060-12 07 90 Support Driftstatus

NIS2 direktivet

Förstå EU:s nya cybersäkerhetskrav för din verksamhet

För att möta de växande cyberhoten och säkerställa en hög gemensam cybersäkerhetsnivå inom hela EU har det uppdaterade direktivet NIS2 införts. Att förstå NIS2 och dess implikationer är avgörande för många organisationer.

Vad är NIS2-direktivet?

NIS2 (Network and Information Security Directive 2) är EU:s uppdaterade lagstiftning för cybersäkerhet, som ersätter det tidigare NIS-direktivet från 2016 (implementerat 2018). Syftet är att stärka och harmonisera cybersäkerheten för kritiska tjänster och digitala infrastrukturer inom unionen. NIS2 utökar kraftigt antalet sektorer som omfattas och skärper kraven på riskhantering, säkerhetsåtgärder och incidentrapportering jämfört med sin föregångare. Målet är att skapa en mer motståndskraftig digital inre marknad.

Hur påverkar NIS2 din verksamhet?

För de verksamheter som omfattas innebär NIS2 mer konkreta och bindande krav. Några av de mest centrala punkterna inkluderar:

  • Stärkt riskhantering: Krav på att införa proportionerliga tekniska och organisatoriska säkerhetsåtgärder baserade på en ”all-risk”-ansats (inklusive cybersäkerhet och fysisk säkerhet för IT-system).
  • Tydligt ledningsansvar: Ledningen (styrelse och VD) blir direkt ansvarig för att godkänna, övervaka och följa upp cybersäkerhetsarbetet och kan hållas personligt ansvarig vid bristande efterlevnad.
  • Skärpt incidentrapportering: Obligatorisk rapportering av signifikanta incidenter till nationell tillsynsmyndighet (CSIRT) inom strikta tidsramar (första anmälan inom 24 timmar, mer detaljerad rapport inom 72 timmar).
  • Säkerhet i leverantörskedjan: Krav på att hantera säkerhetsrisker relaterade till leverantörer och tjänsteleverantörer, inklusive de som hanterar data eller driftar system.
  • Kraftfulla sanktioner: Tillsynsmyndigheter får befogenhet att utfärda betydande böter vid bristande efterlevnad – upp till 10 miljoner euro eller 2 % av den globala årsomsättningen för väsentliga enheter.

Varför är efterlevnad av NIS2 viktigt för din verksamhet?

Att förstå och anpassa sig till NIS2 handlar om mer än att bara undvika böter:

  • Förbättrad motståndskraft: Implementering av NIS2-kraven stärker er förmåga att förebygga, upptäcka och hantera cyberincidenter, vilket skyddar verksamhetens kontinuitet.
  • Standardiserad säkerhetsnivå: Direktivet bidrar till att höja den generella säkerhetsnivån inom er sektor och bland era samarbetspartners, vilket minskar den kollektiva risken.
  • Ökat förtroende: Att visa att ni aktivt arbetar med NIS2 stärker förtroendet hos kunder, partners och intressenter för er förmåga att skydda information och tjänster.
  • Strukturerat säkerhetsarbete: NIS2 ger en ram för att systematiskt identifiera risker, implementera åtgärder och kontinuerligt förbättra ert cybersäkerhetsarbete.
  • Tydlig ansvarsfördelning: Direktivet klargör ledningens ansvar, vilket säkerställer att cybersäkerhet blir en strategisk fråga på högsta nivå.

Förbered verksamheten för NIS2 – steg för steg

  • Identifiering och klassificering: Fastställ om er verksamhet omfattas av NIS2 och om ni klassificeras som en ”väsentlig” eller ”viktig” enhet baserat på sektor och storlek.
  • Gapanalys och riskanalys: Kartlägg er nuvarande säkerhetsnivå och identifiera vilka områden som behöver förbättras för att möta NIS2-kraven. Bedöm specifika risker för er verksamhet.

  • Implementera åtgärder: Inför nödvändiga tekniska (t.ex. åtkomstkontroll, kryptering, EDR) och organisatoriska (t.ex. policyer, utbildning, processer) säkerhetsåtgärder.
  • Incidenthanteringsplan: Upprätta eller uppdatera er plan för incidenthantering för att inkludera de nya rapporteringskraven och rutinerna.
  • Leverantörskedjans säkerhet: Utvärdera och ställ krav på säkerheten hos era kritiska leverantörer.
  • Ledningsförankring och utbildning: Säkerställ att ledningen förstår sitt ansvar och att relevant personal får utbildning om NIS2 och cybersäkerhetsrutiner.
  • Kontinuerlig uppföljning: Etablera processer för löpande övervakning, utvärdering och förbättring av ert cybersäkerhetsarbete.

Vilka omfattas av NIS2?

NIS2 omfattar medelstora och stora företag (generellt 50+ anställda eller 10+ miljoner euro i omsättning) inom ett brett spektrum av sektorer, uppdelade i två kategorier:

  • Väsentliga enheter (Striktare krav): Sektorer som energi, transport, bankväsen, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning och rymdverksamhet.
  • Viktiga enheter: Sektorer som post- och budtjänster, avfallshantering, kemikalier (tillverkning/distribution), livsmedel (produktion/distribution), tillverkning (av vissa produkter som medicinteknik, datorer, elektronik, maskiner, motorfordon), samt digitala leverantörer (e-handlare, sökmotorer, sociala nätverksplattformar).

Notera: Vissa mindre verksamheter kan omfattas om de är ensamma leverantörer i en medlemsstat eller kritiska av andra skäl.

När börjar NIS2 gälla?

EU:s medlemsstater ska ha införlivat NIS2 i nationell lagstiftning senast den 17 oktober 2024, och reglerna började tillämpas från den 18 oktober 2024. I Sverige trädde den nya cybersäkerhetslagen i kraft den 1 januari 2025. Det är hög tid att påbörja anpassningsarbetet.

Läs också: Cybersäkerhetslagen – Sveriges sätt att implementera NIS2

Kopplingen till CER-direktivet

Parallellt med NIS2 införs CER-direktivet (Critical Entities Resilience), som fokuserar på den fysiska motståndskraften hos kritisk infrastruktur mot exempelvis naturkatastrofer eller sabotage. För verksamheter som omfattas av båda direktiven krävs ett integrerat synsätt där både digital och fysisk säkerhet beaktas.

NIS2 representerar ett paradigmskifte för cybersäkerhet inom EU och ställer högre krav på proaktivitet, riskhantering och ledningsansvar. Att se direktivet som en möjlighet att stärka den egna motståndskraften och säkerhetskulturen är avgörande för att navigera i det nya landskapet. Ett väl genomfört anpassningsarbete är inte bara en fråga om regelefterlevnad, utan en investering i verksamhetens framtida säkerhet och stabilitet.

Vi hjälper er med rätt lösning för er IT-säkerhet

Är du osäker på hur NIS2 påverkar er eller behöver ni stöd i att anpassa er verksamhet till de nya kraven? Kontakta Savecore för en konfidentiell konsultation och hjälp att navigera i NIS2-landskapet med en skräddarsydd lösning.

Kontakta oss!
Sophie Weidemyr
Social media and content manager

Antennvägen 2
SE-863 37 Sundsvall
060-12 07 90
info@savecore.se

Tjänster

Paket

Savecore

© 2025 Savecore