 min read· 1,843 words

Vilka säkerhetsåtgärder kräver NIS2-direktivet?

Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO

Published: ·Updated: ·Reviewed by Opsio Engineering Team

Quick Answer

Vi förklarar på ett tydligt sätt vad direktivet innebär för företag och organisationer i Sverige, och hur ni kan förbereda er verksamhet. NIS2 syftar till att...

Key Topics Covered

Vi förklarar på ett tydligt sätt vad direktivet innebär för företag och organisationer i Sverige, och hur ni kan förbereda er verksamhet.

NIS2 syftar till att höja den gemensamma nivån för cybersäkerhet inom EU genom skärpta krav på riskhantering, övervakning och incidentrapportering.

Vi beskriver ledningens ansvar, tekniska och organisatoriska åtgärder samt hur leverantörsstyrning och sanktioner hänger ihop med affärsnytta.

Den svenska implementeringen kommer som cybersäkerhetslagen, med lagrådsremiss i juni 2025 och proposition hösten 2025, samtidigt som EU:s genomförandeförordning för digitala leverantörer trätt i kraft.

Vilka säkerhetsåtgärder kräver NIS2-direktivet?

För att avgöra om ni omfattas, och för att etablera ett systematiskt arbete med informationssäkerhet, kan ni läsa mer via MSB:s vägledning.

Viktigaste slutsatser

  • Direktivet ställer krav på riskhantering, övervakning och incidentrapportering.
  • Ledningen måste ta ett tydligt ansvar för cybersäkerhet i verksamheten.
  • Identifiera om ni omfattas och etablera systematiskt informationssäkerhetsarbete.
  • Prioritera åtgärder som ger störst skydd och affärsnytta.
  • Proaktiv efterlevnad minskar risk och kan bli en konkurrensfördel.

NIS2 och cybersäkerhetslagen i Sverige: nuläge, tidslinje och ansvar

Vi går igenom vägen från EU-beslut till svensk implementering, så att ni kan planera tidpunkter, resurser och beroenden.

Från EU-beslut till svensk lag

EU beslutade i december 2022 och en statlig utredning (SOU 2024:18) har lämnat förslag. En lagrådsremiss presenterades i juni 2025 och en proposition väntas hösten 2025.

PTS anger att cybersäkerhetslagen föreslås träda kraft under 2025. När lagen börjar gälla upphör NIS-lagen (2018:1174) och nya registreringsregler tillämpas.

Roller och ansvar

MSB får nationellt samordningsansvar och blir kontaktpunkt mot EU. Sektorsvisa myndigheter tar fram vägledning och utövar tillsyn i sina sektorer.

  • PTS föreslås ansvara för digital infrastruktur, förvaltning av IKT-tjänster, rymd, post- och budtjänster samt digitala leverantörer.
  • Verksamhetsutövare måste anmäla sig till relevant tillsynsmyndighet, införa riskhantering och rapportera betydande incidenter till MSB.

Har ni frågor om process eller registrering, läs mer via MSB och respektive myndighet för praktisk vägledning.

Vilka säkerhetsåtgärder kräver NIS2-direktivet?

Vi visar hur ett systematiskt och riskbaserat informationssäkerhetsarbete byggs upp för att skydda kritiska tjänster och infrastruktur.

Riskhanteringsåtgärder ska kopplas till styrdokument, roller och mätetal. Arbetet måste vara långsiktigt, metodiskt och uppföljningsbart. Vi rekommenderar tydligt ägarskap för risker och regelbunden riskbedömning.

Ledningens ansvar innebär utbildning, resurstilldelning och rapportering. Styrelse och ledningsgrupp ska integrera cybersäkerhet i styrmodellen för att undvika sanktioner och stärka resiliens.

Tekniska och organisatoriska kontroller omfattar kontinuerlig övervakning, logghantering, sårbarhetshantering och incidenthantering med SLA:er. Kontinuitets- och återställningsplaner måste testas regelbundet.

