EU-direktiv 2022/2555

Vad är NIS2? En komplett guide för svenska företag

NIS2 är EU:s uppdaterade cybersäkerhetsdirektiv som ställer strängare krav på organisationer inom kritisk infrastruktur. I denna guide går vi igenom allt du behöver veta för att förbereda din organisation.

Publicerad: 15 januari 2026 Läsningstid: 12 min
18
sektorer omfattas
24h
för tidig varning
€10M
i maxböter

Vad är NIS2-direktivet?

NIS2, eller Network and Information Security Directive 2, är Europeiska unionens uppdaterade ramverk för cybersäkerhet. Direktivet ersätter det ursprungliga NIS-direktivet från 2016 och representerar ett betydande steg framåt i EU:s ambition att stärka den digitala motståndskraften.

Syftet med direktivet är att skapa en högre och mer enhetlig nivå av cybersäkerhet i hela EU. Detta uppnås genom att ställa strängare krav på organisationer som tillhandahåller samhällsviktiga tjänster — allt från energiförsörjning och sjukvård till digital infrastruktur och finansiella tjänster.

Till skillnad från det ursprungliga direktivet, som lämnade stor frihet åt medlemsstaterna att själva bestämma vilka organisationer som omfattades, inför NIS2 tydligare och mer harmoniserade regler. Detta innebär att företag inte längre kan "gömma sig" bakom nationella tolkningar.

Varför infördes NIS2?

Det ursprungliga NIS-direktivet från 2016 var ett viktigt första steg, men efter några år av implementering blev det tydligt att det hade flera begränsningar som behövde åtgärdas.

Problemen med det ursprungliga direktivet

Det ursprungliga NIS-direktivet led av fyra huvudsakliga problem:

Inkonsekvent implementering

EU-medlemsstaterna implementerade direktivet på väldigt olika sätt. Ett företag som var kritiskt i ett land kunde vara helt oreglerat i ett annat, vilket skapade förvirring och ojämn konkurrenssituation.

För snäv omfattning

Direktivet täckte endast sju sektorer, vilket lämnade många samhällskritiska verksamheter — som avfallshantering, livsmedelsproduktion och offentlig förvaltning — helt utanför regelverket.

Otillräckliga sanktioner

Böterna var för låga för att utgöra ett verkligt incitament för efterlevnad. Många organisationer fann det billigare att betala böter än att investera i cybersäkerhet.

Bristande rapportering

Rapporteringstiderna var för långa och kraven för vaga, vilket försvårade samordning och snabb respons vid gränsöverskridande incidenter.

NIS2 adresserar samtliga dessa brister genom utökad omfattning, harmoniserade krav, strängare sanktioner och kortare rapporteringstider.

Vilka sektorer omfattas?

En av de mest betydande förändringarna i NIS2 är den kraftigt utökade omfattningen. Direktivet går från att täcka 7 sektorer till hela 18 sektorer, uppdelade i två kategorier med olika kravnivåer.

Sektorer med hög kritikalitet

Dessa klassificeras som "väsentliga entiteter" och omfattas av de strängaste kraven:

  • Energi — El, olja, gas, fjärrvärme och vätgas
  • Transport — Flyg, järnväg, vägtransport och sjöfart
  • Bankverksamhet — Kreditinstitut
  • Finansmarknadsinfrastruktur — Handelsplatser och clearingorganisationer
  • Hälso- och sjukvård — Sjukhus, laboratorier och läkemedelsproduktion
  • Dricksvatten — Vattenförsörjning och distribution
  • Avloppsvatten — Insamling, behandling och utsläpp
  • Digital infrastruktur — DNS, datacenter, molntjänster och CDN
  • ICT-tjänstehantering — Managed services (B2B)
  • Offentlig förvaltning — Statliga myndigheter på central nivå
  • Rymden — Operatörer av markbaserad infrastruktur

Andra kritiska sektorer

Dessa klassificeras som "viktiga entiteter" med något lägre, men fortfarande omfattande krav:

  • Post- och budtjänster
  • Avfallshantering
  • Kemikalier — Produktion och distribution
  • Livsmedel — Produktion, bearbetning och distribution
  • Tillverkning — Medicintekniska produkter, datorer, elektronik och fordon
  • Digitala leverantörer — Marknadsplatser, sökmotorer och sociala nätverk

Vad krävs av din organisation?

NIS2 ställer omfattande krav inom tre huvudområden: riskhantering, incidentrapportering och ledningens ansvar. Låt oss gå igenom varje område i detalj.

Riskhantering

Organisationer måste implementera lämpliga och proportionerliga tekniska och organisatoriska åtgärder för att hantera risker mot sina nätverks- och informationssystem. Specifikt ska åtgärderna omfatta:

  • Riskanalys och säkerhetspolicyer för informationssystem
  • Incidenthantering — förebyggande, upptäckt och respons
  • Kontinuitetsplanering och krishantering
  • Säkerhet i leveranskedjan, inklusive säkerhetsaspekter av relationer med leverantörer
  • Säkerhet vid anskaffning, utveckling och underhåll av system
  • Policyer och rutiner för att bedöma effektiviteten av åtgärder
  • Grundläggande cyberhygien och utbildning
  • Kryptering och åtkomstkontroll
  • Flerfaktorsautentisering och säkra kommunikationssystem

Ledningens ansvar

En av de mest betydande förändringarna i NIS2 är det utökade ansvaret för ledningen. Styrelse och högsta ledning måste nu:

  • Godkänna de cybersäkerhetsåtgärder som organisationen implementerar
  • Övervaka implementeringen av dessa åtgärder
  • Genomgå utbildning i cybersäkerhet för att kunna fatta informerade beslut
  • Ta personligt ansvar vid allvarliga brister i efterlevnaden

Detta innebär att cybersäkerhet inte längre kan delegeras helt till IT-avdelningen — det är nu en styrelsefråga.

