060-12 07 90 Support Driftstatus

NIS2 direktivet

Förstå EU:s nya cybersäkerhetskrav för din verksamhet

För att möta de växande cyberhoten och säkerställa en hög gemensam cybersäkerhetsnivå inom hela EU har det uppdaterade direktivet NIS2 införts. Att förstå NIS2 och dess implikationer är avgörande för många organisationer.

Vad är NIS2-direktivet?

NIS2 (Network and Information Security Directive 2) är EU:s uppdaterade lagstiftning för cybersäkerhet, som ersätter det tidigare NIS-direktivet från 2016 (implementerat 2018). Syftet är att stärka och harmonisera cybersäkerheten för kritiska tjänster och digitala infrastrukturer inom unionen. NIS2 utökar kraftigt antalet sektorer som omfattas och skärper kraven på riskhantering, säkerhetsåtgärder och incidentrapportering jämfört med sin föregångare. Målet är att skapa en mer motståndskraftig digital inre marknad.

Hur påverkar NIS2 din verksamhet?

För de verksamheter som omfattas innebär NIS2 mer konkreta och bindande krav. Några av de mest centrala punkterna inkluderar:

  • Stärkt riskhantering: Krav på att införa proportionerliga tekniska och organisatoriska säkerhetsåtgärder baserade på en ”all-risk”-ansats (inklusive cybersäkerhet och fysisk säkerhet för IT-system).
  • Tydligt ledningsansvar: Ledningen (styrelse och VD) blir direkt ansvarig för att godkänna, övervaka och följa upp cybersäkerhetsarbetet och kan hållas personligt ansvarig vid bristande efterlevnad.
  • Skärpt incidentrapportering: Obligatorisk rapportering av signifikanta incidenter till nationell tillsynsmyndighet (CSIRT) inom strikta tidsramar (första anmälan inom 24 timmar, mer detaljerad rapport inom 72 timmar).
  • Säkerhet i leverantörskedjan: Krav på att hantera säkerhetsrisker relaterade till leverantörer och tjänsteleverantörer, inklusive de som hanterar data eller driftar system.
  • Kraftfulla sanktioner: Tillsynsmyndigheter får befogenhet att utfärda betydande böter vid bristande efterlevnad – upp till 10 miljoner euro eller 2 % av den globala årsomsättningen för väsentliga enheter.

Varför är efterlevnad av NIS2 viktigt för din verksamhet?

Att förstå och anpassa sig till NIS2 handlar om mer än att bara undvika böter:

  • Förbättrad motståndskraft: Implementering av NIS2-kraven stärker er förmåga att förebygga, upptäcka och hantera cyberincidenter, vilket skyddar verksamhetens kontinuitet.
  • Standardiserad säkerhetsnivå: Direktivet bidrar till att höja den generella säkerhetsnivån inom er sektor och bland era samarbetspartners, vilket minskar den kollektiva risken.
  • Ökat förtroende: Att visa att ni aktivt arbetar med NIS2 stärker förtroendet hos kunder, partners och intressenter för er förmåga att skydda information och tjänster.
  • Strukturerat säkerhetsarbete: NIS2 ger en ram för att systematiskt identifiera risker, implementera åtgärder och kontinuerligt förbättra ert cybersäkerhetsarbete.
  • Tydlig ansvarsfördelning: Direktivet klargör ledningens ansvar, vilket säkerställer att cybersäkerhet blir en strategisk fråga på högsta nivå.

Förbered verksamheten för NIS2 – steg för steg

  • Identifiering och klassificering: Fastställ om er verksamhet omfattas av NIS2 och om ni klassificeras som en ”väsentlig” eller ”viktig” enhet baserat på sektor och storlek.
  • Gapanalys och riskanalys: Kartlägg er nuvarande säkerhetsnivå och identifiera vilka områden som behöver förbättras för att möta NIS2-kraven. Bedöm specifika risker för er verksamhet.

  • Implementera åtgärder: Inför nödvändiga tekniska (t.ex. åtkomstkontroll, kryptering, EDR) och organisatoriska (t.ex. policyer, utbildning, processer) säkerhetsåtgärder.
  • Incidenthanteringsplan: Upprätta eller uppdatera er plan för incidenthantering för att inkludera de nya rapporteringskraven och rutinerna.
  • Leverantörskedjans säkerhet: Utvärdera och ställ krav på säkerheten hos era kritiska leverantörer.
  • Ledningsförankring och utbildning: Säkerställ att ledningen förstår sitt ansvar och att relevant personal får utbildning om NIS2 och cybersäkerhetsrutiner.
  • Kontinuerlig uppföljning: Etablera processer för löpande övervakning, utvärdering och förbättring av ert cybersäkerhetsarbete.

