NIS2-direktivet för stärkt cybersäkerhet
NIS2 ställer högre krav på styrning, uppföljning och ansvar. Vi reder ut EU-direktivet och rekommenderar åtgärder för att säkerställa efterlevnad och ge proaktivt skydd för din verksamhet.
Kontakta ossVad är NIS och NIS2?
NIS-direktivet (Network and Information Security Directive), som trädde i kraft 2018, var EU:s första initiativ att harmonisera cybersäkerhetskraven för företag som tillhandahåller viktiga samhällsfunktioner. Sedan dess har attackytorna och hotbilden ökat vilket resulterade i det nya direktivet NIS2. Det blev obligatoriskt 2024 och blir svensk lag den 15 januari 2026 genom Cybersäkerhetslagen och Cybersäkerhetsförordningen.
Båda direktiven syftar till att förebygga cyberattacker och minimera konsekvenser genom krav på riskanalyser, säkerhetsåtgärder och incidentrapportering. NIS2 skärper kraven ytterligare för att stärka organisationers cyberförsvar med robustare system och rutiner, ökad informationsdelning och gemensamma riktlinjer för högre säkerhet i hela EU.
Det här behöver du veta om NIS2
Vilka är de viktigaste förändringarna med NIS2?
NIS2 ställer strängare krav på organisationer inom de berörda sektorerna. Några av de viktigaste förändringarna är:
Riskhanteringsåtgärder - Företag måste implementera en rad tekniska och organisatoriska åtgärder för att skydda sina nätverk. Detta inkluderar bland annat policyer för riskanalys, planer för incidenthantering, skydd för leverantörskedjan, grundläggande cyberhygien, användning av kryptering och multifaktorautentisering (MFA).
Ledningens ansvar: Företagets ledning är nu juridiskt ansvarig för att godkänna och övervaka säkerhetsåtgärderna. De kan hållas personligt ansvariga om kraven inte efterlevs.
Rapporteringsskyldighet: Betydande incidenter måste rapporteras till relevanta myndigheter i flera steg: en första varning inom 24 timmar och en mer detaljerad rapport inom 72 timmar.
Tillsyn och sanktioner: Nationella myndigheter kommer att utöva tillsyn och har befogenhet att utfärda kännbara sanktioner vid bristande efterlevnad. För väsentliga entiteter kan det handla om böter på upp till 10 miljoner euro eller 2 % av den globala årsomsättningen.
Företag och organisationer som påverkas
NIS2-direktivet gäller alla stora och medelstora företag inom sektorer som anses vara väsentliga eller viktiga för samhället. Det innebär krav på förbättrad cybersäkerhet, riskbedömningar och incidentrapportering till myndigheter. Enligt direktivet definierar man enligt följande:
- Stora företag: Fler än 250 anställda med en årlig omsättning minst 50 miljoner euro.
- Medelstora företag: 50–249 anställda med årlig omsättning under 10 miljoner euro.
Vissa verksamheter, t.ex. leverantörer av DNS-tjänster, omfattas oavsett storlek. Undantagen är specificerade i direktivet. Aktörer inom bank- och finanssektorn måste även följa DORA (Digital Operational Resilience Act) som trädde i kraft i början av 2025.
Ännu fler sektorer som berörs
Här är de sektorer som anses viktigare än andra då de utgör en grund för samhällets beredskap:
- Energi
- Transporter
- Bankverksamhet
- Finansmarknadsinfrastruktur
- Hälso- och sjukvård
- Dricksvatten
- Avloppsvatten
- Digital infrastruktur
- Förvaltning av IKT-tjänster (mellan företag)
- Offentlig förvaltning
- Rymden
- Post- och budtjänster
- Avfallshantering
- Tillverkning, produktion och distribution av kemikalier
- Produktion, bearbetning och distribution av livsmedel
- Digitala leverantörer
- Forskning
5 åtgärder för att följa NIS2
- Incidentrapportering: Företag måste rapportera kritiska cybersäkerhetsincidenter inom 24 timmar till tillsynsmyndigheten, och lämna en sammanfattning och hantering till berörda myndigheter inom 72 timmar.
- Riskhantering: Organisationer måste genomföra regelbundna riskbedömningar och vidta lämpliga åtgärder för att hantera cybersäkerhetsrisker.
