Hur säkrar ni att känslig data skyddas enligt de nya, skärpta kraven i NIS2-direktivet? Från ekonomisystem och HR-processer till digitala medborgartjänster – ansvaret för att skydda verksamhetskritisk information har aldrig varit större. Med böter på upp till 10 miljoner euro och ett personligt ansvar för ledningen är det inte längre en fråga om ni behöver agera, utan hur.
Den här checklistan ger dig koll på vad som behöver göras.
Vad du behöver veta om den nya lagen
Den nya cybersäkerhetslagen, som bygger på EU:s NIS2-direktiv, förväntas träda i kraft den 15 januari 2026. För dig som arbetar med lön, HR eller ekonomi, och för beslutsfattare i offentlig sektor, innebär det tydligare krav på riskhantering, informationssäkerhet och skydd av kritiska system. Att ha kontroll över känslig data och förstå ledningens ansvar är viktigare än någonsin.
Mycket av det som lagen kräver ska redan vara på plats i en verksamhet som hanterar känslig data. Med den nya lagen blir det dock skarpare krav på ledningens ansvar, säkerhetsåtgärder och incidentrapportering.
Vad innebär det för dig i praktiken? Och hur kan du säkerställa att din organisation är redo? I den här guiden ger vi dig en praktisk översikt och konkreta råd för hur ni kan möta kraven.
Vad är NIS2-direktivet?
NIS2-direktivet är en EU-lag som syftar till att höja cybersäkerheten inom hela EU genom att skapa en gemensam hög standard. Lagen omfattar fler sektorer och organisationer än sin föregångare, NIS1. För dig inom offentlig sektor innebär det att kraven på riskhantering, incidentrapportering och säkerhetsåtgärder skärps. Det handlar om att skydda samhällsviktiga tjänster från cyberhot som kan slå ut kritisk infrastruktur.
Vem omfattas av NIS2?
NIS2 gäller inte alla organisationer, utan de som klassas som ”väsentliga” eller ”viktiga” aktörer. Hit hör bland annat:
- Offentliga aktörer (kommuner, myndigheter, regioner) med ansvar för samhällsviktiga funktioner.
- Privata aktörer inom bl.a. energi, transport, hälso- och sjukvård, vattenförsörjning, avfall, digital infrastruktur, livsmedel, posttjänster, offentlig förvaltning och tillverkning av kritiska produkter.
- IT- och molntjänstleverantörer.
Även underleverantörer som levererar tjänster till dessa aktörer kan omfattas indirekt genom krav i avtal.
Vad händer om man inte följer NIS2?
NIS2 innehåller sanktioner som gör det nödvändigt att agera:
- Böter på upp till 10 miljoner euro eller 2 % av global årsomsättning.
- Möjlighet till personligt ansvar för ledningen vid bristande efterlevnad.
NIS2 i praktiken: En checklista
NIS2-kraven påverkar hur alla verksamheter inom offentlig sektor hanterar känslig och kritisk information. Oavsett om det handlar om personaldata, ekonomidata eller annan samhällsviktig information, är det avgörande att ha tydlig kontroll och rutiner på plats.
Här är en checklista på områden du bör se över:
Vilket ansvar har ledningen enligt NIS2?
- Engagera ledningen: Säkerställ att styrelse och ledning är direkt involverade och tar ansvar för cybersäkerheten. De kan hållas personligt ansvariga om kraven inte efterlevs.
- Utbilda beslutsfattare: Ge ledningen regelbunden utbildning så att de kan fatta välgrundade beslut.
Hur påverkar NIS2 kraven på våra leverantörer?
- Kartlägg era leverantörer: Identifiera alla som har åtkomst till era system och data.
- Gör en riskbedömning: Värdera riskerna med varje leverantör och ställ krav i avtal.
- Övervaka leverantörers säkerhet: Följ upp deras säkerhetsnivå regelbundet.
Informationssäkerhet
- Inventera känslig data: Kartlägg var HR-, löne- och ekonomidata lagras.
- Uppdatera era säkerhetspolicyer: Säkerställ att informationssäkerhetspolicyer är aktuella.
- Genomför interna revisioner: Kontrollera system och rutiner regelbundet.
Riskbedömning och incidenthantering
- Gör en gapanalys: Jämför er nuvarande säkerhetsnivå med NIS2.
- Incidentrapportering i tre steg:
- Förvarning inom 24 timmar.
- Detaljerad rapport inom 72 timmar.