Område Praktisk åtgärd Prioritet Ansvar
Riskhantering Årlig riskanalys, mätetal Hög Informationssäkerhetschef
Leverantörskedja Due diligence, avtal med leverantörer Hög Inköp/Legal
Teknik & test Penetrationstest, säker utveckling Medel IT/SecOps
Digitala leverantörer Kontroller för moln, datacenter, hanterade säkerhetstjänster Hög Arkitektur/Outsourcing

Vem omfattas av NIS2? Sektorer, tröskelvärden och relevanta tillsynsmyndigheter

Vi förklarar vilka sektorer och typer av tjänster som inkluderas, så att ni snabbt kan avgöra om er verksamhet omfattas nis2 och vad nästa steg blir.

omfattas nis2

Väsentliga och viktiga sektorer

Energi, vatten, hälso- och sjukvård och offentlig förvaltning ingår som väsentliga sektorer. Dessa aktörer får hårdare tillsyn och högre krav på kontroller.

Digital infrastruktur och digitala leverantörer

Cloud, datacenter, DNS, förtroendetjänster och andra delar av digital infrastruktur omfattas. Även onlinemarknadsplatser, sökmotorer och sociala plattformar räknas som digitala leverantörer.

Transport, post, avfall, livsmedel och tillverkning

Post- och budtjänster, transporter, avfallshantering, livsmedel och industriproduktion fångas upp beroende på hur beroende deras tjänster är av nätverk och system.

Storlekströsklar och jurisdiktion

Verksamheter med fler än 49 anställda eller med omsättning över 10 miljoner euro i relevanta sektorer omfattas. PTS har tydliggjort att hela verksamheten kan omfattas om tjänster enligt bilagor erbjuds, och vissa aktörer omfattas oavsett storlek.

  • Praktiskt råd: kartlägg era tjänster mot direktivets bilagor, avgör om ni omfattas nis2 och registrera er hos rätt tillsynsmyndighet.

Incidentrapportering enligt NIS2/CSL: betydande incidenter, tider och var du rapporterar

Vi förklarar vad som räknas som en betydande incident, när tidsfristerna börjar löpa och hur ni säkerställer korrekt rapportering till ansvarig myndighet.

Vad är en betydande incident och när startar klockan för rapportering?

En betydande incident är en händelse som orsakat eller kan orsaka allvarlig driftsstörning för tjänsten, ekonomisk skada eller materiell/immateriell skada för tredje part.

Klockan för rapportering börjar ticka när verksamhetsutövaren får kännedom om incidenten. Organisera snabb detektion, triage och beslut så att första föranmälan och följdrapporter kommer in i tid.

Vart rapporterar man? MSB och eIDAS2

Rapportering ska ske till MSB oavsett sektor. Leverantörer av betrodda tjänster behöver dessutom lämna rapport enligt eIDAS2; koordinera så att samma händelse inte rapporteras onödigt dubbelt.

I rapporten bör ni ange en tydlig beskrivning av incidenten, påverkan, vidtagna åtgärder, planerade steg, tidslinje och kontaktpunkt för myndigheten.

Flera länder och sanktionsprinciper

Om en incident berör flera medlemsstater gäller jurisdiktionsregler: aktörer med huvudsakligt etableringsställe rapporterar i ett land, medan etablerade eller tjänstelevererande aktörer kan få flera rapporteringsplikter.

Sanktioner kopplas till bristande efterlevnad, inte enbart till att en incident inträffat. Dokumentera beslut och lärdomar för att visa att ni agerat enligt tillsynens förväntningar.

  • Frågor svar: Sätt upp klara interna roller för incidentrapportering och öva processen regelbundet.
  • Svar NIS2: Bygg mallar för rapporter så att ni snabbt fyller i de fält myndigheten kräver.
  • Läs mer: Använd MSB:s vägledning för detaljerad formulärhantering och kontaktpunkter.

Så förbereder sig verksamheter inför NIS2: från gap-analys till löpande tillsyn

Vi visar konkreta steg för att gå från kartläggning till löpande tillsyn, så att er organisation kan agera effektivt.

Gör bedömning om ni omfattas och förbered registrering hos relevant tillsynsmyndighet. Använd sektorkriterier, storlekströsklar och tjänsteportföljen för att avgöra er status.

Genomför en gap-analys mot reglerna och prioritera riskhanteringsåtgärder utifrån påverkan och genomförbarhet. Vi hjälper er att vidta lämpliga kontroller i rätt ordning och säkra ledningsstöd samt budget.

Bygg ramverk och leverantörsstyrning

Skapa policyer, processer, loggning, övervakning och kontinuitetsplaner. Testa återställning regelbundet och mät mognad med nyckeltal för tillsyn.

Vid upphandling ställ tydliga krav för hanterade tjänster och hanterade säkerhetstjänster, använd due diligence och SLA:er, och samla bevis för efterlevnad.

