NIS2-direktivet infördes i svensk lagstiftning genom en ny cybersäkerhetslag den 15 januari 2026 och ställer betydligt högre krav på cybersäkerhet i både offentliga och privata verksamheter. Direktivet omfattar fler företag än tidigare och innebär bland annat tvingande krav på incidentrapportering, riskhantering och ledningsansvar. Här är vad svenska företag behöver känna till – och förbereda sig på.
NIS2-direktivet (Network and Information Security Directive 2) är en uppdatering av EU:s första NIS-direktiv från 2016. Det nya regelverket är ett svar på den ökade digitaliseringen och de växande cyberhoten inom EU. Målet är att stärka medlemsländernas motståndskraft genom gemensamma minimikrav på cybersäkerhet för aktörer inom samhällsviktiga och viktiga sektorer.
Vem omfattas?
Till skillnad från det tidigare direktivet har NIS2 en betydligt bredare räckvidd. Det gäller både offentliga och privata aktörer som uppfyller följande kriterier:
- Har minst 50 anställda eller en årlig omsättning över 10 miljoner euro
- Bedriver verksamhet eller är underleverantörer inom sektorer som:
- Energi, transport, vatten och digital infrastruktur
- Hälso- och sjukvård, finans och offentlig förvaltning
- Tillverkning av kritiska produkter, post- och kurirtjänster, avfallshantering och livsmedelsförsörjning
Myndigheten för civilt försvar (MCF) är nationell samordningsmyndighet och kontaktpunkt gentemot EU. Tillsynen utövas sektorsvis av olika myndigheter, däribland MSB, beroende på vilken verksamhet det gäller.
Vad innebär reglerna?
- Skärpta säkerhetsåtgärder
Företag måste vidta tekniska och organisatoriska åtgärder för att skydda sina nätverks- och informationssystem. Detta inkluderar bland annat risk- och sårbarhetsanalyser, säkerhetspolicyer, interna styrdokument, incidenthanteringsrutiner och åtgärder för att säkra leverantörskedjan. Åtgärderna ska vara proportionerliga i förhållande till verksamhetens riskbild och samhällspåverkan.
- Obligatorisk incidentrapportering
Betydande cybersäkerhetsincidenter ska rapporteras till behörig tillsynsmyndighet. NIS2 bygger på en stegvis rapporteringsmodell, som bland annat innebär:
- en tidig varning inom 24 timmar efter att incidenten blivit känd
- en mer detaljerad incidentrapport inom en senare fastställd tidsfrist
- en slutrapport när incidenten är hanterad
Detta förutsätter tydliga interna rutiner för upptäckt, bedömning, rapportering och uppföljning av incidenter.
- Ökat ansvar för styrelse och ledning
NIS2 inför ett uttryckligt ledningsansvar för cybersäkerheten. Styrelse och företagsledning ska:
- godkänna och följa upp säkerhetsåtgärder
- säkerställa att organisationen har tillräcklig kompetens och resurser
- genomgå relevant utbildning i cybersäkerhet
Cybersäkerhet blir därmed en strategisk ledningsfråga, inte enbart en IT‑fråga.
- Sanktioner vid bristande efterlevnad
Vid överträdelser kan tillsynsmyndigheter besluta om förelägganden och sanktionsavgifter. NIS2 ställer krav på att sanktionerna ska vara effektiva, proportionerliga och avskräckande. På EU‑nivå anges tak på upp till 10 miljoner euro eller 2 procent av global årsomsättning, beroende på vilken kategori verksamheten tillhör.
Den exakta utformningen och tillämpningen av sanktionsavgifter regleras i cybersäkerhetslagen och kompletterande föreskrifter.
Vad behöver svenska företag göra?
För att förbereda sig inför NIS2 bör företag:
- Kartlägga om och hur de omfattas av regelverket. Om företaget omfattas kan det vara en god idé att anlita cybersäkerhetskonsult
- Genomföra en gap-analys mot NIS2:s kraven
- Uppdatera säkerhetspolicyer, rutiner och tekniska skydd
- Utbilda styrelse, ledning och medarbetare i cybersäkerhetsarbete och incidenthantering
- Dokumentera åtgärder och etablera system för efterlevnad
NIS2-direktivet markerar ett tydligt skifte i EU:s syn på cybersäkerhet – från frivilliga riktlinjer till tydliga skyldigheter. För många svenska företag innebär det en ny verklighet, där cybersäkerhet blir en strategisk fråga på högsta nivå. Genom att agera i tid kan organisationer både minska risken för cyberattacker och undvika kostsamma sanktioner. Det vara lämpligt att ta stöd av juridisk eller teknisk expertis inom cybersäkerhet.
