Inga produkter i varukorgen.
NIS2 i praktiken – vad svenska verksamheter måste göra nu
GUIDE NIS2 skärper kraven på cybersäkerhet och gör ansvaret till en tydlig ledningsfråga. Lagen omfattar fler verksamheter än tidigare och ställer högre krav på styrning, uppföljning och ansvar.
Johanna Nilsson, MCF. Foto: Pressbild & Adobe stock.
NIS2 är ett EU-direktiv som syftar till att höja den generella nivån på cybersäkerhet i hela unionen. Bakgrunden är både ett försämrat säkerhetsläge och att samhället i allt större utsträckning är beroende av digitala system.
Någonting är fel
Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
Techtidningen premium
Läs vidare – starta din prenumeration
Redan prenumerant? Logga in och läs vidare.
– Syftet är att stärka samhällets motståndskraft och säkerställa att viktiga verksamheter fortsätter fungera även om de utsätts för störningar, säger Johanna Nilsson, informationssäkerhetsspecialist på Myndigheten för civilt försvar.
I Sverige genomförs NIS2 genom den nya cybersäkerhetslagen, som träder i kraft den 15 januari 2026.
Fler verksamheter omfattas
NIS2 bygger vidare på tidigare reglering, men med ett tydligt bredare anslag. Sektorer som redan tidigare omfattats – som energi, dricksvatten, transporter samt hälso- och sjukvård – finns kvar. Samtidigt tillkommer fler verksamheter som anses viktiga för samhällets funktion.
Det gäller bland annat:
- offentlig förvaltning
- livsmedelssektorn
- tillverkning av vissa produkter som är viktiga ur försörjningssynpunkt
– Med NIS2 utvidgas omfattningen till fler verksamheter som är avgörande för att samhället ska fungera även vid störningar, säger Johanna Nilsson.
Alla vet ännu inte att de omfattas
I vissa sektorer är det redan tydligt vilka som berörs. Kommuner och regioner inom offentlig förvaltning är ett exempel. I andra, särskilt nya tillverkningssektorer, pågår fortfarande arbete med att identifiera vilka verksamheter som faktiskt omfattas.
– På vissa områden finns det ännu inte en helt färdig bild av vilka verksamhetsutövarna är, säger hon.
Storleken spelar roll – men inte alltid
För att omfattas av NIS2 krävs i normalfallet två saker:
- att verksamheten tillhör någon av de sektorer som omfattas
- att den uppfyller EU:s storlekskriterier
Som huvudregel omfattas medelstora och stora organisationer, medan små och mikroföretag normalt sett faller utanför. Medelstora företag definieras enligt EU:s klassificering som verksamheter med minst 50 anställda eller en omsättning över 10 miljoner euro.
I vissa fall gäller dock kraven oavsett storlek.
I praktiken – vad lagen kräver
I praktiken innebär NIS2 att organisationer som omfattas måste ta ett samlat grepp om sitt cybersäkerhetsarbete. Det börjar med att identifiera att man faktiskt omfattas av regleringen och anmäla sig till ansvarig tillsynsmyndighet. Därefter ställs krav på att införa lämpliga säkerhetsåtgärder, säkerställa att berörd personal får utbildning och att det finns rutiner för att rapportera betydande incidenter och informera om cyberhot.
Det handlar inte om att installera ytterligare ett säkerhetssystem, utan om att bygga upp ett långsiktigt, systematiskt arbete där risker identifieras, hanteras och följs upp över tid.
Ledningens roll är den stora förändringen
Den kanske största skillnaden jämfört med tidigare reglering är att cybersäkerhet tydligt flyttas upp till ledningsnivå. Det som tidigare ofta har betraktats som en teknisk fråga blir nu en del av den ordinarie verksamhetsstyrningen.
– Det som ofta underskattas är ledningens roll. Styrning av cybersäkerhet måste vara en del av den ordinarie verksamhetsstyrningen och involvera ledningen, detta kravställs nu på ett helt annat sätt än tidigare, säger Johanna Nilsson.
Det räcker inte att ledningen avsätter resurser eller delegerar ansvaret till it-avdelningen. Ledningen förväntas också följa upp arbetet och ha en grundläggande förståelse för verksamhetens cybersäkerhetsrisker.
– Det är inte en fråga som kan lämnas till it-avdelningen. Det här är en verksamhetsfråga och en ledningsfråga.
Samtidigt skärps sanktionsmöjligheterna. Sanktionsavgifterna kan bli betydligt högre än tidigare, och i allvarliga fall kan åtgärder även riktas direkt mot personer i ledningen.
Vad bör man göra först?
Hur omfattande omställningen blir beror i hög grad på var organisationen befinner sig i dag. Verksamheter som redan har ett etablerat säkerhetsarbete kan ofta bygga vidare på befintliga strukturer och justera dem till de nya kraven. För organisationer som inte har arbetat systematiskt med cybersäkerhet tidigare är utgångsläget ett annat.
– Har man inte jobbat systematiskt med cybersäkerhet tidigare är mitt råd att börja i det lilla, säger hon.
Ett första steg är ofta att tydliggöra ansvar och utse någon som får mandat att hålla ihop arbetet. Därefter handlar det om att utgå från de egna riskerna och prioritera, snarare än att försöka uppfylla alla krav på en gång.
– Man behöver inte ha en person som gör allt, men någon som driver arbetet framåt och ser till att det hänger ihop.
Stöd finns – men ansvaret är verksamhetens
För verksamheter som behöver stöd finns vägledningar och verktyg att ta hjälp av. Myndigheten för civilt försvar tillhandahåller bland annat Cybersäkerhetskollen, som kan användas för att få en bild av nuläget och identifiera vilka åtgärder som bör prioriteras.
Men ansvaret för att arbetet faktiskt blir gjort ligger ytterst hos verksamheten själv. NIS2 är inte tänkt som en checklista som bockas av, utan som ett ramverk som ska integreras i hur organisationen leds och styrs.
