NIS2 & Cybersäkerhetslagen

NIS2, Network and Information Security Directive 2, Cybersecurity Act

NIS2 (EU:s andra direktiv om nät- och informationssäkerhet) är en omfattande uppdatering av Europas cybersäkerhetsregler med målet att uppnå en hög gemensam säkerhetsnivå inom medlemsstaterna. I Sverige genomförs NIS2 genom en ny Cybersäkerhetslag, som trädde i kraft den 15 januari 2026. Lagen ersätter den tidigare NIS-lagen och breddar vilka organisationer som omfattas. Den gäller samhällsviktiga och viktiga verksamhetsutövare i 18 sektorer, bland annat energi, hälso- och sjukvård, transport, bank, digital infrastruktur, offentliga tjänster m.fl. – och omfattar i regel medelstora och stora företag (50+ anställda eller över 10 miljoner euro i omsättning) inom dessa sektorer.

Många organisationer som hanterar kritiska tjänster eller data omfattas nu, inte bara traditionella “kritiska infrastrukturoperatörer”. Det nya regulatoriska landskapet är viktigt eftersom det höjer ribban för cybersäkerhet: organisationer måste införa striktare säkerhetsåtgärder, rapportera allvarliga incidenter inom korta tidsfrister, säkerställa säkerhet i leverantörskedjan och stärka styrning och ansvar – allt under hot om betydande sanktioner vid bristande efterlevnad. Att uppfylla NIS2 och den svenska Cybersäkerhetslagen är inte bara en juridisk checkbox; det handlar om att stärka organisationens motståndskraft mot ökande cyberhot och undvika kostsamma avbrott eller böter.

Nyckelområden och krav

NIS2 och Cybersäkerhetslagen inför ett antal krav och fokusområden enligt best practice som organisationer måste hantera. Centrala områden inkluderar.

  • Riskhantering och säkerhetsåtgärder
    Organisationer som omfattas måste tillämpa ett riskbaserat angreppssätt. Det innebär att regelbundet bedöma hot och sårbarheter samt införa ”lämpliga och proportionerliga” tekniska, operativa och organisatoriska åtgärder för att skydda nätverk och informationssystem. Organisationer bör hålla riskanalyser uppdaterade och införa kontroller i linje med etablerade standarder (t.ex. ISO 27001) för att minska identifierade risker. Detta omfattar också verksamhetskontinuitet – att kunna upprätthålla eller snabbt återställa kritisk drift vid en incident (genom backuper, disaster recovery-planer m.m.). Fokus ligger på proaktiv riskhantering: förutse risker och hantera dem innan de leder till incidenter.
  • Styrning och ledningens ansvar
    NIS2 gör cybersäkerhet till en fråga för ledning och styrelse. Ledningen förväntas ha överblick och vara ansvarig för organisationens cyberrisknivå. Den svenska Cybersäkerhetslagen kräver dessutom att högsta ledningen får utbildning i cybersäkerhetsåtgärder, så att de har kompetens att identifiera risker och fatta beslut om säkerhetsinvesteringar. I praktiken behöver organisationer integrera säkerhet i sin styrningsmodell – t.ex. tydliggöra roller och ansvar (som en CISO eller säkerhetsansvarig som rapporterar till ledningen) samt att ledningen godkänner och regelbundet följer upp säkerhetspolicys. En kultur av ansvarstagande i toppen är avgörande: cybersäkerhet ska hanteras som en strategisk affärsrisk, inte bara en IT-fråga.
  • Incidenthantering och rapportering
    Ett kärnkrav i NIS2 är att etablera robusta processer för incidenthantering och att snabbt rapportera betydande incidenter till myndigheter. Organisationer måste ha interna incidentplaner och detektionsförmåga, så att de kan agera snabbt och effektivt vid större incidenter (t.ex. intrång eller driftstörningar). Incidenter med betydande påverkan ska rapporteras till Myndigheten för civilt försvar inom föreskrivna tidsramar – en första notifiering (”early warning”) krävs typiskt inom 24 timmar från att man blivit medveten om incidenten, och en mer detaljerad rapport inom 72 timmar. Ytterligare uppdateringar eller slutrapport kan behöva lämnas inom en månad. Det innebär att teamet måste kunna känna igen incidenter, följa en fastställd eskaleringsprocess och snabbt samla in nödvändig information. NIS2:s rapporteringsregler omfattar även att informera mottagare av tjänster om incidenter som påverkar dem. Testade incident- och kriskommunikationsplaner är därför kritiska för att möta kraven och minimera skada.
  • Tredjeparts- och leverantörskedjesäkerhet
    Er säkerhet är inte starkare än den svagaste länken i leverantörskedjan. NIS2 lägger ökat fokus på att hantera cyberrisker kopplade till tredjepartstjänster och leverantörer. Organisationer behöver utvärdera och förbättra säkerheten hos leverantörer, tjänsteleverantörer och partners. I praktiken kan det innebära due diligence eller revisioner av nyckelleverantörer, uppdaterade avtal med cybersäkerhetskrav och att leverantörer inför adekvata skyddsåtgärder. Den svenska implementeringen lyfter uttryckligen ”säkerhet i leverantörskedjan”, och många organisationer behöver göra en gap-analys samt uppdatera interna styrdokument och leverantörsavtal för att hantera leverantörskedjerisker. Genom att förlänga riskhanteringen till tredjepart minskar ni risken att ett leverantörsintrång eller en supply chain-attack påverkar kritiska tjänster. Löpande uppföljning (t.ex. granskning av tredjepartsrapporter eller certifieringar) blir en del av efterlevnaden.
  • Säkerhetspolicys och utbildning
    Att uppfylla NIS2 handlar inte bara om teknik – det kräver styrning, policys och människor. Organisationer bör etablera eller uppdatera heltäckande policys och rutiner för åtkomst, dataskydd, incidenthantering, acceptabel användning m.m. Att säkerställa att policys är i linje med NIS2 (och eventuella sektorskrav) är ofta ett resultat av den initiala gap-analysen. Dessutom är utbildning och awareness en obligatorisk del: personal på alla nivåer ska utbildas i cybersäkerhetsbest practice och rutiner. NIS2 kräver särskilt att ledningsrepresentanter utbildas, och bredare att nyckelroller (incidenthantering/IT) får regelbunden utbildning. Att bygga en säkerhetsmedveten kultur – via workshops, e-learning, phishing-simuleringar m.m. – minskar mänskliga fel och håller rutiner effektiva. Tydliga policys i kombination med löpande utbildning gör att alla vet sin roll i att upprätthålla cybersäkerhet och efterlevnad.

