Meny
Stäng meny

NIS2 är här – är din organisation redo?

Energi, transport, finans och dricksvattenproduktion är några av de 18 sektorer som EU har ringat in som samhällsviktiga i NIS2, direktivet som berör svenska företag genom nya Cybersäkerhetslagen och Cybersäkerhetsförordningen. Här rätar cyberjuristen Johanna Parikka Altenstedt ut frågetecken för dig som omfattas.

– Bakgrunden till NIS2 är ett stort behov av samordning över nationsgränser, särskilt för företag med verksamhet i olika länder. Det blev tydligt att olika länder hanterade cybersäkerhet på olika sätt, säger Johanna Parikka Altenstedt, jurist och koordinator av Cybernode (EU:s nationella kompetensgemenskap inom cybersäkerhet som i Sverige är placerad hos RISE) och fortsätter: 

– För att skapa en förståelse som är större än våra nationsgränser – för skadlig kod stannar inte i ett land, den går över till grannarna också – klubbade EU igenom NIS-direktivet 2016.

Så implementeras NIS2 genom svenska Cybersäkerhetslagen

NIS2 är en utvidgning av sin föregångare NIS och stärker skyddet av samhällsviktiga tjänster, samt utökar omfånget till 18 sektorer (se faktaruta) som berörs av de nya kraven. NIS2 gäller i regel för företag som har minst 50 anställda eller omsätter minst 10 miljoner euro. Vissa verksamheter, till exempel leverantörer av internetkritisk infrastruktur, omfattas oavsett storlek. I en faktaruta längre ner i artikeln hittar du mer ”då berörs du av NIS2-fakta”.

– Det här är ett brett direktiv som spänner över så många branscher att egentligen alla företag med fler än 50 anställda bör undersöka om de berörs. Riskerna med att inte agera, när man faktiskt måste, är stora, säger Johanna Parikka Altenstedt som också är tillförordnad chef på Centrum för cybersäkerhet på RISE.

Hon förklarar varför NIS2 blev ett direktiv och inte en förordning, och varför det spelar roll.

– NIS2 är resultatet av en kompromiss mellan medlemsländerna. Det var vissa som ville att NIS2 skulle bli en förordning, vilket hade inneburit att lagen hade varit direkt bindande i alla EU-länder samtidigt. Nu blev det ett direktiv i stället, så varje land har viss flexibilitet att anpassa kraven till sina egna rättssystem, förklarar Johanna Parikka Altenstedt. 

Hur kan vi hjälpa dig?

Behöver du vägledning i hur nya Cybersäkerhetslagen och Cybersäkerhetsförordningen påverkar din verksamhet och hur ni anpassar er till de nya kraven? Kontakta oss genom att fylla i formuläret:

* Obligatoriskt Genom att skicka in formuläret behandlar RISE dina personuppgifter

I Sverige har NIS2 implementerats genom Cybersäkerhetslagen, som började gälla den 15 januari 2026. Lagen konkretiseras i Cybersäkerhetsförordningen (inte att förväxlas med en EU-förordning) som reglerar hur tillsyn ska gå till och hur rapportering ska ske. 

När den här artikeln skrivs, i februari 2026, fastställer tillsynsmyndigheterna, Myndigheten för civilt försvar (tidigare MSB) och Post- och telestyrelsen, detaljerade föreskrifter som ytterligare konkretiserar hur lagkraven ska uppfyllas. Kort sagt, det är en trestegsraket som omvandlar NIS2 till svenska krav.

Vad är det viktigaste för att göra rätt – och var ska man börja?

– En jättebra fråga! Man behöver göra en analys av sin verksamhet och verkligen komma ner på ”nitty-gritty”-nivå. Vad är det absolut väsentligaste ni gör, som skapar samhällsnytta? Det är det ni måste skydda, säger Johanna Parikka Altenstedt. 

Vad är det absolut väsentligaste ni gör, som skapar samhällsnytta? Det är det ni måste skydda.

En riskanalys och en gap-analys (strategisk metod för att identifiera skillnaden mellan nuläge och önskat målläge) hjälper till att ringa in hoten och säkerhetsglappen. RISE kan hjälpa företag och organisationer att göra den typen av analyser.

– Alla medarbetare ska inte behöva fundera över rikets säkerhet, utan det handlar närmast om att skydda sitt eget arbete. Om du har jobbat i ett projekt i två år och odlat en samling av stora Exceltabeller, då är det inte kul om det kommer in skadlig kod. Därför är det en bra idé att ha en backup. Genom att gå ner på team- och individnivå blir det enklare att motivera medarbetarna att jobba mer cybersäkert, säger Johanna Parikka Altenstedt.

Ett ledningsansvar: går inte att delegera bort cybersäkerheten

Ledningsansvaret är en central del av NIS2 och således även av Cybersäkerhetslagen. Det går inte att delegera bort ansvaret för cybersäkerheten, eller se regelefterlevnaden som ett IT-projekt bland andra projekt. 

Om ledningen inte har beslutat om lämpliga åtgärder eller följt upp kända brister kan detta resultera i sanktionsavgifter. Personer på ledningspositioner kan dessutom hållas personligt ansvariga för regelbrott, genom tillfälliga förbud mot vd- eller styrelseuppdrag i den NIS2-omfattade verksamheten. 

