060-12 07 90 Support Driftstatus

NIS2 direktivet

EU:s cybersäkerhetskrav är grunden till NIS 2

För att upprätthålla cybersäkerheten inom arton kritiska sektorer i hela EU har NIS 2-direktivet införts. Medlemsstaterna uppmanas också att fastställa nationella strategier för cybersäkerhet och samarbeta med EU för gränsöverskridande insatser och verkställighet. Att förstå NIS 2-direktivet och den svenska cybersäkerhetslagen är avgörande för många organisationer.

NIS 2-direktivet är EU:s lagstiftning för cybersäkerhet

NIS 2 (Network and Information Security Directive 2) är EU:s uppdaterade lagstiftning för cybersäkerhet som 2023 ersatte det tidigare NIS-direktivet från 2016. Syftet är att stärka och harmonisera cybersäkerheten för kritiska tjänster och digitala infrastrukturer inom unionen. NIS 2 utökar kraftigt antalet sektorer som omfattas och skärper kraven på riskhantering, säkerhetsåtgärder och incidentrapportering jämfört med sin föregångare. Den 20 januari 2026 föreslog kommissionen riktade ändringar av av NIS 2-direktivet för att öka den rättsliga klarheten. Ändringarna kommer att förenkla efterlevnaden av EU:s cybersäkerhetsregler och riskhanteringskrav för företag som är verksamma inom EU.

Cybersäkerhetslagen implementerar NIS 2-direktivet i Sverige

NIS 2-direktivet infördes i svensk lagstiftning genom en ny cybersäkerhetslag den 15 januari 2026. Cybersäkerhetslagen är Sveriges implemementering av NIS 2-direktivet som styr hur lagen ska tolkas, utvecklas och tillämpas.

Läs också: Cybersäkerhetslagen – Sveriges implementering av NIS 2

Därför behöver du fortsätta följa utvecklingen av NIS 2-direktivet

NIS 2 är inte statiskt och EU arbetar vidare med att utveckla direktivet, därför är det viktigt att fortsätta följa utvecklingen av NIS 2.

  • NIS 2 är den juridiska grunden.
  • EU fortsätter utveckla riktlinjer och krav.
  • Tillsynspraxis formas ofta på EU-nivå.
  • Internationella affärer kräver ofta NIS 2-anpassning.
  • Leverantörskedjor styrs av NIS 2-krav.

NIS 2 gör cybersäkerhet till en ledningsfråga

NIS 2-direktivet innebär en tydlig förflyttning av ansvarsfrågan. Med de skärpta kraven är cybersäkerhet inte bara en IT-fråga, det är ett ansvar för företagets ledning och styrelse. Detta har också införts i svensk rätt genom Cybersäkerhetslagen.

  • Ledning och styrelse är juridiskt ansvariga för cybersäkerhetsarbetet.
  • NIS 2 kräver att ledningen har tillräcklig kunskap för att förstå cyberrisker och för att kunna fatta beslut.
  • Organisationen måste implementera en rad säkerhetsåtgärder som ledningen ska godkänna samt säkerställa resurser för att genomföra.
  • Ledningen har det yttersta ansvaret för att organisationen har processer och rutiner för incidentrapportering till myndigheter samt beslutsvägar vid kris.
  • NIS 2 öppnar för personligt ansvar för ledningen och personligt ansvar kan förekomma.
  • Ledningen ansvarar även för leverantörskedjan och måste säkerställa att företagets leverantörer uppfyller säkerhetskrav.

Kopplingen till CER-direktivet

Parallellt med NIS 2 införs CER-direktivet (Critical Entities Resilience), som fokuserar på den fysiska motståndskraften hos kritisk infrastruktur mot exempelvis naturkatastrofer eller sabotage. För verksamheter som omfattas av båda direktiven krävs ett integrerat synsätt där både digital och fysisk säkerhet beaktas.

NIS 2 representerar ett paradigmskifte för cybersäkerhet inom EU och ställer högre krav på proaktivitet, riskhantering och ledningsansvar. Att se direktivet som en möjlighet att stärka den egna motståndskraften och säkerhetskulturen är avgörande för att navigera i det nya landskapet. Ett väl genomfört anpassningsarbete är inte bara en fråga om regelefterlevnad, utan en investering i verksamhetens framtida säkerhet och stabilitet.

Med Savecore får du hjälp att navigera i regelverken och rätt lösning för säker IT

Har du koll på vilka IT-system som är mest verksamhetskritiska, hur organisationen upptäcker cyberangrepp eller hur snabbt ni kan återställa verksamheten efter en attack? Vet du vilka som är bolagets största cyberrisker just nu eller hur beroende ni är av leverantörskedjan? Är organisationen redo att hantera och rapportera en cyberincident och har ni tillräckliga resurser för cybersäkerhet? Är du osäker så är du välkommen att kontakta Savecore för en konfidentiell konsultation och hjälp att navigera i NIS 2-landskapet samt Cybersäkerhetslagen.

Kontakta oss!

Viktiga punkter att ta med sig om NIS 2-direktivet:

  • NIS 2 är en skärpt och utvidgad EU-lagstiftning som ersätter det tidigare NIS-direktivet. Målet är att skapa en hög och enhetlig cybersäkerhetsnivå för kritisk infrastruktur och viktiga tjänster inom hela EU.
  • Direktivet omfattar betydligt fler sektorer än tidigare och riktar sig mot de flesta medelstora och stora organisationer inom samhällsviktiga områden som energi, hälsa, transport och digitala leverantörer.
  • En av de mest betydande förändringarna är att företagets ledning (styrelse och VD) blir direkt och personligt ansvarig för att efterleva cybersäkerhetskraven, vilket gör säkerhet till en strategisk fråga på högsta nivå.
  • Verksamheter måste rapportera allvarliga säkerhetsincidenter till nationella myndigheter inom mycket snäva tidsramar, med en första anmälan som ska ske redan inom 24 timmar efter upptäckt.
  • För att säkerställa att reglerna följs kan myndigheter utfärda kännbara böter på upp till 10 miljoner euro eller 2 procent av den globala årsomsättningen, beroende på vilket belopp som är högst.

Sundsvall
Antennvägen 2
SE-863 37 Sundsvall
+46 60-12 07 90
info@savecore.se

Stockholm
Gustav III:s Boulevard 42
SE-169 73 Solna
+46 8-121 548 70
info@savecore.se

Tjänster

Paket

Savecore

© 2026 Savecore