Vilka omfattas av NIS2?

NIS2 omfattar medelstora och stora företag (generellt 50+ anställda eller 10+ miljoner euro i omsättning) inom ett brett spektrum av sektorer, uppdelade i två kategorier:

  • Väsentliga enheter (Striktare krav): Sektorer som energi, transport, bankväsen, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning och rymdverksamhet.
  • Viktiga enheter: Sektorer som post- och budtjänster, avfallshantering, kemikalier (tillverkning/distribution), livsmedel (produktion/distribution), tillverkning (av vissa produkter som medicinteknik, datorer, elektronik, maskiner, motorfordon), samt digitala leverantörer (e-handlare, sökmotorer, sociala nätverksplattformar).

Notera: Vissa mindre verksamheter kan omfattas om de är ensamma leverantörer i en medlemsstat eller kritiska av andra skäl.

När börjar NIS2 gälla?

EU:s medlemsstater ska ha införlivat NIS2 i nationell lagstiftning senast den 17 oktober 2024, och reglerna började tillämpas från den 18 oktober 2024. I Sverige trädde den nya cybersäkerhetslagen i kraft den 1 januari 2025. Det är hög tid att påbörja anpassningsarbetet.

Läs också: Cybersäkerhetslagen – Sveriges sätt att implementera NIS2

Kopplingen till CER-direktivet

Parallellt med NIS2 införs CER-direktivet (Critical Entities Resilience), som fokuserar på den fysiska motståndskraften hos kritisk infrastruktur mot exempelvis naturkatastrofer eller sabotage. För verksamheter som omfattas av båda direktiven krävs ett integrerat synsätt där både digital och fysisk säkerhet beaktas.

NIS2 representerar ett paradigmskifte för cybersäkerhet inom EU och ställer högre krav på proaktivitet, riskhantering och ledningsansvar. Att se direktivet som en möjlighet att stärka den egna motståndskraften och säkerhetskulturen är avgörande för att navigera i det nya landskapet. Ett väl genomfört anpassningsarbete är inte bara en fråga om regelefterlevnad, utan en investering i verksamhetens framtida säkerhet och stabilitet.

Vi hjälper er med rätt lösning för er IT-säkerhet

Är du osäker på hur NIS2 påverkar er eller behöver ni stöd i att anpassa er verksamhet till de nya kraven? Kontakta Savecore för en konfidentiell konsultation och hjälp att navigera i NIS2-landskapet med en skräddarsydd lösning.

Kontakta oss!

Viktiga punkter att ta med sig om NIS2-direktivet:

  • NIS2 är en skärpt och utvidgad EU-lagstiftning som ersätter det tidigare NIS-direktivet. Målet är att skapa en hög och enhetlig cybersäkerhetsnivå för kritisk infrastruktur och viktiga tjänster inom hela EU.
  • Direktivet omfattar betydligt fler sektorer än tidigare och riktar sig mot de flesta medelstora och stora organisationer inom samhällsviktiga områden som energi, hälsa, transport och digitala leverantörer.
  • En av de mest betydande förändringarna är att företagets ledning (styrelse och VD) blir direkt och personligt ansvarig för att efterleva cybersäkerhetskraven, vilket gör säkerhet till en strategisk fråga på högsta nivå.
  • Verksamheter måste rapportera allvarliga säkerhetsincidenter till nationella myndigheter inom mycket snäva tidsramar, med en första anmälan som ska ske redan inom 24 timmar efter upptäckt.
  • För att säkerställa att reglerna följs kan myndigheter utfärda kännbara böter på upp till 10 miljoner euro eller 2 % av den globala årsomsättningen, beroende på vilket belopp som är högst.

Sundsvall
Antennvägen 2
SE-863 37 Sundsvall
+46 60-12 07 90
info@savecore.se

Stockholm
Gustav III:s Boulevard 42
SE-169 73 Solna
+46 8-121 548 70
info@savecore.se

Tjänster

Paket

Savecore

© 2025 Savecore