NIS2 införs i svensk rätt genom en ny cybersäkerhetslag som omfattar väsentligt fler sektorer och företag än det tidigare NIS-regelverket. Lagen bygger på EU:s NIS2-direktiv (2022/2555) och utredningen SOU 2024:18, men den svenska transponeringen försenades förbi EU:s tidsfrist den 17 oktober 2024 – aktuellt läge och ikraftträdande bör verifieras hos regeringen och MSB. Den här guiden går igenom vilka sektorer och företagsstorlekar som omfattas, MSB:s samordnande roll, incidentrapporteringens tidsfrister och ledningens personliga ansvar. För dig som redan arbetar med GDPR är NIS2 ett angränsande men separat regelverk med egna, hårdare säkerhetskrav.
Sammanfattning
- NIS2 införs i Sverige genom en ny cybersäkerhetslag baserad på direktiv (EU) 2022/2555 och SOU 2024:18.
- Transponeringen är försenad förbi EU:s deadline 17 oktober 2024 – verifiera aktuell status på regeringen.se och msb.se.
- Företag delas i väsentliga och viktiga entiteter beroende på sektor och storlek.
- Incidentrapportering sker i steg: tidig varning inom 24 timmar, incidentrapport inom 72 timmar och slutrapport inom en månad.
Vad är NIS2?
NIS2-direktivet (2022/2555) är EU:s uppdaterade regelverk för cybersäkerhet och ersätter det ursprungliga NIS-direktivet från 2016. Syftet är att höja den gemensamma säkerhetsnivån genom att utvidga tillämpningsområdet kraftigt, skärpa säkerhetskraven och införa enhetlig incidentrapportering och ledningsansvar. Direktivet skulle ha varit transponerat i medlemsstaterna senast den 17 oktober 2024. Sverige, liksom flera andra länder, blev försenat; den svenska lösningen bygger på utredningen SOU 2024:18 och en kommande cybersäkerhetslag. Kontrollera alltid det aktuella läget innan ni planerar er efterlevnad, eftersom ikraftträdandet påverkar när skyldigheterna börjar gälla.
Vilka omfattas?
NIS2 utvidgar tillämpningsområdet dramatiskt jämfört med NIS1. Entiteterna delas i två kategorier:
| Kategori | Exempel på sektorer | Tillsyn |
|---|---|---|
| Väsentliga entiteter | Energi, transport, bank, finansmarknad, hälso- och sjukvård, dricksvatten, digital infrastruktur | Proaktiv tillsyn |
| Viktiga entiteter | Post, avfall, kemikalier, livsmedel, tillverkning, digitala tjänster, forskning | Reaktiv tillsyn |
Utöver sektorn styr storleken: som huvudregel omfattas medelstora och stora företag (från 50 anställda eller 10 miljoner euro i omsättning). Vissa aktörer omfattas oavsett storlek på grund av sin kritiska roll. Skillnaden mellan väsentliga och viktiga entiteter påverkar främst tillsynens intensitet och sanktionsnivåerna, inte grundkraven.
Ett svårt men avgörande första steg är därför att avgöra om och hur ni omfattas. Många företag som aldrig berördes av NIS1 – tillverkare, livsmedelsföretag, avfallshantering, digitala tjänsteleverantörer – faller nu inom tillämpningsområdet.
MSB:s roll och tillsynsmyndigheter
I den svenska modellen får Myndigheten för samhällsskydd och beredskap (MSB) en central samordnande roll, medan tillsynen fördelas på sektorsansvariga myndigheter. MSB förväntas ansvara för nationell samordning, stöd och den centrala kontaktpunkten mot EU och andra medlemsstater, samt för CSIRT-funktionen som tar emot incidentrapporter. De exakta ansvarsfördelningarna fastställs i den slutliga lagstiftningen – verifiera på msb.se.
Säkerhetskrav
NIS2 kräver att entiteterna vidtar lämpliga och proportionella tekniska, operativa och organisatoriska åtgärder för att hantera riskerna för sina nät- och informationssystem. Direktivets art. 21 anger minimiåtgärder, bland annat:
- Riskanalys och informationssäkerhetspolicy
- Incidenthantering
- Kontinuitetshantering och krishantering
- Säkerhet i leveranskedjan
- Säkerhet vid anskaffning, utveckling och underhåll av system
- Rutiner för att bedöma åtgärdernas effektivitet
- Grundläggande cyberhygien och utbildning
- Kryptering och åtkomstkontroll
Kraven överlappar delvis med GDPR:s säkerhetskrav i art. 32, men NIS2 är bredare: det handlar om driftsäkerhet och samhällsviktig funktion, inte enbart skydd av personuppgifter.
Incidentrapportering i steg
En av de mest konkreta skyldigheterna är den skärpta incidentrapporteringen, som sker i tre steg för betydande incidenter:
- Tidig varning inom 24 timmar från att incidenten upptäckts.
- Incidentrapport inom 72 timmar med en första bedömning av allvar och påverkan.
- Slutrapport inom en månad med en detaljerad beskrivning, grundorsak och vidtagna åtgärder.
Dessa frister är hårdare och mer detaljerade än GDPR:s 72-timmarsregel. För organisationer som omfattas av båda regelverken kan en och samma händelse utlösa parallell rapportering – till sektorns NIS2-myndighet och till IMY vid en personuppgiftsincident. Bygg därför en samordnad incidentrutin som hanterar båda spåren samtidigt.