Ett tydligt regelverk att förhålla sig till är bättre och mer rättvist än en oreglerad marknad.

RISE utbildar ledningsgrupper inom NIS2, för att hjälpa företag och dess ledningsgrupper att ta sig an de nya reglerna med en god kunskapsgrund. Nästa steg kan vara att sätta sina produkter och tjänster under lupp i RISE test- och demonstrationsmiljö Cyber Range, eller att certifiera sitt ledningssystem för informationssäkerhet. 

NIS2 och cybersäkerhet – främst en fråga om människor

Johanna Parikka Altenstedt poängterar att människor i allmänhet tänker att cybersäkerhetsfrågor främst handlar om teknik. Då missar man målet, menar hon.

– Man börjar med tekniska brandväggar, när det egentligen är mänskliga brandväggar som behövs. Jag brukar prata om de fyra hörnstenarna för cybersäkerhet. Att människor som jobbar i organisationen är kunniga i cybersäkerhetsfrågor, på sin nivå, är den första. Vissa är superexperter medan andra har basal cyberhygien – men alla har kunskapen. Här är det också viktigt att väga in cybersäkerhet när avdelningar glatt vill skapa eller beställa nya digitala produkter och lösningar, säger Johanna Parikka Altenstedt.

Den andra hörnstenen är säkerhetskulturen. Det behöver vara högt i tak, så att människor vågar prata när något blir fel. En medarbetare som är rädd för att göra fel med risk för att drabbas av sanktioner, kommer inte berätta när det väl blir fel. Och då utgör man en stor risk för hela organisationen. 

Den tredje hörnstenen är regelefterlevnad. Där kommer NIS2 och svenska Cybersäkerhetslagen in i bilden. Först därefter, som den fjärde hörnstenen, kommer tekniken. 

”Ett tydligt regelverk är mer rättvist”

Johanna Parikka Altenstedt tycker att alla som omfattas av reglerna som avhandlas i den här artikeln ska se regelverket som ett hjälpmedel för att skydda det som är skyddsvärt. 

– Vissa tycker att det kommer så mycket regler från EU att det bromsar näringslivets utveckling. Det är inte uppfattningen som vi hör på Cybernoden. Ett tydligt regelverk att förhålla sig till är bättre och mer rättvist än en oreglerad marknad, konstaterar Johanna Parikka Altenstedt.

Hon påminner också om att EU:s cybersäkerhetsregelverk till stor del bygger på samma grundprinciper: 

  • Ett riskbaserat arbetssätt.
  • En noggrann analys av den egna verksamheten där både IT och OT (Operational Technology) ingår.
  • Ett tydligt cybersäkerhetsansvar, bland annat genom krav på leverantörer och andra som är beroende av den samhällsviktiga verksamheten.
  • Ett etablerat cybersäkerhetsledningssystem med rutiner för att hantera incidenter och säkerställa fortsatt drift. 

– Har man redan gjort detta arbete, till exempel inom ramen för ISO 27000 eller IEC 62443-certifieringar, räcker det långt oavsett vilket regelverk vi pratar om, säger hon.

NIS2 och den svenska Cybersäkerhetslagen

Vad är NIS2?
NIS2 är EU:s nya direktiv för cybersäkerhet som skärper kraven på hur samhällsviktiga och digitala verksamheter ska skydda sina IT- och informationssystem. Direktivet ersätter det tidigare NIS-direktivet.

När beslutades och började NIS2 gälla?

  • Antogs på EU-nivå i december 2022.
  • Skulle införas i nationell lag senast 17 oktober 2024.

Hur har NIS2 införts i Sverige?
Sverige harNIS2 och den svenska Cybersäkerhetslagen

Regelverket trädde i kraft 15 januari 2026 och ersätter den tidigare NIS-lagen.

Vilka omfattas?

Medelstora och stora organisationer inom:

  • energi,
  • transport
  • bank, finans och finansiell marknadsinfrastruktur
  • hälso- och sjukvård
  • dricksvatten
  • avlopp
  • digital infrastruktur och IT-tjänster (inklusive drift och molnleverans)
  • offentlig förvaltning
  • rymdsektorn
  • post- och budtjänster
  • avfallshantering
  • tillverkning och distribution av kemikalier
  • livsmedel
  • tillverkning
  • forskning

Verksamheter delas in i väsentliga och viktiga entiteter. Vissa omfattas oavsett storlek.

Cybernoden

Cybernoden är Sveriges nationella kompetensgemenskap inom cybersäkerhetsforskning och innovation och drivs av RISE på uppdrag av Sveriges nationella samordningscenter för forskning och innovation inom cybersäkerhet (NCC-SE) inom ramen för EU-projektet European Cybersecurity Competence Centre and Network (ECCC) och är finansierat av Vinnova. Tillsammans med NCC-SE utgör Cybernoden en nationell arena med målsättningen att initiera forskning och innovation inom cybersäkerhet. Den svenska kompetensgemenskapen är i dag den största i alla EU-länder med över 450 organisationer från privat och offentlig sektor samt akademin. 

Johanna Parikka Altenstedt

Kontaktperson

Johanna Parikka Altenstedt

Projektledare

+46 10 228 46 60

Läs mer om Johanna

Kontakta Johanna
CAPTCHA

* Obligatoriskt Genom att skicka in formuläret behandlar RISE dina personuppgifter.

Relaterat