Utanför lagen – men indirekt berörd: Så påverkas advokatbyrån Vinge av NIS2

NIS2 Advokatbyrån Vinge faller utanför Cybersäkerhetslagen, men berörs indirekt på flera sätt. Advokaten Lisa Bourghardt ger en inblick i Vinges NIS2-arbete och bjuder på tips till it-ledare som omfattas av reglerna.

Utanför lagen – men indirekt berörd: Så påverkas advokatbyrån Vinge av NIS2
Lisa Bourghardt, Vinge

Advokatbyrån Vinge faller utanför de 18 sektorer som nu omfattas av den nya Cybersäkerhetslagen/NIS2. Men verksamheten påverkas ändå indirekt – i egenskap av leverantör till klienter som lyder under regelverket.

Någonting är fel

Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
Techtidningen premium

Läs vidare – starta din prenumeration

    Redan prenumerant?

    – Eftersom våra klienter måste säkerställa att alla deras leverantörer, inklusive advokatbyråer, uppfyller relevanta säkerhetskrav blir vi också påverkade i vårt eget säkerhetsarbete, säger Lisa Bourghardt, advokat på Vinge.

    Rådger klienter om NIS2

    Lisa Bourghardt är en erfaren jurist specialiserad inom immaterialrätt. De senaste åren har hon fördjupat sig i de nya EU-reglerna kring cybersäkerhet och rådgett kring tillämpningen.

    – Som jurist hjälper jag mina klienter att analysera om och på vilket sätt kraven omfattar dem. Sedan går vi igenom vad det innebär i praktiken.

    Rådgivarrollen påverkar också den egna verksamheten – inte minst genom kravet på att vara uppdaterad och påläst.

    På vilket sätt påverkar Cybersäkerhetslagen/NIS2 er och era kunders verksamhet?

    – Först och främst tydliggör NIS2 att ledningen har ett ansvar för att säkerhetsarbetet blir genomfört på ett strukturerat sätt. Lagen innehåller också en juridisk påtryckning, inte minst genom de höga sanktionsavgifterna som kan bli aktuella för dem som inte efterlever kraven.

    – I förhållande till det säkerhetsarbete vi redan bedriver innebär NIS2 inga revolutionerande nyheter. Men det tillkommer vissa kompletterande krav, exempelvis kring dokumentation och incidentrapportering.

    – För många av våra klienter är den största utmaningen att avgöra om regelverket omfattar dem. Sedan handlar det om att översätta de juridiska kraven till praktiskt fungerande arbetssätt, att etablera tydlig styrning och säkerställa ledningens engagemang och ägarskap.

    FAKTA

    Detta är NIS2

    • NIS2 är EU:s uppdaterade cybersäkerhetsdirektiv och omfattar verksamheter inom exempelvis energi, transport, hälso- och sjukvård, finans, digital infrastruktur och offentlig förvaltning.
    • Även leverantörer till dessa verksamheter påverkas indirekt genom krav i leveranskedjan
    • Regelverket ställer krav på riskhantering, incidentrapportering och tydligt ledningsansvar.
    • Vid bristande efterlevnad kan sanktionsavgifter uppgå till 10 miljoner euro eller två procent av den globala årsomsättningen.
    • Jämfört med NIS1 omfattar NIS2 fler företag i sektorer, har mer detaljerade krav och uttryckligt ledningsansvar.
    • I Sverige genomförs NIS2 genom den nya Cybersäkerhetslagen.

    Hur har ni förberett organisationen för NIS2?

    – Säkerhetsarbetet har länge varit högt prioriterat på Vinge, med kontinuerliga riskbedömningar och uppföljande åtgärder. En förändring som regelverket drivit på är en ökad och mer systematisk dokumentation. Exempelvis dokumenterar vi i dag genomlysningar av befintliga och potentiella leverantörer på ett mer strukturerat sätt.

    – En annan central del är att löpande adressera ”den mänskliga faktorn”. Vår bedömning är att användarbeteenden utgör en av de största riskerna. Därför satsar vi på kompetenshöjning inom informations- och cybersäkerhet för samtliga medarbetare. Bland annat genomför vi återkommande utbildningar och övningar som successivt ökar i svårighetsgrad.

    Vad har varit mest utmanande hittills?