Tidsfrister för incidentrapportering

NIS2 inför betydligt striktare tidsfrister för incidentrapportering än det ursprungliga direktivet. Vid en betydande säkerhetsincident måste organisationen rapportera i tre steg:

1
Inom 24 timmar

Tidig varning

En initial notifiering till tillsynsmyndigheten om att en incident har inträffat, med preliminär bedömning av om den kan ha gränsöverskridande effekter.

2
Inom 72 timmar

Incidentmeddelande

En mer detaljerad rapport som uppdaterar den tidiga varningen med bedömning av allvarlighetsgrad, påverkan och eventuella indikatorer på kompromiss.

3
Inom 1 månad

Slutrapport

En fullständig analys av incidenten inklusive rotorsak, vidtagna åtgärder och lärdomar. Om incidenten fortfarande pågår ska en lägesrapport lämnas istället.

Sanktioner och böter

NIS2 introducerar betydligt strängare sanktioner än det ursprungliga direktivet. Böterna är nu kopplade till organisationens storlek och omsättning, vilket gör dem avskräckande även för stora företag.

Väsentliga entiteter

Upp till €10 miljoner
eller 2% av global årsomsättning

Beroende på vilket belopp som är högst

Viktiga entiteter

Upp till €7 miljoner
eller 1,4% av global årsomsättning

Beroende på vilket belopp som är högst

Personligt ansvar för ledningen

Utöver organisatoriska böter kan NIS2 även leda till personligt ansvar för ledande befattningshavare. Tillsynsmyndigheter får befogenhet att:

  • Kräva att organisationer offentliggör överträdelser
  • Utfärda offentliga uttalanden som identifierar ansvariga personer
  • I allvarliga fall, utfärda tillfälliga förbud mot ledningsroller

Hur förbereder du dig?

Att förbereda sig för NIS2 är en omfattande process som kräver tid och resurser. Här är en steg-för-steg-guide för att komma igång:

  1. Identifiera om du omfattas

    Börja med att analysera om din organisation faller inom någon av de 18 sektorerna och uppfyller storlekskriterierna. Tänk också på om du levererar tjänster till organisationer som omfattas — leverantörskedjans säkerhet är ett centralt krav.

  2. Gör en GAP-analys

    Kartlägg er nuvarande säkerhetsnivå mot NIS2:s krav. Identifiera vilka områden där ni redan uppfyller kraven och var det finns brister som behöver åtgärdas.

  3. Upprätta en handlingsplan

    Baserat på GAP-analysen, prioritera åtgärder utifrån risk och tillgängliga resurser. Var realistisk med tidplanen — vissa åtgärder tar tid att implementera ordentligt.

  4. Säkra ledningens engagemang

    Eftersom NIS2 ställer explicita krav på ledningens ansvar, är det avgörande att styrelse och VD förstår sina nya skyldigheter och aktivt stödjer arbetet.

  5. Implementera säkerhetsåtgärder

    Genomför de tekniska och organisatoriska åtgärder som identifierats. Kom ihåg att dokumentation är kritisk — ni måste kunna visa tillsynsmyndigheten vad ni gör och varför.

  6. Etablera incidentrapportering

    Bygg processer och system som gör det möjligt att upptäcka, analysera och rapportera incidenter inom de nya tidsramarna. 24 timmar går fort i en kris.

Vanliga frågor om NIS2

När träder NIS2 i kraft i Sverige?

NIS2-direktivet implementeras i Sverige genom Cybersäkerhetslagen som träder i kraft den 15 januari 2026. Företag bör dock börja förbereda sig redan nu.

Vilka företag omfattas av NIS2?

NIS2 omfattar företag i 18 sektorer inklusive energi, transport, hälso- och sjukvård, digital infrastruktur och offentlig förvaltning. Både "väsentliga" och "viktiga" entiteter omfattas, baserat på sektor och storlek.

Vad händer om man inte följer NIS2?

Företag som inte uppfyller kraven riskerar böter upp till 10 miljoner euro eller 2% av den globala årsomsättningen. Ledningen kan också hållas personligt ansvarig.

Hur skiljer sig NIS2 från det ursprungliga NIS-direktivet?

NIS2 utökar omfattningen från 7 till 18 sektorer, inför strängare sanktioner, kortare rapporteringstider (24h istället för 72h för tidig varning), och ställer högre krav på ledningens ansvar.

Behöver små företag följa NIS2?

Generellt omfattas medelstora och stora företag, men små företag inom kritiska undersektorer (som DNS-leverantörer eller kvalificerade betrodda tjänster) kan också omfattas oavsett storlek.

Vi använder anonym statistik utan cookies för att förbättra webbplatsen. Läs mer