Vad är NIS2-direktivet?
NIS2-direktivet är EU:s gemensamma regelverk för att stärka cybersäkerheten inom samhällsviktiga och digitala verksamheter. Syftet är att höja säkerhetsnivån i hela unionen och öka motståndskraften mot cyberattacker och andra störningar som kan påverka samhällsviktiga tjänster.
I Sverige har NIS2 genomförts genom den nya cybersäkerhetslagen, som trädde i kraft den 15 januari 2026. Lagen ställer tydligare krav på riskhantering, säkerhetsåtgärder, incidentrapportering och ledningens ansvar för cybersäkerhet.
Vilka verksamheter omfattas av NIS2?
NIS2 omfattar betydligt fler organisationer än det tidigare NIS-direktivet. Totalt omfattas verksamheter inom 18 olika sektorer, bland annat:
- Offentlig förvaltning
- Energi
- Transport
- Bank- och finanssektorn
- Hälso- och sjukvård
- Dricksvatten och avloppsvatten
- Digital infrastruktur
- Leverantörer av digitala tjänster
- Livsmedelssektorn
- Tillverkningsindustrin
Regioner, kommuner och kommunalförbund omfattas inom sektorn offentlig förvaltning, oavsett storlek. Även leverantörer till verksamheter som omfattas av lagen kan påverkas genom ökade krav på säkerhet i leverantörskedjan.
Vad skiljer NIS2 från NIS1?
Den största skillnaden är att betydligt fler verksamheter omfattas av regelverket. NIS2 innebär också högre krav på:
- Riskhantering och informationssäkerhet
- Incidenthantering och rapportering
- Kontinuitetsplanering och återställningsförmåga
- Säkerhet i leverantörskedjan
- Ledningens ansvar och utbildning
Dessutom har tillsynsmyndigheterna fått utökade möjligheter att granska efterlevnaden och besluta om sanktioner vid brister.
Vad behöver offentliga verksamheter göra?
För att uppfylla kraven behöver verksamheter bedriva ett systematiskt och dokumenterat cybersäkerhetsarbete. Det innebär bland annat att:
- Etablera och underhålla ett ledningssystem för informationssäkerhet.
- Genomföra regelbundna riskanalyser och säkerhetsbedömningar.
- Införa tekniska och organisatoriska säkerhetsåtgärder.
- Säkerställa kontinuitets-, backup- och återställningsplaner.
- Utbilda ledning och medarbetare i cybersäkerhet.
- Etablera processer för att upptäcka, hantera och rapportera incidenter.
- Ställa säkerhetskrav på leverantörer och samarbetspartners.
Ledningen har ett tydligt ansvar för att cybersäkerhetsarbetet bedrivs och följs upp.
När började NIS2 gälla?
NIS2-direktivet skulle införas i medlemsländernas lagstiftning senast i oktober 2024. I Sverige genomfördes direktivet genom cybersäkerhetslagen, som trädde i kraft den 15 januari 2026.
Organisationer som omfattas av lagen behöver nu säkerställa att de uppfyller kraven på riskhantering, säkerhetsåtgärder och incidentrapportering.
Många offentliga verksamheter har svårt att operationalisera lagkraven. Få praktiska råd om hur ni går från teori till säker drift i vår strategiska guide om riskhantering och complience för NIS2 i offentlig sektor.
Vill du veta mer om hur du blir redo för den nya cybersäkerhetslagen? Ta del av vår checklista