NIS2 är EU:s mest ambitiösa cybersäkerhetsdirektiv någonsin. För svenska techbolag innebär det konkreta krav på riskhantering, incidentrapportering och leverantörskedjesäkerhet - med kraftiga sanktioner för de som inte följer reglerna. Den här guiden går igenom exakt vad du behöver göra, steg för steg.
Vad är NIS2?
NIS2 (Network and Information Security Directive 2) är en uppdatering av EU:s ursprungliga NIS-direktiv från 2016. Det antogs av Europaparlamentet i november 2022 och ersätter det ursprungliga direktivet med betydligt bredare räckvidd och strängare krav. Målet är att höja cybersäkerheten över hela EU genom att ställa högre krav på organisationer som bedriver samhällsviktig verksamhet.
För Sverige implementeras NIS2 genom en ny cybersäkerhetslag som beräknas träda i kraft under 2025-2026. Tillsynsmyndigheten är MSB (Myndigheten för samhällsskydd och beredskap) tillsammans med sektorspecifika tillsynsmyndigheter. Sanktionerna är betydande: upp till 10 miljoner euro eller 2% av den globala omsättningen för väsentliga entiteter.
Den stora skillnaden mot det ursprungliga NIS-direktivet är att NIS2 tar in betydligt fler sektorer och organisationer. Även medelstora företag i berörda sektorer omfattas nu, och kraven på incidentrapportering är strängare med en 24-timmars initial notifiering och en 72-timmars uppföljningsrapport.
Vem berörs?
NIS2 delar in organisationer i två kategorier: väsentliga entiteter (essential entities) och viktiga entiteter (important entities). Skillnaden är tillsynsnivå och sanktionsstorlek, men grundkraven är desamma.
För svenska techbolag är framför allt följande sektorer relevanta: digital infrastruktur (hosting, DNS, molntjänster, datacenters), digitala tjänster (marknadsplatser, sökmotorer, sociala nätverk), och ICT-tjänsthantering (managed services, system-integration). Men även företag i andra sektorer som använder IT i betydande utsträckning kan beröras.
Hosting, DNS, CDN, molntjänster, datacenter
SaaS-plattformar, marknadsplatser, sökmotorer
MSP, system-integration, managed security
El, fjärrvärme, olja, gas, vattenkraft
Flyg, järnväg, väg, sjöfart, logistik
Sjukhus, labb, läkemedel, medicintekniska produkter
Banker, försäkring, värdepappershandel
Statliga myndigheter, kommuner, regioner
Storlekskriteriet är viktigt: NIS2 gäller i regel för medelstora och stora företag (50+ anställda eller 10M+ EUR i omsättning). Men vissa kritiska tjänster (DNS, TLD, kvalificerade trust services) omfattas oavsett storlek. Dessutom kan du beröras indirekt som leverantör till en NIS2-entitet.
Snabbtest: Berörs ditt företag?
Om du svarade ja på minst två av frågorna är det mycket troligt att ditt företag berörs av NIS2.
Krav
NIS2 ställer krav inom fyra huvudområden: riskhantering, incidentrapportering, leverantörskedjesäkerhet och ledningsansvar. Här går vi igenom varje område i detalj.
1. Riskhantering (Artikel 21)
Organisationer måste implementera ett systematiskt riskhanteringsramverk som inkluderar riskanalyser, säkerhetspolicyer, incident-hantering, businesscontinuity, leverantörssäkerhet, nätverkssäkerhet, säkerhet vid systemutveckling, kryptografi och accesskontroll.
I praktiken innebär det att du behöver en dokumenterad riskhanteringsprocess som regelbundet identifierar, bedömer och hanterar cybersäkerhetsrisker. Det är inte tillräckligt med en engångsinventering - processen måste vara levande och uppdateras minst årligen.
2. Incidentrapportering (Artikel 23)
Vid en significant säkerhetsincident måste du: skicka en första notifiering till CSIRT (för Sverige: CERT-SE) inom 24 timmar, lämna en uppföljningsrapport inom 72 timmar, och lämna en slutrapport inom en månad. En incident anses significant om den påverkar tjänstens tillgänglighet, dataintegriteten, eller om den kan påverka andra medlemsstater.
För att klara dessa tidsgränser behöver du fördefinierade processer och kontaktlistor. När en incident inträffar är det för sent att börja fundera på vem som ska kontaktas och hur rapporteringen ska göras.
3. Leverantörskedjesäkerhet (Artikel 21.2d)
Du måste bedöma cybersäkerhetsrisker i hela din leverantörskedja. Det innebär att du behöver evaluera säkerhetspraxis hos dina leverantörer, ställa krav i avtal, och regelbundet följa upp. För techbolag är det här särskilt relevant för SaaS-leverantörer, hosting-providers, och open source-beroenden.
Praktiskt innebär det att du behöver en inventering av alla kritiska leverantörer, en riskbedömning per leverantör, och avtalsmässiga krav på cybersäkerhet. Vi rekommenderar också att inkludera SBOM (Software Bill of Materials) i leverantörsgranskningar.
4. Ledningsansvar (Artikel 20)
NIS2 införde personligt ansvar för ledningen. Styrelsen och VD måste godkänna cybersäkerhetsåtgärder, genomgå utbildning, och kan hållas personligen ansvariga vid bristande efterlevnad. Det innebär att cybersäkerhet inte längre kan delegeras bort till IT-avdelningen - det är ett styrelseangelägenhet.
Tidslinje
Implementeringstidslinjen för NIS2 i Sverige:
NIS2-direktivet antaget av EU
Direktivet träder i kraft
Deadline för nationell implementering (de flesta EU-länder)
SOU 2024:18 Cybersäkerhetslag i Sverige publicerad
Förväntat riksdagsbeslut om ny svensk cybersäkerhetslag
MSB publicerar föreskrifter och vägledningar
Registrering hos MSB öppnar (förväntat)
DEADLINE: Full compliance krävs
Implementering
Implementering av NIS2 är inget man gör över en helg. För de flesta techbolag är det ett projekt på 3-6 månader. Här är den ordning vi rekommenderar att tackla kraven:
Fas 1: Gap-analys (vecka 1-3)
- Kartlägg nuvarande säkerhetsläge mot NIS2-kraven
- Identifiera gaps - vad saknas?
- Prioritera: vilka gaps är mest kritiska?
- Skapa en åtgärdsplan med ansvariga och tidsramar
Fas 2: Grundläggande åtgärder (vecka 4-10)
- Implementera riskhanteringsramverk (ISO 27001 är en bra bas)
- Skapa/uppdatera säkerhetspolicyer
- Sätt upp incidentrapporteringsprocess och testa den
- Inventera och riskbedöma leverantörer
- Utbilda ledningen (styrelse + VD)
Fas 3: Tekniska åtgärder (vecka 8-18)
- Implementera MFA överallt (absolut minimum)
- Sätt upp SIEM/loggning för anomali-detektion
- Kryptera data i vila och i transit
- Implementera nätverkssegmentering
- Sätt upp backup och disaster recovery-testning
Fas 4: Validering och underhåll (vecka 16-24)
- Genomför en intern audit mot NIS2-kraven
- Kör en incident response-övning
- Dokumentera allt för tillsynsmyndigheten
- Planera för löpande underhåll och årliga reviews
“NIS2 är inte en IT-fråga - det är en affärskritisk fråga. Bolag som behandlar det som ytterligare ett compliance-krav att bocka av missar poängen. Det handlar om att bygga en organisation som kan stå emot cyberattacker och återhämta sig när de inträffar.”
- Simon Axelsson
NIS2-checklista
Använd den här interaktiva checklistan för att spåra ditt företags NIS2-readiness. Klicka på varje punkt för att markera den som avklarad:
Att uppnå NIS2-compliance är ett maraton, inte en sprint. Det viktigaste är att börja nu. Även om du inte hinner implementera allt innan deadline visar en påbörjad och dokumenterad process att ni tar kraven på allvar. Tillsynsmyndigheter tenderar att vara hårdare mot organisationer som inte ens har börjat än mot de som är på väg men inte helt klara.
Simon Axelsson
IT-konsult & teknisk rådgivare
Simon Axelsson är senior IT-konsult och grundare av SIAX Technology AB i Stockholm. Han hjälper nordiska företag med molninfrastruktur, dataplattformar och AI-automation. Han arbetar aktivt med NIS2-implementering och navigerar dagligen landskapet av europeiska cybersäkerhetskrav.