NIS2-direktivet: Allt du behöver veta

NIS2 direktivet

Kort sammanfattning

  • NIS2 är ett EU-direktiv om cybersäkerhet som trädde i kraft i april 2025 – och det berör betydligt fler organisationer än sitt föregångare
  • Även om ditt företag inte direkt omfattas av direktivet kan leveranskedjeansvaret ändå gälla dig
  • Ledningens ansvar är nu personligt – och betydande säkerhetsincidenter måste rapporteras till myndigheterna inom 24 timmar
  • NIS2-efterlevnad kräver inga stora investeringar – rätt genomfört är det också en konkurrensfördel

Har du börjat stöta på begreppet NIS2 och undrat om det gäller din organisation – eller om det är ännu ett EU-akronym som du tryggt kan lämna vidare till någon annan?

Spoiler: det är troligen något du bör bry dig om. Och den goda nyheten är att det inte är så komplicerat som det låter.

Vad är egentligen NIS2?

Låt oss börja från grunden. NIS2 är EU:s direktiv om cybersäkerhet, som trädde i kraft i april 2025 genom cybersäkerhetslagen (124/2025). Det ersätter sitt föregångare NIS1 och utvidgar tillämpningsområdet avsevärt.

Men vad innebär det i praktiken? Enkelt uttryckt:

NIS2 är EU-lagstiftning som reglerar informationssäkerhet inom organisationer. Syftet är att säkerställa att företag agerar ansvarsfullt i fråga om cybersäkerhet i bred bemärkelse — inte bara vad gäller personuppgifter, vilket är GDPR:s domän, utan inom informationssäkerhet som helhet.

Man kan se det så här: GDPR är en specialist med fokus på personuppgifter. NIS2 är ett bredare ramverk som täcker hela informationssäkerhetsområdet, medan GDPR kompletterar det inom sitt specifika område.

Varför talar alla om NIS2 just nu?

Ett ord: räckvidd.

Det ursprungliga NIS1-direktivet täckte i huvudsak den mest samhällskritiska infrastrukturen – elnät, vattenverk, banker. NIS2 har mångdubblat det tillämpningsområdet. Plötsligt omfattas organisationer inom energi, hälso- och sjukvård, transport, livsmedelsproduktion, olika tillverkningssektorer, digitala tjänster och offentlig förvaltning.

Och när dessa organisationer regleras, följer deras leveranskedjor med.

Det är kanske den viktigaste praktiska konsekvensen av NIS2 för många företag: leveranskedjeansvaret. Organisationer som omfattas av direktivet är ansvariga för att deras underleverantörer också uppfyller grundläggande krav på cybersäkerhet. Om du levererar varor eller tjänster till en organisation som lyder under NIS2, kommer din kund att kräva en viss nivå av cybersäkerhet – och bevis på den. Utan sådana bevis kommer kontrakt med stor sannolikhet inte att bli av.

Det innebär att NIS2:s räckvidd sträcker sig långt utöver vad direktivets ordalydelse kanske antyder.

Vem omfattas av NIS2?

Direktivet gäller i första hand medelstora och stora organisationer inom definierade sektorer – de med fler än 50 anställda eller en årsomsättning som överstiger 10 miljoner euro. Mindre organisationer kan också falla inom tillämpningsområdet om de bedöms vara kritiska aktörer. För exakta definitioner är Traficoms Cybersäkerhetscentral den auktoritativa källan.

Väsentliga aktörer:

  • Energi, transport, bank och finansmarknader
  • Hälso- och sjukvård, dricksvatten och avloppsvatten
  • Digital infrastruktur och IKT-tjänster
  • Offentlig förvaltning, rymden

Viktiga aktörer:

  • Post- och budtjänster, avfallshantering
  • Kemikalier, livsmedelsproduktion
  • Tillverkning (elektronik, maskiner, elutrustning)
  • Digitala tjänster och forskning

Och som sagt – om du levererar till någon av dessa organisationer kan kraven även gälla dig indirekt.

Vad kräver NIS2 i praktiken?

Det är förmodligen här en del ledare börjar sucka: ”Ännu ett regelverk att navigera.” Men det finns en god nyhet: NIS2-efterlevnad är verkligen ingen raketforskning, och de centrala kraven kan ofta byggas ovanpå befintliga processer — utan att det nödvändigtvis kräver stora ekonomiska eller tidsmässiga investeringar.

Att bygga upp ett NIS2-anpassat risk- och informationssäkerhetsarbete ger dock ett verkligt värde. Utöver att skydda din egen organisations data och medarbetare skyddar du också dina kunders information och tillgångar – och du kan kommunicera det med tydlighet.

I praktiken kräver direktivet bland annat:

Riskhantering och informationssäkerhetspolicy. Organisationer behöver en dokumenterad förståelse för sina risker och ett ramverk för att hantera dem.

Ledningens ansvar. Det här är en av NIS2:s mest betydande förändringar jämfört med föregångaren. Ansvaret är inte längre diffust fördelat i organisationen – den högsta ledningen är personligt ansvarig för efterlevnaden, inklusive att godkänna riskhanteringspraxis och övervaka dess genomförande.

