Community: Logga in som kund
Jobba hos oss
Sök
Logo
Menu
Kontakt

NIS2 och cybersäkerhetslagen – det här behöver du veta

För att möta det växande hotet inför EU nu NIS2, den nya cybersäkerhetslagen som ska skydda både verksamheter och medborgare.

Under de senaste åren har cyberattackerna mot både företag och offentlig sektor ökat kraftigt. Ett enda intrång kan slå ut samhällsviktiga funktioner, från sjukhus till elnät. För att möta det växande hotet inför EU nu NIS2, den nya cybersäkerhetslagen som ska skydda både verksamheter och medborgare.

Vad är NIS2?

NIS2 är en uppdaterad version av EU:s tidigare direktiv om nätverks- och informationssäkerhet. Syftet är att stärka skyddet mot cyberhot i samhällsviktiga verksamheter – från energi och vård till banker, kommuner och leverantörer av digitala tjänster. I Sverige kallas den nya lagen cybersäkerhetslagen och börjar gälla den 15 januari 2026.

Till skillnad från tidigare omfattar NIS2 betydligt fler organisationer. Även leverantörer och driftspartners påverkas, eftersom hela kedjan måste hålla en rimlig säkerhetsnivå.

”NIS2 gör cybersäkerhet till ett ledningsansvar, inte bara ett IT-ansvar”

Vem omfattas av NIS2?

Lagen gäller verksamheter inom bland annat:

  • energi, vatten och transport
  • hälso- och sjukvård
  • finans och försäkring
  • forskning och utbildning
  • kommuner, regioner och statliga myndigheter

Dessutom omfattas deras underleverantörer. En kedja är inte starkare än sin svagaste länk – ett intrång hos en part kan påverka alla.

Vilka krav ställer NIS2?

NIS2 handlar om att skapa ett tydligt och systematiskt säkerhetsarbete. Några centrala krav är att organisationen ska:

  • göra risk- och sårbarhetsanalyser
  • ha en plan för kontinuitet och krishantering
  • följa upp och dokumentera sitt säkerhetsarbete
  • ställa krav på leverantörer
  • utse ansvariga på ledningsnivå

Ledningen får ett tydligt ansvar för att lagen följs. Det går alltså inte längre att lägga hela ansvaret på IT-avdelningen.

    Vilket ansvar har ledningen enligt NIS2?

    En nyhet i NIS2 är att ansvaret för efterlevnaden ligger högst upp i organisationen. Styrelse, vd eller förvaltningsledning behöver säkerställa att kraven uppfylls och att säkerhetsarbetet hålls levande. Det här är inte längre en fråga som kan delegeras bort. För många verksamheter kommer cybersäkerhet behöva bli en stående punkt på ledningsmöten – i nivå med ekonomi och kvalitet.

    Syftet är att göra cybersäkerhet till en naturlig del av styrningen, inte ett sidospår som bara berör IT.

      Vilken roll har MSB i NIS2?

        I Sverige får MSB (Myndigheten för samhällsskydd och beredskap) ansvaret för att se till att lagen följs. Myndigheten kan granska verksamheter, begära in dokumentation och kontrollera att säkerhetsnivån är tillräcklig. Dessutom ska organisationer rapportera incidenter till MSB eller till CERT-SE, som är en del av myndigheten.

        Rapporteringen sker i flera steg beroende på allvarlighetsgrad: vissa händelser ska rapporteras inom 24 timmar, andra inom 72 timmar eller senast inom en månad. Tanken är att skapa snabb och samordnad hantering av hot. Och att fler lär av varandras erfarenheter.

        Vilken utbildning krävs enligt NIS2?

        NIS2 ställer krav på att alla anställda ska ha en adekvat utbildning för sin roll. Vad det betyder varierar mellan olika verksamheter, men grundtanken är att kunskap ska uppdateras löpande. Hot och teknik förändras snabbt. Därför måste även medarbetarnas kompetens hänga med.

        Utbildning är inte något du gör en gång om året och bockar av, utan blir en del av vardagen. Alla behöver förstå sin roll i att skydda organisationens information och system.