Vanliga utmaningar

Att införa NIS2 och uppfylla kraven i Cybersäkerhetslagen kan vara utmanande. Vanliga hinder inkluderar.

  • Förstå de nya kraven
    De juridiska och tekniska detaljerna i NIS2 kan vara komplexa. Många organisationer, särskilt de som är nya inom reglering, kan ha begränsad medvetenhet och svårt att tolka exakt vad direktivet kräver och om det gäller dem. Att avgöra om ni omfattas (vilken sektor, storlekskriterier) är ett viktigt första steg som kan vara förvirrande. Även när man omfattas kan det vara svårt att översätta kraven till konkreta åtgärder (t.ex. vad som är ”lämpligt” skydd eller en ”betydande” incident) utan expertstöd.
  • Resurs- och kompetensgap
    Efterlevnad handlar sällan bara om en policyuppdatering – det kräver investeringar i teknik, processer och människor. Många organisationer möter teknisk komplexitet och begränsade resurser när de ska förbättra sin säkerhetsförmåga. Mindre verksamheter kan sakna säkerhetsteam eller budget för verktyg, vilket gör det svårt att införa alla kontroller. Att rekrytera eller utbilda kompetens är också svårt i en marknad med kompetensbrist. Kort sagt: det är ett verksamhetsomfattande initiativ, inte en enkel IT-åtgärd. Det är välkänt att full NIS2-efterlevnad kan vara kostsam och organisatoriskt krävande, vilket kräver ett strukturerat upplägg där investeringar prioriteras efter risk.
  • Integrera efterlevnad i befintliga processer
    De flesta organisationer har redan ramverk (t.ex. ISO 27001, GDPR-kontroller eller tidigare NIS-åtgärder). Utmaningen är att anpassa NIS2 till befintlig styrning och undvika dubbelarbete. Det kan innebära att uppdatera ISMS så att det täcker NIS2-specifika krav eller att säkerställa att incidentplaner möter de nya tidsfristerna. Detta kräver tvärfunktionellt samarbete – IT, säkerhet, juridik, risk och verksamhet – så att NIS2 blir en del av vardagsarbetet och inte en isolerad checklista.
  • Upprätthålla löpande efterlevnad
    NIS2 är inte en engångsinsats, utan ett löpande program. Efter den initiala ansträngningen inför januari 2026 kan det vara svårt att hålla säkerhetsnivån över tid. Hoten förändras, verksamheten ändras och regelverk förtydligas – vilket betyder att säkerhetsprogrammet behöver kontinuerlig uppmärksamhet. Utan plan för regelbundna granskningar, tester och uppdateringar finns risk att “tappa” efterlevnad. NIS2-efterlevnad är en mognadsresa, med tydliga milstolpar, ledningsstöd och kontinuerlig förbättring. För många kräver detta en intern drivande roll eller extern partner som håller momentum.

Vanliga frågor

Vilka organisationer omfattas av NIS2 och cybersäkerhetslagen?

NIS2 omfattar fler sektorer än tidigare NIS-reglering. I Sverige behöver organisationer bedöma om de är verksamhetsutövare enligt cybersäkerhetslagen och följa aktuell vägledning från MSB och berörd tillsynsmyndighet.

Vad innebär NIS2 för ledningen?

NIS2 gör cybersäkerhet till en tydligare ledningsfråga. Ledningen behöver förstå organisationens cybersäkerhetsrisker, följa upp säkerhetsarbetet och säkerställa att ansvar, resurser och kompetens finns på plats.

