Close Menu
fredag, juli 4
Regelverk

NIS2 – Cybersäkerhet för kritisk infrastruktur

daniel larssonBy Updated:Inga kommentarer4 Mins Read

Vad är NIS2

Network and Information Security Directive 2 är EU:s reviderade direktiv för cybersäkerhet av nätverks- och informationssystem. NIS2-direktivet, formellt känt som ”Direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå inom EU”, är EU:s uppdaterade cybersäkerhetsregelverk som antogs i december 2022 och trädde i kraft den 16 januari 2023. Direktivet ersätter det tidigare NIS-direktivet från 2016 och syftar till att skapa en enhetlig rättslig ram för cybersäkerhet inom 18 kritiska sektorer i hela EU.

Det övergripande målet med NIS2 är att uppnå en hög gemensam cybersäkerhetsnivå i hela unionen genom att stärka skyddet av samhällsviktiga tjänster som svar på den ökade digitaliseringen och den förvärrade cyberhot-bilden. Direktivet representerar ett betydande steg framåt från sin föregångare genom att utvidga tillämpningsområdet, skärpa kraven och införa starkare sanktioner.

Tillämpningsområde och omfattning:

Utvidgat tillämpningsområde
NIS2 innebär en dramatisk utvidgning jämfört med det tidigare NIS-direktivet. Medan det ursprungliga direktivet omfattade cirka 900 organisationer i Sverige, kommer NIS2 att påverka mellan 6 000-8 000 verksamheter. Direktivet täcker nu 18 sektorer jämfört med de tidigare 7 sektorerna.

  • Organisationer inom 18 kritiska sektorer (energi, transport, bank, hälsovård, etc.)
  • Alla medelstora och stora företag inom berörda sektorer
  • Uppskattat att omfatta över 160 000 företag

Organisationer kategoriseras i två huvudgrupper:

Väsentliga entiteter (högkritiska sektorer):

  • Energi (el, fjärrvärme, olja, gas, väte)
  • Transport (luft, järnväg, vatten, väg)
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvård (inklusive tillverkning av läkemedel)
  • Dricksvatten
  • Avloppsvatten
  • Digital infrastruktur
  • Förvaltning av IKT-tjänster
  • Offentlig förvaltning

Viktiga entiteter (andra kritiska sektorer):

  • Post- och budtjänster
  • Avfallshantering
  • Kemikalier (tillverkning, produktion, distribution)
  • Livsmedel (produktion, bearbetning, distribution)
  • Tillverkning (medicintekniska produkter, elektronik, maskiner)
  • Digitala leverantörer (sökmotorer, marknadsplatser, sociala nätverk)
  • Rymdsektorn
  • Forskning

Storlekskriterier

För att omfattas av NIS2 måste organisationer uppfylla specifika storlekskriterier:

Väsentliga entiteter: Organisationer med minst 250 anställda ELLER årsomsättning över 50 miljoner euro ELLER balansomslutning över 43 miljoner euro.

Viktiga entiteter: Organisationer med 50-249 anställda ELLER årsomsättning 10-50 miljoner euro ELLER balansomslutning 10-43 miljoner euro.

Viktigaste krav:

Centrala krav och säkerhetsåtgärder
Artikel 21 – Minimikrav på säkerhetsåtgärder
Artikel 21 i NIS2-direktivet utgör kärnan i de tekniska och organisatoriska krav som ställs på verksamhetsutövare. Enligt denna artikel ska både väsentliga och viktiga entiteter vidta lämpliga och proportionerliga tekniska, operativa och organisatoriska åtgärder för att:

  • Implementering av cybersäkerhetsriskhantering
  • Incidentrapportering inom 24 timmar
  • Ledningens ansvar för cybersäkerhet
  • Starka säkerhetskrav för hela leverantörskedjan
  • Regelbunden säkerhetstestning

Baseras på en riskbedömning

  • Vara proportionerliga i förhållande till hotbild och verksamhetens kritikalitet
  • Syfta till att förebygga, upptäcka, hantera och återställa efter incidenter

De 10 minimikraven

NIS2 specificerar tio grundläggande säkerhetsområden som organisationer måste addressera:

  1. Riskanalyser och säkerhetspolicys för informationssystem
  2. Incidenthantering inklusive kontinuitetsplanering
  3. Hantering av leverantörer och externa beroenden
  4. Säker leverantörskedja inklusive säkerhetsaspekter
  5. Säkerhetsåtgärder vid förvärv, utveckling och underhåll av system
  6. Hantering och avslöjande av sårbarheter
  7. Säkerhetskopiering och återställning
  8. Kryptografi och cyberhygien
  9. Personalrelaterad säkerhet och åtkomstkontroll
  10. Användarutbildning och cybersäkerhetsmedvetenhet

Riskhantering och systematiskt säkerhetsarbete

Riskbaserat arbetssätt
NIS2 kräver ett systematiskt och riskbaserat informationssäkerhetsarbete som baseras på etablerade standarder som ISO 27001. Organisationer måste:

  • Genomföra regelbundna riskbedömningar
  • Identifiera och analysera hot, sårbarheter och konsekvenser
  • Implementera proportionerliga säkerhetsåtgärder
  • Etablera kontinuerliga förbättringsprocesser

Riskhanteringsprocess
En strukturerad riskhanteringsprocess enligt NIS2 inkluderar:

  • Riskidentifiering: Kartläggning av tillgångar, hot och sårbarheter
  • Riskanalys: Bedömning av sannolikhet och konsekvens
  • Riskbedömning: Värdering av risker mot acceptanskriterier
  • Riskhantering: Implementering av säkerhetsåtgärder
  • Uppföljning: Kontinuerlig övervakning och förbättring

Incidentrapportering och tidsfrister

Rapporteringsskyldigheter
NIS2 introducerar strikta tidsfrister för incidentrapportering som organisationer måste följa:

24 timmar: Tidig varning (”early warning”) efter upptäckt av betydande incident

72 timmar: Detaljerad incidentrapport

En månad: Slutrapport med lärdomar och uppföljning

Betydande incidenter

Organisationer måste rapportera incidenter som:

  • Medför eller kan medföra betydande störningar i verksamheten
  • Påverkar leveransen av samhällsviktiga tjänster
  • Har eller kan ha samhällsekonomiska konsekvenser

Ledningsansvar och företagsstyrning

Utökat ledningsansvar
En av de mest betydande förändringarna i NIS2 är det skärpta ledningsansvaret. Styrelser och företagsledningar måste:

Övervaka och godkänna cybersäkerhetsåtgärder

Säkerställa tillräcklig utbildning inom cybersäkerhet

Ta aktivt ansvar för riskhantering

Kunna hållas personligt ansvariga vid bristande efterlevnad

Krav på kompetens och utbildning

Organisationer måste säkerställa:

  • Regelbunden utbildning av personal i cybersäkerhet
  • Kompetenshöjande insatser för ledning
  • Intern medvetenhet om säkerhetsfrågor
  • Kontinuerlig kompetensutveckling

Påföljder:

NIS2 introducerar kraftigt skärpta sanktioner jämfört med det tidigare direktivet:

Väsentliga entiteter: Böter på upp till 10 miljoner euro eller 2% av global årsomsättning

Viktiga entiteter: Böter på upp till 7 miljoner euro eller 1,4% av global årsomsättning

Personligt ansvar

Ledande befattningshavare kan:

  • Hållas personligt ansvariga för överträdelser
  • Få tillfälligt förbud mot ledningspositioner
  • Drabbas av andra administrativa sanktioner

Tidslinje

I Sverige kommer NIS2 att implementeras genom den nya cybersäkerhetslagen som förväntas träda i kraft den 15 januari 2026. Lagen kommer att ersätta den nuvarande NIS-lagen från 2018.

Tidplan för implementering

  • Juni 2025: Lagrådsremiss presenterad av regeringen
  • Hösten 2025: Proposition till riksdagen
  • Våren 2026: Riksdagsbeslut
  • 15 januari 2026: Cybersäkerhetslagen träder i kraft
  • 30 september 2026: Sista dag för registrering av entiteter
  • 31 december 2026: Väsentliga entiteter måste vara fullt compliant
Share.

Daniel Larsson har jobbat med cybersecurity och datasäkerhet med fokus på Internet sedan 1998. Under åren har han marknadsfört scaleup cyberbolag inom områden som PKI, certifikat, digital signering, mobil säkerhet och kryptering. Han har tung erfarenhet av digital marknadsföring, webbutveckling och e-handel från några av världens största varumärken och jobbar till vardags på Expandtalk.

Related Posts

Leave A Reply

Denna webbplats använder Akismet för att minska skräppost. Lär dig om hur din kommentarsdata bearbetas.