Så ligger Sverige till när deadlinen till NIS2 passeras

– Sverige ligger helt klart efter när det gäller den nationella anpassningen. Direktivet har i praktiken varit i kraft i snart ett och ett halvt år, men den svenska lagstiftningen har dröjt, säger Pernilla Rönn till Techtidningen.

Enligt Pernilla har osäkerheten kring när lagen faktiskt skulle komma haft en tydlig effekt ute på marknaden.

– Eftersom lagstiftningen har dragit ut på tiden har många organisationer där ute blivit avvaktande. Tendensen har blivit att man suttit och väntat på exakt lagtext och myndighetsföreskrifter i stället för att våga starta sitt arbete. Det har skapat en viss förlamning, säger hon.

Utdragen process – positiv effekt

Sverige är inte det enda landet i Europa som varit sent ute. Samtidigt finns det länder som var tidigt ute vilket i sin tur gjort att de redan hunnit längre.

– Finland är ett bra exempel. De har haft sin lagstiftning på plats ett tag, och där finns det absolut lärdomar att dra. Det är faktiskt en av fördelarna med att inte vara först, man kan titta på hur grannländerna har gjort och undvika vissa misstag, säger Pernilla.

Hon menar också att den utdragna processen på sitt sätt kan ha haft en positiv effekt på själva regelverket.

– Förhoppningsvis innebär det att lagen är mer genomarbetad nu. Många har varit involverade, många har tyckt till, och det borde ge en mer stabil reglering i slutändan.

Frågan om omfattning

När det under hösten 2025 blev tydligt att lagstiftningen skulle träda i kraft i januari skedde det ett tydligt skifte i hur organisationer förhöll sig till NIS2, enligt Pernilla Rönn.

– Tempot ökade rejält. Organisationer började på allvar fråga sig om de omfattas eller inte, och hur de står sig i förhållande till kraven, även om alla detaljer inte var klara.

Särskilt frågan om omfattning har varit svår för många, inte minst i det privata näringslivet.

– För vissa är det självklart att de omfattas, till exempel kommuner och de som uppenbart är samhällskritiska aktörer. För många privata företag är det mer oklart. Många förstår att de påverkas indirekt som leverantörer, men är osäkra på om de omfattas direkt av lagkraven.

Upplever ni stor skillnad i hur väl rustade olika organisationer där ute är?

– Vissa, ofta större organisationer, har redan ett systematiskt arbetssätt på plats och har jobbat med informationssäkerhet länge, till exempel enligt ISO-standarder. Andra är helt nya i den här typen av arbete och har en betydligt längre resa framför sig.

Det märks också i vilken typ av stöd organisationer efterfrågar, enligt Pernilla.

– I nuläget hjälper till exempel vi på HiQ våra kunder att analysera nuläget och tolka regelverket. Nästa steg är att förstå var man står i dag i förhållande till kraven, så att man kan se gapet och planera vägen framåt.

“Kräver tid och struktur”

Ett område som många organisationer nu brottas med är leverantörshantering och risker i i den kedjan.

– Många är fortfarande väldigt fokuserade på risk mot sin egen verksamhet och den egna interna miljö. Men NIS2 kräver att man lyfter blicken och ser till hela ekosystemet runt verksamheten, säger Pernilla.

Grunden är enligt Pernilla att organisationerna måste förstå vad som faktiskt är kritiskt.

– Man måste börja med att identifiera vad som är kritiskt och viktigt för den egna verksamheten. Sedan behöver man förstå vilka av dessa funktioner eller informationsflöden som hanteras av externa leverantörer och säkerställa att säkerheten där är lika god.

Just det arbetet är ofta mer omfattande än många tror.

– Att kartlägga vad som är kritiskt och spåra det hela vägen ner till tekniska system och informationsflöden kräver både tid och struktur. Där behöver många ta ett omtag.

NIS2 innebär också ett tydligare ansvar för ledningsgrupper och styrelser, något som enligt Pernilla inte alltid är självklart i praktiken.

– Det kommer väldigt mycket ny reglering just nu, och det är orimligt att ledningar ska vara experter på allt. Samtidigt faller ett större ansvar på dem, vilket gör det viktigt att de får rätt förutsättningar att fatta beslut.

Det ställer i sin tur krav på it- och säkerhetsfunktioner.

– Det blir extra viktigt att kunna rapportera och kommunicera på ett sätt som ledning och styrelse förstår. Många organisationer kämpar med att hitta rätt KPI:er och mätetal som faktiskt betyder något på den nivån.

“Inga konstiga krav”

Inför de kommande månaderna varnar Pernilla för att fastna i ett alltför snävt compliance-perspektiv.

– Grundtanken med NIS2 och den svenska cybersäkerhetslagen är att vi faktiskt ska bli bättre. Det handlar om att stärka den operativa förmågan, kunna motstå attacker och återhämta sig snabbare – inte bara om att bocka av krav i en lista.

Hon understryker att kraven i sig inte är särskilt kontroversiella ur ett säkerhetsperspektiv.

– Det är inga konstiga krav. Det handlar om grundläggande, systematiskt och riskbaserat informationssäkerhetsarbete. Utmaningen är att göra det på riktigt och inte fastna i regeltexten.

När lagen nu träder i kraft spår Pernilla att många organisationer kommer att sätta full fart.

– Jag tror det kommer att skilja mycket beroende på mognadsgrad, men för många blir det nu startskottet på ett mer strukturerat arbete. Det kommer att väcka frågor, särskilt kring omfattning och ansvar.

Hon hoppas också på ökad samverkan mellan organisationer.

– Inom den finansiella sektorn såg vi, i samband med andra regelverk som DORA, hur mycket man vann på att samarbeta kring tolkningar och erfarenheter. Cybersäkerhet är i grunden en nationell fråga, och om NIS2 kan bidra till mer samarbete vore det en väldigt positiv effekt.

Om ett år, menar hon, kommer det att gå att utvärdera om lagen verkligen gjort skillnad.

– Då ser vi om vi faktiskt har blivit bättre tillsammans. Det är först då NIS2 verkligen kan mätas.