Leveranskedjans säkerhet. Utöver den egna verksamheten ansvarar du för att viktiga leverantörer också upprätthåller tillräcklig cybersäkerhet.

Verksamhetskontinuitet. Säkerhetskopior, återställningsplaner och krishantering kan inte bara vara punkter längst ned på en checklista – de måste vara testade rutiner som är inbyggda i det dagliga arbetet.

Incidentrapportering. Betydande säkerhetsincidenter måste rapporteras till tillsynsmyndigheten inom 24 timmar från det att de upptäcks. En uppföljningsrapport ska lämnas inom 72 timmar, och en slutrapport krävs i regel inom en månad.

Utbildning. NIS2 kräver att organisationer upprätthåller tillräcklig cybersäkerhetskompetens och förmåga att hantera risker. I praktiken innebär det rollsanpassad utbildning för medarbetare – och i synnerhet för ledning och styrelse.

”Vi har gott om tid” — har ni verkligen det?

Det synsättet är värt att ifrågasätta. Om du tänker ”vi har fortfarande 16 månader på oss, ingen brådska” – så kommer du att ångra det.

Lagen gäller redan. Skyldigheten att rapportera betydande incidenter trädde i kraft i april 2025. Och även om tillsynsmyndigheten kanske inte knackar på din dörr i morgon, frågar inte cyberattacker om lov i förväg.

Det är också värt att ha det mänskliga perspektivet i åtanke. Efter ett säkerhetsintrång kommer tillsynsmyndigheterna att bedöma om organisationen agerade ansvarsfullt. Om dokumentation saknas, om ledningen aldrig har diskuterat frågan, och om uppenbara sårbarheter medvetet lämnades åtgärdade – ser situationen helt annorlunda ut jämfört med en organisation som kan visa att den gjort verkliga ansträngningar för att rätta till bristerna.

Analogin fungerar i vardagslivet också: det är svårt att förklara ett inbrott när tjuven gick in genom en ytterdörr med ett trasigt lås som du visste om men valde att inte laga.

Vad om NIS2 faktiskt vore din konkurrensfördel?

Vad om NIS2 inte bara är en börda, utan en möjlighet?

Det är värt att se den här lagstiftningen inte enbart som ett efterlevnadskrav, utan som en chans att sticka ut från konkurrenterna – med inställningen ”vi gör det här inte för att vi måste, utan för att det är rätt sak att göra.”

Tänk på det. Ett företag med tydlig säkerhetsstruktur, dokumenterad riskhantering och förmåga att visa på efterlevnad är väl positionerat i:

  • offentliga upphandlingar, där NIS2-krav allt oftare dyker upp i avtalsvillkor
  • förhandlingar med större kunder som granskar sina leveranskedjor
  • rekrytering, där cybersäkerhet är ett snabbväxande kompetensområde

Att uppfylla lagens minimikrav är, om man tänker på det, grundnivån för ansvarsfullt agerande. Ovanpå det kan du bygga lager som skyddar din verksamhet, dina medarbetare och dina kunder – och kommunicera det med självförtroende.

Var börjar man?

Om NIS2 fortfarande känns oklart, eller om du är osäker på om det gäller din organisation, behöver du inte sitta med den osäkerheten ensam. En bra startpunkt består av tre steg:

  1. Fastställ din räckvidd. Omfattas din organisation direkt av direktivet? Vad gäller indirekt via leveranskedjerelationer? Traficoms Cybersäkerhetscentrals webbplats är en bra utgångspunkt, och en Greenstep-expert kan hjälpa dig att snabbt reda ut det.
  2. Gör en nulägesanalys. Hur ser läget ut idag? Vilka är de viktigaste riskerna och bristerna? En nulägesanalys är inget självändamål – den görs för att identifiera vad som konkret behöver hända härnäst.
  3. Bygg ett ramverk som fungerar i praktiken. Dokumentation, riskhanteringsprocesser, incidentrapporteringsrutiner, personalutbildning – tillsammans skapar dessa något som faktiskt fungerar, snarare än att se bra ut på en bokhylla.

Greensteps CIO-team hjälper organisationer att uppnå NIS2-beredskap på ett praktiskt och rätt dimensionerat sätt. Att komma igång är enkelt: boka en kostnadsfri 30-minuters sparringssession där vi går igenom din situation och ger dig konkret vägledning om nästa steg.

Publicerad

Är du osäker på om NIS2 gäller din organisation?

Boka en 30-minuters sparringssession med vår expert och ta reda på det!

Boka en tid
Marcel Stenmark

Marcel Stenmark

Head of Sales, Sweden

+46702579728 marcel.stenmark@greenstep.com

Relaterade inlägg

erp system
CIO, System 5 min lästid

Connected planning: Varför stora organisationer behöver tänka om

Klockan är 22:30 och ekonomiavdelningen sitter fortfarande kvar på kontoret och förbereder inför morgondagens ledningsgruppsmöte. Siffrorna måste uppdateras, igen. Säljavdelningen har reviderat prognosen, operationsavdelningen har justerat kapaciteten och HR har uppdaterat rekryteringsantagandena, men ingen av dessa förändringar stämmer fullt ut med de andra. Tre kalkylblad cirkulerar. Två stämmer inte överens. En länk är bruten. CFO:n […]