NIS2-direktivet

NIS2 (Network and Information Security Directive 2) är EU:s svar på att cyberhoten vuxit och att det gamla NIS-direktivet täckte för få sektorer och tillämpades olika i medlemsländerna. Målet är en hög gemensam cybersäkerhetsnivå i hela unionen.

Eftersom NIS2 är ett direktiv gäller det inte direkt — varje land genomför det i nationell lag. I Sverige sker det genom Cybersäkerhetslagen (2025:1506).

NIS2 pekar ut sektorer i två bilagor: bilaga I (sektorer med hög kritikalitet) — energi, transport, bank, finansmarknadsinfrastruktur, hälsa, dricksvatten, avloppsvatten, digital infrastruktur, IKT-tjänstehantering, offentlig förvaltning och rymd — samt bilaga II (andra kritiska sektorer) — post, avfall, kemikalier, livsmedel, tillverkning, digitala leverantörer och forskning.

I regel omfattas organisationer som är medelstora eller större. De delas in i väsentliga och viktiga entiteter, vilket avgör hur hård tillsynen blir.

• Riskhanteringsåtgärder (artikel 21): riskanalys, incidenthantering, kontinuitet, säkerhet i leveranskedjan, kryptering, åtkomstkontroll, multifaktorautentisering m.m. — ett allriskperspektiv.
• Incidentrapportering (artikel 23): tidig varning inom 24 timmar, anmälan inom 72 timmar och slutrapport inom en månad.
• Ledningens ansvar (artikel 20): styrelse och ledning ska godkänna åtgärderna, utbildas och kan hållas ansvariga.

Direktivet sätter tak för sanktionsavgifter: för väsentliga entiteter minst upp till 10 MEUR eller 2 % av global årsomsättning, för viktiga entiteter upp till 7 MEUR eller 1,4 %. De exakta beloppen i Sverige framgår av Cybersäkerhetslagen.

Vi bygger system som klarar NIS2-kraven: säker arkitektur, loggning och incidenthantering, säkerhet i leveranskedjan och dokumentation som håller vid tillsyn. Se hur vi skyddar företagets data →

Den här sidan är informativ och faktagranskad mot primärkällan, men utgör inte juridisk rådgivning. För bindande bedömning av just er verksamhet — prata med oss eller ert juridiska ombud.