NIS2-direktivet – en uppdaterad översikt för svenska verksamheter (per 2025-02-21)

NIS2-direktivet (Direktiv (EU) 2022/2555) är EU:s uppdaterade regelverk för att stärka cybersäkerheten i medlemsländerna. Det trädde i kraft på EU-nivå i januari 2023 och skulle vara fullt implementerat i samtliga medlemsstaters nationella lagstiftning senast den 17 oktober 2024. I Sverige har regeringen och riksdagen arbetat med att ta fram en ny cybersäkerhetslag (ej beslutat namn), som implementerar NIS2.

I februari 2025 befinner vi oss i en fas där vi i Sverige fortfarande inte har en beslutad lagstiftning. Här nedan följer en sammanfattning av vad som gäller enligt NIS2, hur det har påverkat svenska verksamheter fram till dags dato (2025-02-19), samt vart man kan vända sig för vidare information.

1. Bakgrund och syfte med NIS2

Syftet med NIS2 är att höja den gemensamma nivån av cybersäkerhet inom EU genom:

• Skärpta och tydligare krav på hur verksamheter ska arbeta med informations- och IT-säkerhet.
• Tydliga regler för incidentrapportering vid allvarliga cyberangrepp och IT-incidenter.
• Förstärkt tillsyn och sanktioner för aktörer som inte följer regelverket.

NIS2 ersätter det tidigare NIS-direktivet (antaget 2016, implementerat i Sverige 2018), men går betydligt längre när det gäller omfattning, krav och påföljder. De nya reglerna är en anpassning till den snabbt föränderliga hotbilden och de alltmer avancerade cyberangreppen som riktas mot både offentliga och privata aktörer.

2. Viktigaste nyheterna jämfört med tidigare NIS-direktiv

1. Bredare tillämpningsområde och fler sektorer
   Under det första NIS-direktivet omfattades endast vissa utpekade samhällsviktiga tjänster (t.ex. energi, transporter, bank, hälso- och sjukvård). NIS2 inkluderar ytterligare sektorer, bland annat livsmedelssektorn, digitala infrastrukturtjänster, post- och budtjänster, avloppsvatten, forskning samt offentlig förvaltning.
   • Till skillnad från tidigare kan även medelstora och stora företag inom dessa sektorer bli skyldiga att uppfylla NIS2, även om de inte tidigare betraktats som samhällsviktiga.
2. Kategorier: Väsentliga och viktiga verksamheter
   Verksamheter delas in i två huvudkategorier:
   • Väsentliga verksamheter (Essential Entities) – hårdare sanktionsnivåer, mer omfattande tillsyn.
   • Viktiga verksamheter (Important Entities) – något lindrigare sanktionsnivåer, men i grunden liknande krav på riskhantering och incidentrapportering.
3. Strängare säkerhetskrav och ledningsansvar
   • Ledningen (styrelse och företagsledning) har ett explicit ansvar att se till att organisationen följer reglerna och att nödvändig kompetens inom cybersäkerhet finns.
   • Systematiskt risk- och säkerhetsarbete krävs, inklusive regelbundna riskanalyser, incidentplaner och rutiner för kontinuitetshantering.
4. Skärpta incidentrapporteringskrav
   • Tydligare tidsfrister: en första early warning ska skickas till CSIRT 24 timmar från det att en betydande incident upptäcks, och en mer detaljerad rapport ska lämnas inom 72 timmar.
   • Detta syftar till snabb informationsdelning och koordinerad respons på större cyberangrepp både nationellt och inom EU.
5. Högre sanktionsavgifter
   • Sanktionsavgifter kan uppgå till 2 % av global årsomsättning eller 10 miljoner euro (vilket som är högst) för väsentliga verksamheter som grovt åsidosätter säkerhetskraven.
   • För viktiga verksamheter är motsvarande nivå upp till 1,4 % av global årsomsättning eller 7 miljoner euro.

3. Implementeringsläget i Sverige (2025-02-21)

Sverige arbetade intensivt under 2023–2024 med en lagstiftningsprocess för att införliva NIS2 i svensk rätt. I korthet:

• Våren 2024: En statlig utredning (SOU 2024:18) föreslog införandet av en ny cybersäkerhetslag (ej beslutat namn) och kompletterande förordningar för att ersätta eller uppdatera den befintliga NIS-lagstiftningen.
• Hösten 2024: Implementationen av lagen är kraftigt försenad. Beslutat datum 17:e oktober blev sedan 1:a januari 2025, men nu finns inget nytt datum.
  EU kommissionen har synpunkter på förseningen och vill ha en förklaring. https://digital-strategy.ec.europa.eu/en/news/commission-calls-23-member-states-fully-transpose-nis2-directive?pk_source=ec_newsroom&pk_medium=email&pk_campaign=Shaping%20Europe%27s%20Digital%20Future%20website%20updates

4. Vilka berörs och vad måste man göra nu?

Omfattas din organisation?