        ”Alla som levererar till en NIS2-klassad verksamhet måste också kunna visa god säkerhet.”

          Hur kan du förbereda dig för NIS2?

          Vi på IT Software har tagit fram en modell i sex steg för att underlätta arbetet:

          1. Gapanalys och planering – kartlägg nuläget och identifiera brister.
          2. Incidenthantering – skapa tydliga rutiner för hur incidenter upptäcks och rapporteras.
          3. Riskhantering – arbeta proaktivt med att identifiera och dokumentera risker.
          4. Rapportering – bygg rutiner som gör det lätt att rapportera till MSB.
          5. Leverantörer – granska säkerhetsnivån hos alla som har tillgång till dina system.
          6. Test och övning – simulera incidenter och öva på återställning.

          Det är också klokt att luta sig mot etablerade standarder som ISO 27000-serien och ITIL, som ger en struktur för både riskarbete och kontinuitet, utan att du måste certifiera dig.

          Hur långt sträcker sig ansvaret i leverantörskedjan?

          En av de svårare frågorna i NIS2 är var ansvaret tar slut. Organisationer måste granska sina leverantörer, men också avgöra hur många led bakåt de ska gå. Du kan inte kontrollera allt, men du behöver ha koll på vilka som hanterar dina system och data – och hur de skyddar den.

          Till skillnad från GDPR ligger ansvaret ännu tydligare hos mottagaren av tjänsten. Det är du som ska kunna visa att dina leverantörer håller en rimlig nivå av cybersäkerhet.

          Vad händer om du inte följer lagen?

          Precis som med GDPR finns möjlighet till sanktioner. För privata verksamheter kan böterna uppgå till 10 miljoner euro, medan offentliga verksamheter omfattas av sanktioner i svenska kronor.

          Det är kännbara summor, särskilt med tajta budgetar. Men målet är förstås inte att straffa, utan att höja nivån. Direktivet är ett hjälpmedel för att skapa bättre skydd.

          Varför är NIS2 viktig för alla?

          Cybersäkerhet handlar inte bara om teknik. Det handlar om ledning, ansvar och kultur.
          När system ligger nere påverkas inte bara IT – utan hela verksamheten. Att tänka igenom hur du fortsätter leverera tjänsten vid ett avbrott, är en central del av NIS2-arbetet.

          Den nya lagen är därför en chans att bygga ett mer robust och tryggt arbetssätt. Och arbetet behöver börja nu – den 15 januari 2026 är snart här.

          Sammanfattning

          NIS2 är ett regelverk för att bygga ett mer motståndskraftigt och förtroendeingivande arbetssätt.
          Börja redan nu. Ju tidigare du kartlägger din situation, desto enklare blir vägen till efterlevnad 2026.

          Vi på IT Software hjälper organisationer att tolka NIS2 i praktiken. Från första gap-analys till testade rutiner för incidenthantering. Med vår sexstegsmodell får du en tydlig plan för att uppfylla kraven och skapa långsiktig trygghet.

          Klara kraven för efterlevnad med oss

          Marcus Wennaeus

          Kundansvarig IT Software

          Behöver du hjälp?
          Lämna gärna dina uppgifter och vi återkommer till dig så snart som möjligt.
          Kontakta oss

          Liknande artiklar

          Blogg, IT Software

          Så slipper du leta efter dokument när det är bråttom

          Att hitta rätt dokument i tid kan vara skillnaden mellan en bra och en stressig arbetsdag. Här berättar vi varför det ofta går fel – och hur du kan slippa krånglet med hjälp av AI och smartare dokumenthantering.

          Blogg, ESM, IT Software, ITSM

          IT Software ingår strategiskt samarbete med Matrix 42

          Både IT Software och Matrix42 har lagt stort fokus på AI den senaste tiden och delar samma värderingar om digitaliseringens betydelse i samhället. Därför känns samarbetet som ett naturligt steg.

          Blogg, IT Software, ITSM, TOPdesk

          5 frågor att ställa dig när du ska köpa ITSM-lösning

          Upptäck hur du hittar den bästa ITSM-lösningen för din organisation med våra tips och råd. Ställ dig de här 5 frågorna när du gör din urvalslista.

          Sök