  • Strukturerad bedömning av omfattning och registrering.
  • Gap-analys och prioritering av åtgärder.
  • Ramverk med tekniska och organisatoriska kontroller.
  • Leverantörsstyrning för hanterade tjänster och säkerhetstjänster.
  • Nyckeltal, dashboards och operativ hjälp för frågor svar nis2.
Steg Aktivitet Resultat
1 Gör bedömning av omfattning Beslut om registrering hos relevant tillsynsmyndighet
2 Gap-analys mot krav Prioriterad åtgärdsplan
3 Implementera ramverk Minska risk med dokumenterade kontroller
4 Leverantörsstyrning Säkrade SLA:er och bevis på efterlevnad

Slutsats

Sammanfattningsvis handlar det om att bygga ett skalbart ramverk som täcker leverantörer, infrastruktur och de tjänster som gör er verksamhet samhällsviktig. Ett sådant program stärker er cybersäkerhet, minskar risken för driftstörningar och skapar tydlighet i hur incidenter hanteras och rapporteras.

Verksamhetsutövare och företag i berörda sektorer behöver agera nu, eftersom EU:s regler redan påverkar vissa digitala leverantörer och den svenska implementeringen väntas som cybersäkerhetslagen. Vi rekommenderar att ni prioriterar risk, involverar ledningen och samlar bevis för tillsyn, så att MSB och andra myndigheter får kompletta underlag. Läs mer och förbered svar på interna frågor för att möta inför nis2-direktivet med kontroll och affärsnytta.

FAQ

Vilka åtgärder ställer NIS2 upp för riskhantering i organisationer?

NIS2 kräver ett systematiskt, riskbaserat informationssäkerhetsarbete som omfattar löpande riskbedömningar, kontinuerlig övervakning, incidenthantering, kontinuitetsplaner och regelbundna tester såsom penetrationstester och sårbarhetsskanningar. Ledningen ska säkerställa resurser, rutiner för rapportering och uppföljning, samt integrera säkerhet i utvecklings- och förändringsprocesser.

Hur påverkar NIS2 ledningens ansvar och styrning?

Direktivet förtydligar att företagsledningen bär ansvar för cybersäkerheten, inklusive beslut om policyer, utbildning, riskacceptans och tillsyn. Det innebär krav på dokumenterad styrning, regelbunden rapportering till styrelse eller motsvarande, samt möjlighet till sanktioner om kraven inte efterlevs.

Vilka tekniska och organisatoriska kontroller rekommenderas enligt NIS2?

NIS2 framhåller övervakning av nätverk och system, logghantering, incidentresponsteam, säkerhetskopiering, återställningstester, åtkomstkontroller, kryptering där det är relevant, samt krav på leverantörshantering och kontinuitetsplanering för kritiska funktioner.

Hur berörs molnleverantörer, datacenter och hanterade säkerhetstjänster av NIS2?

Digitala leverantörer som moln, datacenter, DNS, CDN och hanterade säkerhetstjänster omfattas av särskilda genomförandeakter och krav på transparens, säkerhetskontroller, incidentrapportering och leverantörsbedömningar för att skydda försörjningskedjan.

Vad ställer NIS2 för krav på leverantörs- och försörjningskedjerisker?

Organisationer måste bedöma och hantera risker i hela leverantörskedjan, ställa säkerhetskrav i avtal, genomföra leverantörsgranskningar och ha planer för att hantera störningar orsakade av tredje part, inklusive underleverantörer för digital infrastruktur.

Vilka praktiska krav finns kring penetrationstestning och säker utveckling?

NIS2 uppmuntrar regelbundna penetrationstester, säkerhetsgranskningar av kod och leverantörer, samt att säkerhet integreras tidigt i utvecklingslivscykeln (DevSecOps). Resultat ska leda till åtgärder och uppföljning för att minska identifierade sårbarheter.

Hur fungerar övergången från EU-direktiv till svensk lagstiftning, inklusive cybersäkerhetslagen (CSL)?

EU:s direktiv ska implementeras i nationell lagstiftning, vilket i Sverige sker genom anpassningar i befintlig lagstiftning som CSL samt sektorsspecifika förordningar. MSB och andra tillsynsmyndigheter förbereder vägledningar och tidsplaner för införande och tillsyn.

Vilka myndigheter kommer att ha tillsyn över NIS2 i Sverige?