Att ge ett rakt svar på frågan kräver en större eller mindre utredning. Viktiga aspekter att ta hänsyn till är

1. Organisationens storlek: Generellt omfattar NIS2 medelstora och stora företag och offentlig verksamhet. Mindre aktörer (mikro- och småföretag) kan dock omfattas om de är kritiskt viktiga i någon av de 18 sektorerna.
2. Sektor: Ställ er frågan om ni tillhör en sektor som pekas ut av NIS2 (t.ex. energi, transport, hälso- och sjukvård, bank/finans, digital infrastruktur, offentlig förvaltning, livsmedel, dricksvatten, avfallshantering, IKT-tjänster osv.).

Uppdatera och dokumentera säkerhetsarbetet

• Gör en GAP-analys: Jämför era befintliga säkerhetsåtgärder mot NIS2-kraven och de vägledningar som finns hos MSB eller er sektorsansvariga myndighet.
• Skärp rutinerna för incidentrapportering: Säkerställ att ni kan upptäcka, hantera och rapportera incidenter inom de tidsfrister som gäller. Inför eller uppdatera incidenthanteringsplaner och kontaktrutiner.
• Ledningens engagemang: Styrelse och företagsledning ska ha insyn i, och ta ansvar för, cybersäkerheten. Dokumentera regelbundet risker, åtgärder och uppföljning av incidenter.
• Kontinuerlig riskanalys: Implementera eller förstärk en systematisk process för att identifiera sårbarheter, klassificera informationstillgångar, genomföra regelbundna kontroller (t.ex. pentester, revisioner) och täppa till identifierade brister.
• Leverantörskedjan: NIS2 betonar även ansvar för underleverantörer. Granska era avtal och rutiner för att se till att externa tjänsteleverantörer uppfyller relevanta säkerhetskrav.

5. Aktuella källor och länkar för vidare läsning

• NIS2.se – https://nis2.se
  En central portal för nyheter, vägledningar och resurser om NIS-2 på svenska. Uppdateras löpande med artiklar, tips och praktiska checklistor för hur man kan uppfylla kraven.
• MSB:
  • msb.se → Sök efter “NIS2” eller besök sektionen om informations- och cybersäkerhet för de senaste uppdateringarna och vägledningarna.
• EU-kommissionen:
  • NIS2 Overview (på engelska). Här finns förklarande texter, FAQ och den fullständiga direktivtexten.
• Branschspecifika myndigheter (exempelvis Transportstyrelsen, Energimyndigheten, Livsmedelsverket, Socialstyrelsen). Flera av dessa har egna sektioner om NIS2 och kommer under 2025 att fortsätta med riktade informationsinsatser.
• CER-direktivet
  Parallellt med NIS2 hanteras även “Critical Entities Resilience”-direktivet (CER), som fokuserar på fysiskt skydd av kritisk infrastruktur. Mer information finns i EU-kommissionens dokumentation och på MSB:s webbplats.

6. Sammanfattning: Varför NIS2 är viktigare än någonsin

NIS2 är en naturlig vidareutveckling av det första NIS-direktivet och ett tecken på att EU ställer allt högre krav på robusthet och resiliens i samhällets digitala infrastruktur. Från politiskt håll har det blivit uppenbart att cyberhoten ökar i både omfattning och komplexitet, vilket påverkar alla sektorer. Genom att fler verksamheter nu ingår och att ledningsansvaret skärps, vill man förhindra att cybersäkerhet betraktas som en isolerad IT-fråga och istället göra den till en självklar del av den strategiska företag- och myndighetsstyrningen.

För svenska verksamheter betyder det att vara redo: att göra en grundlig översyn av säkerhetsarbetet och att anpassa sig efter de nya lagkraven redan innan en eventuell tillsyn kommer. NIS2.se kan vara en första, central kontaktpunkt för alla frågor och uppdateringar kring NIS2 i Sverige. Här samlas praktiska checklistor, nyhetsuppdateringar och hänvisningar till fördjupande källor, vilket gör det enklare att ta nästa steg mot en högre cybersäkerhetsnivå.

TIPS:

• Påbörja arbetet i tid och förankra det hos ledningen.
• Dokumentera tydligt alla åtgärder och rutiner ni infört.
• Håll er uppdaterade via MSB och NIS2.se för att inte missa eventuella justeringar av svensk lag och föreskrifter.

När väl alla delar av NIS2 är fullt genomförda i svensk rätt under 2025, kommer cybersäkerhetsområdet att vara mer reglerat än någonsin. Detta är inte enbart en efterlevnadsfråga utan också en konkurrensfördel på sikt – verksamheter som tar cybersäkerhet på allvar skyddar både sig själva och sina kunder, samarbetspartners och samhället i stort.