NIS2 – Nya cybersäkerhetskrav för svenska företag

Vissa menar att EU har för stor beslutanderätt över digitalisering och internet. Kritiker lyfter bland annat frågor om demokratisk legitimitet och pekar på att överreglering kan skrämma bort investeringar och försämra konkurrenskraften. Andra välkomnar standardisering och tydligheten det innebär för företag som opererar på den europeiska marknaden.

Men oavsett vad vi tycker kan vi konstatera att EU tagit på sig rollen som samordnare för medlemsländernas förutsättningar på den digitala arenan. Detta aktualiseras ännu en gång i och med direktivet NIS2 – som kommer att implementeras i svensk lagstiftning från och med 15 januari 2026. Svenska företag står nu inför den största förändringen av efterlevnadskrav för cybersäkerhet någonsin.

Vad är NIS2

NIS2 är en förkortning för Network and Information Systems 2 och är EU:s uppdaterade cybersäkerhetsdirektiv som syftar till att höja säkerhetsnivån för kritisk infrastruktur och viktiga samhällstjänster. Det ersätter det tidigare direktivet (NIS1), som hade flera brister vilka man nu hoppas kunna åtgärda. Bland dessa var att för få sektorer omfattades, krav på riskhantering var otillräckliga och att leverantörskedjan inte fullt inkluderades, vilket gjorde tredje part sårbar för attacker.

Det nya direktivet fokuserar på tre olika typer av krav för att säkerställa ett så robust skydd som möjligt. De delas in i Tekniska krav, Organisatoriska krav och Rapporteringskrav.

Tekniska krav:

  • Multifaktorsautentisering för alla kritiska system
  • Kryptering av känsliga data
  • Regelbundna säkerhetsuppdateringar och sårbarhetshantering
  • Incidentdetektering och -övervakning
  • Säker systemkonfiguration
  • Säkerhetskopiering och återställningsplaner

Organisatoriska krav:

  • Riskbedömningar och säkerhetspolicyer
  • Incidenthantering med strikta rapporteringsfrister (24 timmar för första varning, 72 timmar för detaljerad rapport)
  • Ledningens ansvar för cybersäkerhet
  • Personalutbildning i cybersäkerhet
  • Leverantörskedjesäkerhet
  • Testning av säkerhetsplaner

Rapporteringskrav:

  • Säkerhetsincidenter måste rapporteras till myndigheter inom 24-72 timmar
  • Regelbunden rapportering av säkerhetsstatus
  • Dokumentation av alla säkerhetsåtgärder

Påverkas ditt företag?

I och med NIS2 och inkluderingen av nya sektorer kommer fler företag omfattas. Nedan kan du se en lathund för att avgöra om just ditt företag går inom ramen för vilka som behöver förhålla sig till den nya lagstiftningen:

Uppfyller storlekskraven:

  • Har 50 eller fler anställda, ELLER
  • Har årsomsättning över 10 miljoner euro, ELLER
  • Har balansomslutning över 10 miljoner euro

OCH verkar inom någon av dessa 18 sektorer:

Väsentliga entiteter (strängare krav): Energi, Transport, Bankverksamhet, Finansiell marknadsinfrastruktur, Hälso- och sjukvård, Dricksvatten, Avloppsvatten, Digital infrastruktur, IKT-tjänstehantering, Offentlig förvaltning, Rymd

Viktiga entiteter: Post- och kurirtjänster, Avfallshantering, Tillverkning av kemiska produkter, Livsmedelsproduktion/-bearbetning/-distribution, Tillverkning (medicintekniska produkter, elektronik, maskiner, fordon), Leverantörer av digitala tjänster, Forskning

Praktiska exempel:

  • IT-konsultföretag med 60 anställda som levererar hanterade tjänster
  • Livsmedelsproducent med 120 miljoner i omsättning
  • Transportföretag med 55 anställda
  • Tillverkare av medicintekniska produkter oavsett storlek

Zero Trust som väg till efterlevnad av NIS2

Om ditt företag omfattas av den nya lagstiftningen är det dags att redan nu börja förbereda sig för efterlevnadskraven. Vid bristande efterlevnad riskerar företag böter på upp till 10 miljoner euro och utöver böterna kan även ledningen hållas personligt ansvarig.

En av de mest effektiva metoderna för att uppfylla de olika kraven kopplade till NIS2 är att implementera Zero Trust-arkitektur (något vi rekommenderar oavsett om du omfattas av lagstiftningen eller inte). Zero Trust bygger på principen ”lita aldrig, verifiera alltid” och kräver kontinuerlig verifiering. Denna säkerhetsmodell harmoniserar på flera viktiga punkter med NIS2:s säkerhetskrav:

Åtkomstkontroll: Zero Trust kräver kontinuerlig verifiering av alla användare och enheter, vilket uppfyller NIS2:s krav på stark autentisering och åtkomsthantering.

Nätverkssegmentering: Genom att dela upp nätverket i mindre zoner (alla användare har inte obegränsad tillgång till allt) begränsas skador vid säkerhetsincidenter.

Kontinuerlig övervakning: Zero Trust-system övervakar all aktivitet konstant, vilket i sin tur hjälper till med både incidentdetektering och rapportering.

Leverantörshantering: Extern personal och leverantörer kan ges utvald åtkomst utan att kompromissa den övergripande nätverkssäkerheten.

Publicerad: September 5, 2025 / Uppdaterad: September 5, 2025
John Klaar IT konsult i Malmö

Nästa steg

Vi hjälper dig så klart att navigera NIS2-kraven och implementera effektiva säkerhetslösningar baserade på exempelvis Zero Trust-principen. Genom att kombinera teknisk expertis med förståelse för regulatoriska krav kan vi skapa lösningar som både skyddar er verksamhet och säkerställer efterlevnad.

Vi är bara ett samtal bort när ni är redo att diskutera er NIS2-strategi.

Ring: +46-10-88 99 114E-post: john.klaar@cynaps.se

Nyhetsbrev med personliga perspektiv på IT

  • Läsvärt om den digitala arenan
  • Det du borde vilja veta om IT
  • Vi hjälper dig navigera det senaste inom IT

Fler artiklar