MSB får en koordinerande roll, medan sektorsvisa tillsynsmyndigheter som PTS, Energimyndigheten och andra ansvarar för tillsyn inom sina sektorer. Myndigheternas ansvar och samspel tydliggörs i nationella regler och vägledningar.

Vilka sektorer och leverantörer omfattas av NIS2?

Direktivet omfattar väsentliga och viktiga verksamheter inom energi, vatten, hälso- och sjukvård, offentlig förvaltning, transport, post- och budtjänster, livsmedel, tillverkning samt digital infrastruktur som moln, datacenter och betrodda tjänster.

Hur avgörs om en verksamhet omfattas utifrån storlekströsklar och omsättning?

Omfattning bestäms av sektor, verksamhetens storlek, global omsättning och kritikalitet. Tröskelvärden specificeras i lagstiftning och vägledningar; små aktörer kan undantas medan större företag ofta omfattas fullt ut.

På vilka sätt påverkas post- och budtjänster av direktivet?

Post- och budtjänster som bedöms som väsentliga eller viktiga måste införa riskstyrda säkerhetsåtgärder, säkerställa leveranskontinuitet och rapportera betydande incidenter enligt reglerna, liksom andra infrastruktursektorer.

Vad räknas som en betydande incident och när börjar rapporteringstiden löpa?

En betydande incident definieras utifrån påverkan på tillgänglighet, konfidentialitet och integritet, samt samhällspåverkan och ekonomisk skada. Rapporteringstiden börjar normalt när händelsen identifieras och verksamheten bedömer att den når tröskel för betydande påverkan.

Var ska incidenter rapporteras i Sverige och hur samverkar det med eIDAS2?

Incidenter rapporteras till relevant tillsynsmyndighet, ofta MSB eller sektorsmyndigheten, beroende på verksamhet. Samarbete med eIDAS2 och andra EU-ramverk säkerställer informationsutbyte och gränsöverskridande hantering.

Hur hanteras incidenter som berör flera länder och vilken jurisdiktion gäller?

Vid gränsöverskridande incidenter ska verksamheter rapportera till berörda medlemsländers myndigheter enligt regler för samverkan. Jurisdiktion och sanktioner följer nationell implementering och internationella samarbeten för att säkerställa konsekvent hantering.

Hur bör en verksamhet inleda förberedelser inför NIS2?

Starta med en gap-analys för att avgöra om ni omfattas, identifiera kritiska funktioner och leverantörer, skapa en handlingsplan för att uppfylla krav, registrera er hos relevant tillsynsmyndighet och etablera kontinuerliga tester och rapporteringsrutiner.

Vilka komponenter ingår i ett starkt säkerhetsramverk enligt NIS2?

Ett komplett ramverk innehåller policys, processer för risk- och incidenthantering, övervakning och logghantering, kontinuitetsplaner, regelbunden utbildning, leverantörskontroller och dokumenterad styrning samt test- och förbättringscykler.

Hur ska upphandling och samarbete med hanterade tjänster hanteras?

Vid upphandling av hanterade tjänster måste ni ställa tydliga krav på säkerhet, integrera leverantörsklausuler om incidentrapportering och revision, genomföra leverantörsbedömningar och säkerställa att tredje part lever upp till era riskkrav.

Vilken information finns att läsa mer om och vem kan ge vägledning för införandet?

MSB samt sektorsmyndigheter publicerar vägledningar och checklistor, och jurister eller cybersäkerhetskonsulter kan bistå i bedömningar. Vi rekommenderar att ni tidigt kontaktar relevant tillsynsmyndighet för att säkerställa korrekt registrering och efterlevnad.

Opsio erbjuder hanterade tjänster och molnkonsulting för att hjälpa organisationer att implementera och hantera sin tekniska infrastruktur effektivt.

Written By

Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO at Opsio

Fredrik is the Group Chief Operating Officer and Chief Information Security Officer at Opsio. He focuses on operational excellence, governance, and information security, working closely with delivery and leadership teams to align technology, risk, and business outcomes in complex IT environments. He leads Opsio's security practice including SOC services, penetration testing, and compliance frameworks.

View all articles →LinkedIn

Editorial standards: Denna artikel är skriven av molnpraktiker och granskad av vårt ingenjörsteam. Vi uppdaterar innehållet kvartalsvis. Opsio upprätthåller redaktionellt oberoende.

Vill du implementera det du just läst?

Våra arkitekter kan hjälpa dig omsätta dessa koncept i praktiken.

Prata med en arkitekt