NIS2

Vad är NIS2? En komplett guide för svenska företag

Lär dig allt om NIS2-direktivet och Cybersäkerhetslagen, vilka organisationer som omfattas, vanliga fallgropar, och hur du förbereder dig steg för steg.

Kim Borg
Kim Borg Grundare & VD
4 min läsning
  1. 18
    sektorer omfattas av NIS2, upp från 7 i det ursprungliga NIS-direktivet
    EU-kommissionen
  2. 24
    timmar är tidsramen för initial incidentrapportering
    NIS2-direktivet Artikel 23
  3. 10
    miljoner euro eller 2% av global omsättning i maximala böter
    NIS2-direktivet Artikel 34
Företagsledare och säkerhetsrådgivare diskuterar NIS2-implementering

Vad är NIS2-direktivet?

NIS2 (Network and Information Security Directive 2) är EU:s uppdaterade ramverk för cybersäkerhet. Det ersätter det ursprungliga NIS-direktivet från 2016. I Sverige genomförs direktivet genom Cybersäkerhetslagen som trädde i kraft den 15 januari 2026.

Syftet är att skapa en högre och mer enhetlig nivå av cybersäkerhet i hela EU. Inte genom att skapa byråkrati, utan genom att stärka organisationers faktiska motståndskraft mot cyberhot.

Viktigt att förstå: NIS2 handlar inte bara om regelefterlevnad. Det är en möjlighet att stärka din organisations säkerhet och trovärdighet. Organisationer som ser det som en kulturförändring snarare än ett engångsprojekt lyckas bäst.

Omfattas din organisation?

Storlekskriterier

Generellt omfattas organisationer som uppfyller minst ett av följande kriterier:

  • Minst 50 anställda
  • Minst 50 miljoner kronor i årsomsättning

Sektorer med hög kritikalitet (väsentliga entiteter)

Dessa omfattas av de strängaste kraven och hårdaste sanktionerna:

  • Energi: el, olja, gas, fjärrvärme, vätgas
  • Transport: flyg, järnväg, vägtransport, sjöfart
  • Bankverksamhet och finansmarknadsinfrastruktur
  • Hälso- och sjukvård: sjukhus, laboratorier, läkemedel
  • Dricksvatten och avloppsvatten
  • Digital infrastruktur: DNS, datacenter, molntjänster
  • ICT-tjänstehantering (B2B managed services)
  • Offentlig förvaltning på central nivå
  • Rymden: markbaserad infrastruktur

Andra kritiska sektorer (viktiga entiteter)

  • Post- och budtjänster
  • Avfallshantering
  • Kemikalier
  • Livsmedelsproduktion och distribution
  • Tillverkning (medicinteknisk, elektronik, fordon)
  • Digitala leverantörer (marknadsplatser, sökmotorer)

OBS: Vissa kritiska tjänster, som DNS-leverantörer, kvalificerade betrodda tjänster och TLD-register, omfattas oavsett storlek. Underleverantörer kan också påverkas indirekt genom kundkrav.

Osäker på om ni omfattas? Använd vårt NIS2-klassificeringsverktyg för att snabbt få svar baserat på er verksamhet och storlek.

Vanliga fallgropar att undvika

Många organisationer gör samma misstag när de närmar sig NIS2. Här är de vanligaste fallgroparna:

Silobaserat arbete

Säkerhet behandlas som en ren IT-fråga i stället för en organisationsövergripande prioritet. NIS2 kräver att hela verksamheten deltar.

Bristande ledningsengagemang

Utan aktivt stöd från styrelse och ledning saknas mandat och resurser. NIS2 ställer uttryckliga krav på ledningens ansvar.

Resursbrist och underprioritering

Säkerhet ses som stödfunktion i stället för kärnverksamhet. Det leder till otillräckliga investeringar och halvhjärtade insatser.

Personberoende

Alltför stort beroende av enskilda nyckelpersoner skapar sårbarhet. Dokumentera och sprid kunskap och processer.

Grundproblemet: Säkerhet blir ett engångsprojekt i stället för en långsiktig kultur- och organisationsförändring.