Ledningens ansvar
En central nyhet i NIS2 är det uttryckliga ledningsansvaret. Styrelse och ledning ska godkänna och övervaka riskhanteringsåtgärderna och kan hållas ansvariga för bristande efterlevnad. Ledningen ska dessutom genomgå utbildning i cyberrisker. Sanktionerna är kännbara: för väsentliga entiteter kan avgifter uppgå till minst 10 miljoner euro eller 2 % av den globala årsomsättningen. Detta gör cybersäkerhet till en styrelsefråga, inte enbart en IT-fråga.
NIS2 och GDPR sida vid sida
NIS2 och GDPR är separata regelverk med olika skyddssyften men överlappande krav på säkerhet och incidenthantering. En organisation som redan har ordning på sitt GDPR-arbete – med registerförteckning, biträdesavtal och incidentrutiner – har en grund att bygga vidare på, men NIS2 kräver mer på områdena leveranskedjesäkerhet, kontinuitet och teknisk riskhantering. Säkerhet i leveranskedjan innebär exempelvis att era leverantörsavtal måste hantera cyberrisker, vilket knyter an till hur ni redan styr personuppgiftsbiträden.
För att hantera båda regelverken effektivt behövs en samlad överblick över system, leverantörer, risker och incidenter. Plattformar som Legiscope kan stödja arbetet med att kartlägga tillämpningsområde, dokumentera åtgärder och samordna incidentrapportering över NIS2 och GDPR. Finansiella entiteter bör dessutom beakta överlappet med DORA, som ställer egna krav på digital operativ motståndskraft. Direktivets fulltext finns hos EUR-Lex.
Så förbereder du dig redan nu
Att den svenska lagen är försenad är inget skäl att avvakta. Direktivets krav är kända, och de organisationer som väntar med förberedelserna till dess att lagen träder i kraft kommer att få mycket kort tid på sig att uppfylla omfattande skyldigheter. Det första och viktigaste steget är att avgöra om ni omfattas – en analys av er sektor mot direktivets bilagor och er storlek mot tröskelvärdena. Denna bedömning bör dokumenteras, eftersom den avgör hela er skyldighetsbild och kan behöva visas upp för tillsynsmyndigheten.
Nästa steg är en gapanalys: jämför era befintliga säkerhetsåtgärder mot minimikraven i direktivets art. 21. De flesta organisationer har delar på plats – kanske en informationssäkerhetspolicy och grundläggande åtkomstkontroll – men saknar systematik på områden som leveranskedjesäkerhet, kontinuitetsplanering och mätning av åtgärdernas effektivitet. Gapanalysen visar vad som återstår och gör det möjligt att prioritera innan lagen sätter tidspress.
Parallellt bör ni bygga en incidentprocess som klarar de skärpta tidsfristerna. En tidig varning inom 24 timmar kräver att någon dygnet runt kan ta emot, bedöma och eskalera en incident – det är en organisatorisk beredskap som tar tid att etablera. Slutligen ska ledningen involveras tidigt: eftersom NIS2 gör styrelsen personligt ansvarig för riskhanteringen behöver den förstå kraven och avsätta resurser. Att presentera gapanalysen för ledningen är ett effektivt sätt att förankra arbetet där ansvaret nu ligger.
Vanliga frågor
När börjar NIS2 gälla i Sverige?
EU:s deadline för transponering var den 17 oktober 2024, men den svenska cybersäkerhetslagen försenades. Det exakta ikraftträdandet beror på när lagen antas och träder i kraft – verifiera aktuell status på regeringen.se och msb.se. Direktivets krav gäller dock oavsett från det datum den nationella lagen sätter, så förberedelser bör inledas nu.
Hur vet jag om mitt företag omfattas av NIS2?
Två faktorer avgör: er sektor (energi, transport, hälsovård, tillverkning, digitala tjänster med flera enligt direktivets bilagor) och er storlek (huvudregeln är medelstora och stora företag, från 50 anställda eller 10 miljoner euro i omsättning). Vissa kritiska aktörer omfattas oavsett storlek. Att avgöra om och hur ni omfattas är det första och viktigaste steget.
Vad är skillnaden mellan väsentliga och viktiga entiteter?
Skillnaden ligger främst i tillsynens intensitet och sanktionsnivåerna. Väsentliga entiteter (som energi, bank och sjukvård) är föremål för proaktiv tillsyn, medan viktiga entiteter (som livsmedel, avfall och tillverkning) granskas reaktivt, oftast efter en incident. Grundläggande säkerhets- och rapporteringskrav gäller båda kategorierna.
Hur förhåller sig NIS2 till GDPR?
De är separata regelverk. GDPR skyddar personuppgifter, NIS2 skyddar samhällsviktiga nät- och informationssystem. Deras säkerhets- och incidentkrav överlappar, och en och samma incident kan utlösa rapportering enligt båda – till sektorns NIS2-myndighet och till IMY. Ett samordnat säkerhets- och incidentarbete som täcker båda regelverken är därför mest effektivt.
Slutsats
NIS2 breddar den svenska cybersäkerhetsregleringen till långt fler företag än tidigare och gör säkerhet till ett uttryckligt ledningsansvar med kännbara sanktioner. Den nya cybersäkerhetslagen bygger på EU-direktivet 2022/2555 men är försenad – bekräfta aktuellt läge hos regeringen och MSB. Börja ändå nu: avgör om ni omfattas, kartlägg era system och leverantörer, bygg en incidentrutin som klarar 24/72-timmarsfristerna och samordna arbetet med ert befintliga GDPR-arbete. Cybersäkerhet är efter NIS2 en styrelsefråga.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial