Läser in
Läser in
NIS2-direktivet trädde i kraft den 16 januari 2023 på EU-nivå och ersatte det första NIS-direktivet från 2016. Syftet är att höja cybersäkerhetsnivån i hela unionen genom att utvidga sektor- omfattningen, skärpa kraven på riskhantering och tillsyn, och införa personligt ansvar för ledningen.
I Sverige implementeras direktivet genom Cybersäkerhetslagen (SFS 2025:1506) och kompletterande förordning (SFS 2025:1507). Lagen trädde i kraft fullt ut 1 januari 2026. Den är bindande lag med sektorsspecifika tillsynsmyndigheter, rapporteringsplikt till CERT-SE och reella sanktionsavgifter.
Omfattningen avgörs av sektor och storlek. Huvudregeln är minst 50 anställda eller minst 10 MEUR i omsättning. Digital infrastruktur och kvalificerade betrodda tjänster omfattas oavsett storlek.
Energi, transport, bank, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avlopp, digital infrastruktur, IKT- tjänstehantering, offentlig förvaltning och rymden.
Post och bud, avfallshantering, kemikalier, livsmedel, tillverkning (medtech, elektronik, fordon, maskiner), digitala leverantörer (marknadsplatser, sociala plattformar, sökmotorer) och forskning.
Cybersäkerhetslagens kärna ligger i 4 kap., som implementerar NIS2 Art. 21. Organisationer ska vidta lämpliga och proportionella tekniska, driftsmässiga och organisatoriska åtgärder för att hantera risker mot nätverks- och informationssystem.
Sanktionsnivåerna följer NIS2-direktivets maxbelopp. Det högsta beloppet av takvärde eller procentandel gäller per överträdelse.
| Entitet | Maxbelopp | Andel av global omsättning |
|---|---|---|
| Väsentlig entitet | 10 000 000 EUR | 2 % |
| Viktig entitet | 7 000 000 EUR | 1,4 % |
Utöver avgifter har tillsynsmyndigheterna möjlighet att utfärda förelägganden med krav på åtgärder, offentliggöra tillsynsbeslut, tillfälligt förbjuda ledningspersoner att utöva sina befattningar och förbjuda tillhandahållande av tjänst tills bristerna är åtgärdade.
Myndigheten för civilt försvar (MCF) är gemensam kontaktpunkt och driver CERT-SE. Sektorsvis tillsyn utövas av de myndigheter som normalt reglerar respektive sektor.
| Sektor eller funktion | Tillsynsmyndighet |
|---|---|
| Energi | Statens energimyndighet |
| Transport | Transportstyrelsen |
| Bank och finans | Finansinspektionen |
| Hälso- och sjukvård | IVO |
| Dricksvatten och livsmedel | Livsmedelsverket |
| Digital infrastruktur och digitala tjänster | PTS |
| Offentlig förvaltning, avfall, kemikalier, tillverkning | Länsstyrelserna |
| Incidentrapportering (alla sektorer) | CERT-SE vid MCF |
EU 2022/2555 ersätter det första NIS-direktivet. Medlemsstaterna har till 17 oktober 2024 på sig att införa direktivet i nationell rätt.
SFS 2025:1506 och kompletterande förordning SFS 2025:1507 träder i kraft. Registreringsplikt och minimiåtgärder aktiveras samtidigt.
Under 2026 prioriteras registrering, grundläggande riskhantering och incidentrapporteringsförmåga. Skarpare tillsyn av dokumentation och ledningsansvar rullas in stegvis.
Planerade och oannonserade inspektioner blir ordinarie. Sanktionsavgifter och förelägganden utdöms av respektive sektorsmyndighet.