Kom igång: steg för steg

Att förbereda sig för NIS2 behöver inte vara överväldigande. Här är en pragmatisk femstegsmodell:

  1. GAP-analys Kartlägg nuläget mot NIS2-kraven. Identifiera luckor inom teknik, processer, dokumentation och ansvarsfördelning. Det ger dig en tydlig bild av vad som behöver göras.
  2. Kunskapsbyggande Utbilda ledning, styrelse och nyckelfunktioner om direktivets krav och konsekvenser. Utan förståelse på rätt nivå är det svårt att få mandat och resurser.
  3. Strategisk planering Skapa en strukturerad årsplan med dokumenterad uppföljning. Dela upp arbetet i hanterbara delar med tydliga milstolpar och ansvariga.
  4. Tvärfunktionellt arbete Involvera hela organisationen: IT, juridik, HR och verksamhet. Utse en ansvarig, men undvik att samla allt hos en person eller avdelning.
  5. Riskbaserad prioritering Börja med de högsta riskerna. Genomför löpande förbättringar utifrån regelbundna riskbedömningar. Perfekt är fienden till tillräckligt bra.

“Resan är målet.” Det viktigaste är att börja där du är och ta små steg i rätt riktning. NIS2-efterlevnad är inte ett slutmål utan en kontinuerlig förbättringsprocess.

Incidentrapportering: de nya tidskraven

NIS2 inför betydligt striktare tidsfrister för rapportering av allvarliga säkerhetsincidenter:

TidsfristRapportInnehåll
24 timmarTidig varningFörsta meddelande om att en incident inträffat, preliminär bedömning av gränsöverskridande effekter
72 timmarIncidentmeddelandeUppdatering med bedömning av allvarlighetsgrad, påverkan och eventuella kompromissindikatorer
1 månadSlutrapportFullständig analys med rotorsak, vidtagna åtgärder och lärdomar

En incident räknas som “betydande” om den orsakat eller kan orsaka allvarlig driftsstörning, ekonomisk förlust, eller skada för andra.

Sanktioner och konsekvenser

NIS2 introducerar betydligt strängare sanktioner:

Väsentliga entiteter: Upp till €10 miljoner eller 2% av global årsomsättning

Viktiga entiteter: Upp till €7 miljoner eller 1,4% av global årsomsättning

Beroende på vilket belopp som är högst

Utöver böter kan tillsynsmyndigheter:

  • Kräva offentliggörande av överträdelser
  • Utfärda offentliga uttalanden som identifierar ansvariga
  • I allvarliga fall, utfärda tillfälliga förbud mot ledningsroller

Vill du fördjupa dig? Läs mer om NIS2-direktivets struktur och krav på vår ramverkssida.

Så kan Securapilot hjälpa

Securapilot erbjuder en komplett plattform för NIS2-efterlevnad som gör resan hanterbar:

  • Automatiserad GAP-analys: kartlägg nuläget mot NIS2-kraven
  • Riskhanteringsmodul: ISO 27005-baserad riskbedömning
  • Incidenthantering: automatisk rapportgenerering inom tidskraven
  • Leverantörshantering: säkerhet i hela leveranskedjan
  • Ledningsöversikt: överblick för styrelse och ledning

Boka en demo och se hur vi kan hjälpa din organisation på vägen mot NIS2-efterlevnad.

Vanliga frågor

När träder NIS2 i kraft i Sverige?

NIS2 implementeras i Sverige genom Cybersäkerhetslagen som trädde i kraft den 15 januari 2026. Organisationer som omfattas bör redan nu ha påbörjat sitt efterlevnadsarbete.

Vilka företag omfattas av NIS2?

Generellt omfattas organisationer med minst 50 anställda eller 50 miljoner kronor i omsättning inom de 18 definierade sektorerna. Vissa kritiska tjänster omfattas oavsett storlek. Även underleverantörer kan påverkas indirekt genom kundkrav.

Vad händer om man inte följer NIS2?

Väsentliga entiteter riskerar böter upp till 10 miljoner euro eller 2% av global årsomsättning. Viktiga entiteter riskerar upp till 7 miljoner euro eller 1,4%. Ledningen kan också hållas personligt ansvarig.

Hur lång tid tar det att bli NIS2-compliant?

Det varierar beroende på nuvarande mognadsnivå, men räkna med 6-18 månader för en fullständig implementation. Viktigast är att börja där du är och ta små steg i rätt riktning. Resan är målet.

Påverkas vi som underleverantör?

Ja, indirekt. NIS2 ställer krav på säkerhet i leveranskedjan, vilket innebär att organisationer som omfattas kommer ställa säkerhetskrav på sina leverantörer. Även om du inte direkt omfattas kan du behöva uppfylla krav för att behålla kunder.

#NIS2#cybersäkerhet#compliance#EU-direktiv#informationssäkerhet#Cybersäkerhetslagen

Fler artiklar

Vi använder anonym statistik utan cookies för att förbättra webbplatsen. Läs mer