Vilka säkerhetsåtgärder behöver vi arbeta med?

Arbetet bör vara systematiskt och riskbaserat. Det omfattar typiskt riskhantering, incidenthantering, kontinuitet, säkerhet i leveranskedjor, åtkomstkontroll, sårbarhetshantering och uppföljning av tekniska och organisatoriska kontroller.

Hur bör vi förbereda incidentrapportering?

Organisationen bör ha en tydlig process för att identifiera, eskalera, dokumentera och rapportera incidenter. Roller, kontaktvägar, tidskritiska beslut och underlag bör vara testade innan en allvarlig incident inträffar.

Hur kan NIS2 kopplas till ISO 27001?

ISO 27001 kan ge struktur för ledningssystem, riskhantering och kontroller. NIS2 kräver ändå en separat bedömning mot lagkrav, sektorregler och rapporteringskrav, men ett fungerande ledningssystem minskar startsträckan.

Vi hjälper er att nå efterlevnad

På Kristensson i Skåne AB är vi specialister inom Informationssäkerhet & styrning och fungerar som en partnerorienterad rådgivare som guidar er genom NIS2 och Cybersäkerhetslagen. Oavsett om ni är i startfas eller behöver stärka pågående arbete hjälper vi er hela vägen. Vårt angreppssätt är strukturerat, riskbaserat och anpassat efter er organisation – vanligtvis med fokus på.

  • NIS2-beredskapsbedömning och gap-analys
    Vi börjar med att utvärdera ert nuläge mot NIS2. Bedömningen visar vilka delar som gäller er och var det finns gap i kontroller, policys och rutiner. Vi granskar nyckelområden – riskhantering, incidenthantering och tredjepartsstyrning – genom intervjuer och dokumentgranskning. Resultatet blir en detaljerad gap-analys som visar vad som redan finns och vad som behöver förbättras, med tydliga prioriteringar.
  • Roadmap och strategi för efterlevnad
    Utifrån resultaten tar vi fram en skräddarsydd roadmap – en strategisk plan som beskriver åtgärder, ordning, prioriteringar och milstolpar. Vi prioriterar efter risk och regulatorisk påverkan, och synkar med era affärsmål och befintliga ramverk (ISO 27001, NIST CSF m.fl.) så att ni får maximal effekt av befintliga investeringar. Roadmapen omfattar policys, tekniska kontroller, leverantörsstyrning och governance (t.ex. ansvarig ägare, rapportering till styrelse/ledning).
  • Implementering och policyutveckling
    Vi hjälper er genomföra förbättringarna med hands-on stöd. Det inkluderar uppdatering/framtagning av styrdokument: incidentplaner (med nya rapporteringskrav), kontinuitets- och DR-planer, riskrutiner, tredjepartschecklistor m.m. Vi stödjer även tekniska kontroller – nätverkssäkerhet, sårbarhetshantering, övervakning, IAM – beroende på era gap. Vi håller ihop leveransen med tydlig projektstyrning och fokus på både efterlevnad och reell säkerhetsförbättring.
  • Utbildning och awareness
    Efterlevnad handlar lika mycket om människor som teknik. Vi erbjuder riktad utbildning för ledning och styrelse (för att uppfylla lagens krav), för IT/säkerhetsteam (incidentrapportering och 24-timmarsregeln) och generell säkerhetsutbildning för alla medarbetare. Vi kan också köra återkommande övningar och incident-simuleringar för att bygga en säkerhetskultur och minska risken för mänskliga misstag.
  • Kontinuerligt stöd och förbättring
    Vi erbjuder löpande stöd för att ni ska hålla nivån över tid: periodiska revisioner/mognadsbedömningar, uppföljning av kontroller och stöd vid förändringar i hotbild eller regulatorik. Vi hjälper er införa en kontinuerlig förbättringscykel (t.ex. PDCA) med mätetal och dashboards så att ansvar och framdrift blir tydlig på ledningsnivå. Målet: göra NIS2 till ett levande program som stärker er motståndskraft.

Att navigera NIS2 och den svenska Cybersäkerhetslagen kan kännas komplext, men ni behöver inte göra det själva. Kristensson i Skåne AB är er erfarna partner för att uppnå efterlevnad och bygga ett robust cyberskydd. Vi arbetar tydligt och handlingsorienterat för att hjälpa er att förbereda, uppfylla kraven och skapa varaktiga förbättringar. Oavsett om ni behöver en initial gap-analys eller praktisk hjälp att utveckla säkerhetsprogrammet finns vi redo att stötta.

Kontakta oss idag för att diskutera er NIS2-beredskap eller behov av löpande efterlevnad. Tillsammans säkerställer vi att ni inte bara uppfyller kraven i Cybersäkerhetslagen – utan även får bestående säkerhetsförbättringar. Med rätt stöd kan ni göra regelefterlevnad till en möjlighet att stärka förtroende, motståndskraft och trygghet i verksamheten.

Bli NIS2-redo

Utvalda officiella källor: EU-kommissionen: NIS2-direktivet; EUR-Lex: direktiv (EU) 2022/2555; MSB: NIS2 för ledningen.