- Slutrapport inom en månad. - Utbilda personal och ledning: Alla ska förstå sin roll vid en incident.
Datasäkerhet
- Starka autentiseringsmetoder: Använd MFA, starka lösenord och regelbundna byten.
- Patchning och uppdateringar: Ha en process för att snabbt täppa till sårbarheter.
- Nätverkssegmentering: Minimera skador vid intrång genom att isolera system.
- Loggning och övervakning: Implementera kontinuerlig loggning och hotdetektion.
- Säkerhetskopior: Ta regelbundna kopior och testa återställning.
Återhämtningsplaner
- Utveckla en BCP (Business Continuity Plan): Beskriv hur verksamheten återställs snabbt.
- Samarbeta med leverantörer: Säkerställ att även de har planer för katastrofåterställning.
Viktigt om systemleverantörer
NIS2 ställer krav på att ni har kontroll på leverantörers säkerhet. Dina mjukvaruleverantörer är en central del av
säkerhetskedjan. Att välja en partner som aktivt arbetar för att uppfylla NIS2-kraven är en stor del av riskhanteringen.
Vanliga frågor om NIS2-direktivet
- Här besvarar vi några av de vanligaste frågorna vi får om NIS2 och vad det innebär för offentlig sektor.
1. Gäller NIS2 för alla Sveriges kommuner?
Kommuner och regioner kommer att omfattas av NIS2-direktivet. Anledningen är att lagen inte bara ser till organisationens storlek, utan framför allt till funktionen den fyller i samhället.
Eftersom offentlig förvaltning pekas ut som en "väsentlig sektor" och kommuner ansvarar för en rad samhällsviktiga tjänster (som vatten, avfall, socialtjänst och delar av hälso- och sjukvården), faller de naturligt inom direktivets ramar. Vår rekommendation är att alla kommuner och regioner bör agera som om de omfattas och påbörja sitt anpassningsarbete redan nu.
2. Vad är den största skillnaden mellan NIS1 och NIS2?
NIS2 är en betydande skärpning av sin föregångare. De tre största skillnaderna är: - Bredare omfattning: Många fler sektorer och organisationer klassas som "väsentliga" eller "viktiga", vilket innebär att fler måste följa reglerna. Offentlig förvaltning på lokal och regional nivå inkluderas nu tydligare.
- Större ansvar för ledningen: Styrelse och VD kan hållas personligt ansvariga om organisationen inte följer cybersäkerhetskraven. Det räcker inte längre att delegera ansvaret till IT-avdelningen.
- Krav på hela leverantörskedjan: Det ställs nu uttryckliga krav på att ni måste ha kontroll över säkerheten hos era leverantörer. Att välja en säker och pålitlig mjukvarupartner blir därför en kritisk del av er egen regelefterlevnad.
3. Hur vet jag om min mjukvaruleverantör uppfyller NIS2-kraven?
Detta är en central fråga, eftersom ansvaret för leverantörskedjan ligger på er. En seriös och säkerhetsmedveten leverantör bör kunna uppvisa konkreta bevis på sitt säkerhetsarbete. - Certifieringar: Har leverantören en ISO 27001-certifiering? Det är en internationell standard för ledningssystem för informationssäkerhet och en stark kvalitetsstämpel.
- Datacenter och lagring: Var lagras er data? En leverantör som använder datacenter i Norden med hög skyddsklass ger er bättre kontroll och regelefterlevnad.
- Systematiskt säkerhetsarbete: Fråga hur de arbetar med sårbarhetsskanning, penetrationstester (där man aktivt försöker hacka systemet för att hitta svagheter) och incidenthantering.
- Transparens: En trygg partner är öppen med sitt säkerhetsarbete och kan tydligt beskriva hur de skyddar er information.
Att välja en leverantör som redan har dessa processer på plats minskar er risk och förenklar ert arbete med att möta NIS2-kraven avsevärt.
En trygg partner
På Publitech är säkerhet en integrerad del av våra system:
ISO-certifieringar: Vi är certifierade enligt ISO 9001 (kvalitet), ISO 14001 (miljö) och ISO 27001 (informationssäkerhet) – tre internationellt erkända standarder som visar att vi arbetar systematiskt och långsiktigt för att leverera hög kvalitet, minska vår miljöpåverkan och skydda känslig information.
Datacenter i Sverige enligt MSB:s skyddsklass 3.
Säkerhetsprogram i Visma-koncernen: penetrationstester, övervakning av darknet och sårbarhetsskanning.