    – Cybersäkerhetsområdet utvecklas snabbt och hotbilden ökar, vilket gör att vi behöver uppdatera våra riskbedömningar oftare. Den höga förändringstakten är en utmaning i sig, både för oss och för våra klienter.

    – En ytterligare utmaning är att få kontroll över leveranskedjan och kunna ställa rimliga, men samtidigt tydliga och skarpa, säkerhetskrav på leverantörerna.

    Hur har NIS2 påverkat era krav på leverantörer och it-partners?

    – Eftersom vi som advokatbyrå hanterar mycket känslig information har vi högt ställda säkerhetskrav i leverantörsledet. Dessa krav är avgörande för vilka leverantörer och system vi väljer att arbeta med. Så var det redan innan NIS2, skillnaden nu är att vi i ännu högre grad behöver dokumentera våra utvärderingar och analyser.

    Vad tycker du om Cybersäkerhetslagen/NIS2 generellt – blir vi säkrare eller är det mest en regelbörda?

    – Det innebär utan tvekan en ökad regelbörda. Men om cybersäkerhetsarbetet blir mer systematiskt och kan genomföras i praktiken är det i grunden positivt. Både för enskilda organisationer och för samhällets samlade säkerhet.

    Har du några bra råd att dela med dig av till it-ledare som ska arbeta med NIS2/Cybersäkerhetslagen?

    – Börja med styrning och ansvar snarare än teknik. NIS2 är i grunden ett lednings- och verksamhetsprojekt, inte ett renodlat it-projekt. Det är därför avgörande att tidigt säkerställa ledningens engagemang.

    – Ett annat tips är att lägga stor vikt vid ”den mänskliga faktorn”, utbildning och övning. Teknik är nödvändigt, men verklig effekt går först att uppnå när säkerhetsarbetet är integrerat i vardagen.

    3 TIPS

    Lisa Bourghardts NIS2-tips till CIO:er

    1. Fastställ om NIS2/cybersäkerhetslagen alls gäller för verksamheten. Analysen måste bli korrekt, eftersom felaktiga antaganden om att verksamheten inte omfattas kan få negativa legala konsekvenser.
    2. Börja med styrning och ansvar snarare än teknik och säkerställ ledningens engagemang. NIS2 är i grunden ett lednings- och verksamhetsprojekt, inte ett renodlat it-projekt.
    3. Lägg stor vikt vid den ”mänskliga faktorn”. Verklig effekt uppnås först när säkerhetsarbetet integreras i vardagen, genom utbildning och övning.
    Compliance Cybersäkerhetslagen NIS2 Professional säkerhet
    publicerad 15 januari 2026
    av Alexandra Heymowska

    Senaste artiklarna

    Premium
    GUIDE

    8-stegsraket för automation: Så går Tele2 från idé till mätbar nytta

    20 timmar sedan
    Premium
    tech idag

    Tieto tillsätter två nya chefer

    21 timmar sedan
    Premium
    tech idag

    AI-startup tar in 1,1 miljarder dollar

    21 timmar sedan
    Premium
    tech idag

    Accenture rullar ut Copilot till 743 000 anställda

    21 timmar sedan
    krönika

    ”Telefonin vägrar att dö – dags att anpassa kontaktcentret till den nya verkligheten”

    23 timmar sedan
    Hämtar fler artiklar
    Till startsidan
    Techtidningen

    Techtidningen Premium

    Nyhetstjänsten för dig som jobbar med professionell kommunikation. Få nischade nyhetsbrev för ditt intresseområde och utbildnings-tv.
    Prenumerera Logga in

    Utbildnings-TV

    Till avdelningen
    branschen

    TechTorsdag: Så bygger du digital motståndskraft – it-chefens checklista

    19 mars
    branschen

    TechTorsdag: Vad kan vi förvänta oss av techåret 2026?

    19 december 2025
    AI

    TechTorsdag: Hur står sig Sverige i AI-kapplöpningen?

    28 november 2025
    Premium
    utbildnings-tv

    Utbildnings-tv: It-chefens checklista för att höja säkerheten (Del 3/3)

    20 november 2025
    Premium
    utbildnings-tv

    Utbildnings-tv: It-chefens checklista för att höja säkerheten (Del 2/3)

    13 november 2025