NIS2-direktivet i Sverige — krav, sektorer och deadlines 2026

Kort svar

NIS2 är ett EU-direktiv som ställer juridiska krav på cybersäkerhet för organisationer i kritiska sektorer. Sverige implementerar det genom cybersäkerhetslagen som trädde i kraft 1 januari 2025. Berörda företag måste registrera sig hos MSB och uppfylla 10 specifika säkerhetsåtgärder. Sanktioner kan uppgå till 10 MEUR eller 2 % av global omsättning.

Påverkas mitt företag?

NIS2 omfattar företag i 18 sektorer, uppdelade i "väsentliga" och "viktiga" entiteter:

Väsentliga entiteter (skarpare krav)

• Energi (el, gas, fjärrvärme, olja)
• Transport (luft, järnväg, vatten, väg)
• Bank- och finanstjänster
• Hälso- och sjukvård
• Dricksvatten och avlopp
• Digital infrastruktur (DNS-tjänster, datacenter, molnleverantörer)
• IKT-tjänsteförvaltning (B2B)
• Offentlig förvaltning (staten, regioner)
• Rymd

Viktiga entiteter (lägre krav men fortfarande omfattande)

• Posttjänster och kurirverksamhet
• Avfallshantering
• Tillverkning av kemikalier
• Livsmedelsproduktion
• Tillverkning (medicintekniska produkter, datorer, transport)
• Digitala leverantörer (sökmotorer, sociala plattformar, marknadsplatser)
• Forskning

Storlekskrav

Som regel: minst 50 anställda eller minst 10 MEUR omsättning. Vissa undantag:

• Kritisk infrastruktur (energi, dricksvatten, finans) — alla storlekar omfattas
• Digital infrastruktur (DNS, TLD-register) — alla storlekar omfattas
• Offentlig förvaltning — alla storlekar omfattas

De 10 säkerhetsåtgärder som krävs

Direktivet artikel 21 listar 10 obligatoriska säkerhetsåtgärder som alla berörda måste implementera:

1. Riskanalysförfaranden — dokumenterad metodik för att identifiera och behandla risker
2. Incidenthantering — processer för att upptäcka, hantera och åtgärda säkerhetsincidenter
3. Verksamhetskontinuitet — backup, återställning och krishantering
4. Leveranskedjans säkerhet — risker i hela leveranskedjan av IT-tjänster
5. Säkerhet i nätverk och informationssystem — rutiner för utveckling, anskaffning och underhåll
6. Effektivitetsbedömning — politik och rutiner för att utvärdera säkerhetsåtgärder
7. Cyberhygien och utbildning — säkerhetsutbildning för alla anställda
8. Kryptografi — policyer och rutiner för användning av kryptografi
9. Personalsäkerhet, åtkomstkontroll, tillgångsförvaltning
10. Multifaktorautentisering, kontinuerlig övervakning, säkrade kommunikationer

Rapporteringskrav vid incidenter

Vid en betydande incident gäller skarpa tidskrav:

• Inom 24 timmar: tidig varning till MSB
• Inom 72 timmar: incidentrapport med detaljer
• Inom 1 månad: slutrapport med rotorsaksanalys

För svenska berörda enheter görs rapporteringen via MSB:s portal (cert-se).

Ledningens ansvar

NIS2 lägger ett helt nytt ansvar på styrelse och ledning:

• Styrelsen måste godkänna säkerhetsåtgärder, inte bara delegera
• Styrelsen kan personligen hållas ansvarig för bristande efterlevnad
• Obligatorisk cybersäkerhetsutbildning för styrelseledamöter
• Vissa länders implementeringar tillåter avstängning av VD vid grov försummelse

Detta är en av de största förändringarna jämfört med NIS1.

Sanktioner

För väsentliga entiteter:

• Upp till 10 MEUR eller 2 % av global omsättning (det högsta)
• Operativa förbud i grova fall
• Personligt ansvar för styrelseledamöter

För viktiga entiteter:

• Upp till 7 MEUR eller 1,4 % av global omsättning

Hur visar ni att ni efterlever?

NIS2 säger att åtgärder ska vara "proportionerliga" — vilket lämnar tolkning öppen. I praktiken vill MSB se:

• Dokumenterad riskanalys
• Säkerhetspolicy godkänd av styrelsen
• Incidenthanteringsplan
• Bevis på utbildning och cyberhygien
• Leverantörsbedömningar
• Backup- och kontinuitetsplaner

Allt detta är exakt vad ett ISMS producerar.

NIS2 vs ISO 27001 — vad är skillnaden?

• NIS2 är lag — du måste följa det om du omfattas, ingen valbarhet
• ISO 27001 är frivillig certifiering — visar systematik, men inte juridiskt obligatorisk

I praktiken: en ISO 27001-certifiering uppfyller större delen av NIS2-kraven. Många väljer ISO 27001 just för att dubbelvinsten är så stor.

Tidsplan för svenska företag

• 2025-01-01: Cybersäkerhetslagen i kraft
• 2025-Q1: Registrering hos MSB påbörjas (för väsentliga entiteter)
• 2025-2026: Tillsynsmyndigheterna börjar granska efterlevnad
• 2026 och framåt: Sanktioner kan utdömas

Vad göra nu?

1. Bedöm omfattning — Omfattas ni? Som väsentlig eller viktig entitet?
2. Registrera — Om omfattad, registrera hos MSB
3. Riskanalys — Identifiera nuläget mot de 10 säkerhetsåtgärderna
4. Gap-analys — Vad saknas? Vad behöver dokumenteras?
5. Implementering — Med ISMS-verktyg går detta snabbare
6. Utbildning — Inkl. styrelseutbildning
7. Löpande — Övervakning, incidentrapportering, ständig förbättring

Hur WF ISMS hjälper med NIS2

WF ISMS har inbyggd kontrollmappning mot NIS2:s 10 säkerhetsåtgärder. Plattformen hjälper er:

• Dokumentera och spåra varje krav
• Generera incidentrapporter med tidsstämplar och rotorsaksanalys
• Hantera leverantörsrisk i kedjan
• Skapa revisionsklara rapporter åt MSB
• Visa styrelsen tydlig statusöversikt

All data hanteras i Sverige, vilket gör att ni inte skapar nya jurisdiktionsproblem när ni hanterar känsliga säkerhetsdata. Läs mer om WF ISMS.

Sammanfattning

NIS2 är inte längre ett kommande direktiv — det är svensk lag sedan januari 2025. Om ni omfattas behöver ni dokumenterat säkerhetsarbete på 10 specifika områden, inkl. styrelseansvar och 24-timmars incidentrapportering. Sanktionerna är skarpa. Den enklaste vägen för de flesta är ett strukturerat ISMS som gör compliance till en löpande aktivitet snarare än en akut åtgärd före revision.