- Informationssäkerhet & utbildning: Krav på att ha tekniska och strategiska åtgärder för att skydda sina system och data. Ledningen måste utbildas inom området och kan bli personligt ansvariga för incidenter. Vi rekommenderar att ha kontinuerlig utbildning för hela personalstyrkan, eftersom cyberkriminella ofta riktar in sig mot alla anställda i organisationen och ständigt hittar nya vägar.
- Incidentrespons: Företag ska ha en plan för att hantera incidenter och kunna återställa sin verksamhet.
- Leverantörsansvar: Man måste som företag vidta åtgärder för att hantera cybersäkerhetsrisker i sin leverantörskedja.
Sharp hjälper er med IT-säkerheten och ser till att ni har ”best practice” i linje med NIS2. Kontakta oss för mer information.
Så hjälper Sharp dig med NIS2
Vår lösning ser till att din verksamhet uppfyller kraven.
Identifiera omfattning
Vi kartlägger om din organisation omfattas av NIS2 och vilka krav som gäller.
Analys och strategi
Djupgående analys av nuvarande säkerhetsnivå jämfört med NIS2-kraven för att skapa en tydlig förståelse över brister och prioriterade åtgärder.
Skräddarsydd efterlevnadsplan
Vi tar fram en konkret handlingsplan med tidslinje, kostnadsestimat och ansvarsfördelning. En roadmap som gör efterlevnad hanterbar och effektiv.
Implementering och säkerhetsåtgärder
Vi inför centrala säkerhetskontroller, processmallar och tekniska lösningar för praktiska åtgärder som minskar risk och stärker skyddet.
Löpande efterlevnad och övervakning
Kontinuerlig övervakning, penetrationstester, utbildning och revisioner för att uppnå en hållbar efterlevnad.
Frågor & svar om NIS2
Här hittar du svar på vanliga frågor om NIS2-direktivet och Cybersäkerhetslagen.
NIS2 är ett EU-direktiv som syftar till att stärka cybersäkerheten inom unionen och skydda samhällsviktig infrastruktur mot digitala hot. I Sverige kommer NIS2 ligga till grund för den nya cybersäkerhetslagen (CSL), som ställer tydligare och mer omfattande krav på hur organisationer bedriver sitt säkerhetsarbete gällande riskhantering, incidentrapportering och ansvarsfördelning.
Enligt svensk lag ska NIS2 vara implementerat senast den 18 oktober 2024, till dess måste berörda företag ha anpassat sina verksamheter.
Både offentliga och privata aktörer som bedriver samhällsviktig eller viktig verksamhet omfattas, även indirekt företag som är underleverantörer. De grundläggande riktlinjerna för NIS2 är relevanta för alla organisationer, oavsett storlek eller bransch. Vi rekommenderar därför att alla företag försöker följa direktivet även om de inte omfattas direkt.
Sektorer som omfattas av NIS2:
- Energi
- Transporter
- Bankverksamhet
- Finansmarknadsinfrastruktur
- Hälso- och sjukvård
- Dricksvatten
- Avloppsvatten
- Digital infrastruktur
- Förvaltning av IKT-tjänster (mellan företag)
- Offentlig förvaltning
- Rymden
- Post- och budtjänster
- Avfallshantering
- Tillverkning, produktion och distribution av kemikalier
- Produktion, bearbetning och distribution av livsmedel
- Tillverkning:
- Tillverkning, produktion och distribution av kemikalier
- Produktion, bearbetning och distribution av livsmedel
- Tillverkning av medicintekniska pro dukter och medicintekniska produkter för in vitro-diagnostik
- Tillverkning av datorer, elektronikvaror och optik (SNI C26)
- Tillverkning av elapparatur (SNI C27)
- Tillverkning av övriga maskiner (SNI C28)
- Tillverkning av motorfordon, släpfor don och påhängsvagnar (SNI C29)
- Tillverkning av andra transportmedel (SNI C30)
- Digitala leverantörer
- Forskning
Det är viktigt att notera att detta inte är en uttömmande lista. Ytterligare sektorer kan omfattas av NIS2-direktivet beroende på deras specifika verksamhet och den potentiella risken för cybersäkerhetsincidenter.
Bristande efterlevnad kan leda till sanktionsavgifter och rättsliga påföljder. Precis som med GDPR kan man enligt lag ålägga verksamheter böter för att inte följa direktivet. Ett företag eller en organisation kan bli skyldig upp till 10 miljoner euro eller 2 % av företagets årliga globala omsättning.
Det är dock viktigt att förstå att det inte bara handlar om att undvika straff, utan om att ha ett robust säkerhetsarbete som minskar sårbarheter och stärker förtroendet.