NIS2 i Sverige – hur påverkas din verksamhet?

NIS2-direktivet innebär skärpta krav på cybersäkerhet i hela EU, och berör långt fler verksamheter än det första NIS-direktivet. Vad innebär NIS2 för din organisation, hur förbereder du dig på bästa sätt – och hur kan NIS2 hjälpa dig äska större it-budget från ledningen?

Vad är NIS2?

NIS står för security of network and information systems. Det första NIS-direktivet antogs av Europaparlamentet och -rådet 2016 och blev en del av svensk lagstiftning 2018. Det nya NIS2-direktivet kan beskrivas som en utvidgning av NIS. Syftet med de här direktiven är att skapa gemensamma juridiska ramverk för cybersäkerhet inom EU:s medlemsländer, för att på sikt öka cyberresiliensen inom unionen. – Införandet av NIS2 är en game-changer för cybersäkerhet i EU. Att agera tidigt kommer att spara både tid och resurser i framtiden, samtidigt som det ökar företagets trovärdighet, säger Johan Caripson, Commercial Business Manager på GlobalConnect.

Hur skiljer sig NIS2 direktiv mot det tidigare NIS-direktivet?

Här nedan listar vi tre viktiga förändringar att hålla koll på.

1. NIS2 omfattar fler sektorer

Det första NIS-direktivet omfattade ”leverantörer av samhällsviktiga tjänster” inom privat och offentlig sektor. Detta gällde främst bankverksamhet, energi, sjukvård, transporter, digital infrastruktur och dricksvattenförsörjning. NIS2 omfattar flera nya sektorer, som bland annat offentlig förvaltning, hantering av avloppsvatten och förvaltning av IKT-tjänster.

2. Tydligare säkerhetskrav med NIS2 – så påverkas din organisation

Med NIS2 införs ett minimikrav för åtgärder, till exempel när det gäller hanteringen av risker i leverantörskedjan. Varje medlemsland ska säkerställa att de aktörer som berörs vidtar tekniska, operationella och organisatoriska åtgärder för att öka cybersäkerheten. Det innebär bland annat att kunskap om cyberhygien behöver förankras i de olika verksamheterna genom rutiner, zero trust-principer, utbildning av medarbetare och översyn av system.

3. Krav på mer detaljerad rapportering vid incidenter

De berörda aktörerna behöver rapportera om till exempel allvarliga säkerhetsincidenter på en mer detaljerad nivå än tidigare.

Vilka omfattas av NIS2 i Sverige?

Generellt omfattas verksamheter som anses tillhandahålla samhällsviktiga eller samhällskritiska tjänster och som uppfyller vissa storlekskriterier. Verksamheterna delas in i två kategorier: – Väsentliga entiteter: Dessa verkar inom högkritiska sektorer och utsätts för striktare tillsyn och högre sanktionsavgifter vid bristande efterlevnad. – Viktiga entiteter: Dessa verkar inom övriga kritiska sektorer och har lägre sanktionsavgifter, men måste fortfarande uppfylla säkerhetskraven. För att omfattas måste verksamheten oftast vara ett medelstort eller stort företag, vilket definieras som fler än 50 anställda, eller en omsättning eller balansomslutning som överstiger 10 miljoner euro per år. Det finns dock undantag från storlekskriteriet för vissa särskilt kritiska verksamheter, som till exempel tillhandahållare av elektroniska kommunikationsnät eller digitala tjänster.

Finns det en tidsplan för NIS2 i Sverige?

NIS2 Direktivet antogs i EU i december 2022. I Sverige trädde själva direktivet i kraft den 18 oktober 2024. Det är upp till varje enskilt EU-land att införliva direktivet i sin egen lokala lagstiftning. Exakt hur lagen kommer att utformas i Sverige är inte helt klart än. Lagförslaget för NIS2-direktivet i Sverige, presenterades i delbetänkandet “Nya regler om cybersäkerhet” (SOU 2024:18), var ute på remiss under mars till maj 2024. Då gjordes en statlig utredning med detaljerade förslag på hur regelverket skulle kunna tillämpas. Regeringen har därefter, i juni 2025, presenterat en lagrådsremiss baserad på utredningen. Detta är ytterligare ett steg i lagstiftningsprocessen innan det slutgiltiga lagförslaget presenteras för riksdagen hösten 2025. NIS2-direktivet väntas införas i svensk lag och träda i kraft den 15 januari 2026.

Vad händer om min organisation inte följer NIS2?

Om din verksamhet omfattas av NIS2, men inte lever upp till kraven i direktivet, kan det leda till böter på upp till 10 miljoner euro eller två procent av företagets globala omsättning.

3 steg för att anpassa och förbereda din verksamhet för NIS2

Vilka åtgärder som krävs för att göra just din verksamhet NIS2-compliant beror på er nuvarande situation. Men här är tre goda råd på vägen.

1. Utgå från att din organisation omfattas av NIS2

Är du osäker på om din verksamhet omfattas av NIS2 eller inte? Då är det klokast att utgå från att ni berörs – antingen direkt eller indirekt som del av en längre leverantörskedja. Att öka cybersäkerheten är alltid en god investering, oavsett lagkrav. Dessutom stärker det din position på marknaden där du verkar. Aktörer som du levererar till kan nämligen mycket väl komma att ställa krav på NIS2-efterlevnad på sina underleverantörer för att teckna avtal.

2. Börja utvärdera dina behov och planera åtgärder i god tid

Om du inte redan har satt igång är det hög tid att börja. Tänk på att varje steg i processen – från att utvärdera ditt nuläge till att uppgradera tekniska lösningar, sätta upp rutiner och utbilda din personal – tenderar att ta betydligt längre tid än du tror. Att avvakta för att se hur andra agerar först är därför en högst riskabel strategi.

3. Avsätt resurser – eller effektivisera med smarta åtgärder

Det är omöjligt att sätta en exakt prislapp på vad det kommer att kosta just din organisation att bli NIS2-compliant. Men risken är stor att ni kommer behöva öka it-budgeten – eller åtminstone använda befintliga pengar på ett mer effektivt sätt. Ett sätt att effektivisera resurserna är att samla dina nätverkstjänster hos en leverantör.

NIS2 lyfter cybersäkerhet till en strategisk budgetfråga

Du som jobbar med it-frågor känner säkert igen synsättet att it ska fungera, men helst inte kosta. Enligt en Sifo-undersökning bland it-chefer anser nästan fyra av tio redan idag att deras budget inte är rimlig för uppdraget. Trots att cyber-attackerna blir fler verkar svenska företag tveka att höja sin it-säkerhetsbudget. Det ekonomiska utgångsläget för en massiv uppgradering kan alltså se mörkt ut. Men NIS2-direktivet förser dig med starka argument till varför it borde få mer resurser. Att investera i en solid säkerhetsstruktur som är långsiktigt hållbar är nämligen betydligt billigare än att försöka lappa och laga med kortsiktiga punktinsatser. För att inte tala om de böter organisationen kan få om kraven inte följs. Om dessa argument inte räcker kan du peka på risken att gå miste om affärer i takt med att era befintliga och potentiella kunder börjar kräva NIS2-efterlevnad. I förlängningen kommer NIS2 innebära en ny, högre standard för IT-säkerhet generellt. Och då vill varken du eller ledningen att er verksamhet sticker ut som ett mindre säkert alternativ.