Vad är NIS2-direktivet?

NIS2 är EU:s direktiv för nätverks- och informationssäkerhet som ställer striktare krav på organisationer inom 18 utpekade sektorer. I Sverige är det implementerat genom Cybersäkerhetslagen (SFS 2025:1506).

Hur hjälper CyberKlar organisationen med NIS2?

CyberKlar ger ledning och säkerhetsfunktion ett samlat underlag för omfattning, risk, dokumentation, leverantörsbedömning och incidentberedskap, anpassat för svensk tillsyn.

Hur lång tid tar ett införande?

Mognadsnivå varierar, men de flesta organisationer når en dokumenterad baslinje för ledningens uppföljning inom 30 dagar. Därefter löper arbetet i kvartalscykler.

CyberKlar · BedömningsverktygDokument · öppet

NIS2-bedömning

En strukturerad bedömning av er beredskap mot Cybersäkerhetslagens tio kontrollområden. Svara så ärligt ni kan. Detta är ett beslutsunderlag, inte ett test.

Omfattning

10 frågor

Skala

0 – 3 mognadsnivå

Tid

≈ 5 min

Utdata

Compliance-score

Innan ni svarar

Omfattas ni ens
av Cybersäkerhetslagen?

Cybersäkerhetslagen (SFS 2025:1506) är den svenska implementationen av NIS2-direktivet. Den träffar organisationer inom 18 utpekade sektorer som antingen är medelstora (50 – 249 anställda, upp till 50 M € omsättning) eller stora (250+ anställda eller över 50 M € omsättning).

Organisationer under storlekströskeln kan i undantagsfall omfattas om de identifieras av medlemsstaten, till exempel för att de är enda leverantör av en samhällsviktig tjänst. Verksamheter inom domännamnsregistrering, DNS-tjänster och kvalificerade betrodda tjänster omfattas oavsett storlek.

Bedömningen nedan tar ungefär fem minuter. Resultatet ger er en övergripande mognadspoäng för de tio kontrollområdena i Art. 21(2) a – j, och hjälper ledning och säkerhetsansvarig att förstå var luckorna är störst.

Väsentliga entiteter

Proaktiv tillsyn · sanktion upp till € 10 M / 2 % global omsättning

Sektor

aEnergi
bTransport
cBankverksamhet
dFinansmarknadsinfrastruktur
eHälso- och sjukvård
fDricksvatten
gAvloppsvatten
hDigital infrastruktur
iFörvaltning av IKT-tjänster (B2B)
jOffentlig förvaltning
kRymdverksamhet

Viktiga entiteter

Reaktiv tillsyn · sanktion upp till € 7 M / 1,4 % global omsättning

Sektor

lPost- och budtjänster
mAvfallshantering
nKemikalier (tillverkning och distribution)
oLivsmedelsproduktion och -distribution
pTillverkning (medicinteknik, elektronik, fordon m.m.)
qDigitala tjänster (marknadsplatser, sökmotorer, sociala nätverk)
rForskning

Tillsynsmyndighet per sektor

Referens

Samordning: MCF — gemensam kontaktpunkt och CERT-SE
Energi: Energimyndigheten
Digital infrastruktur och post: PTS
Hälso- och sjukvård: IVO
Dricksvatten och livsmedel: Livsmedelsverket
Transport: Transportstyrelsen
Bank och finansmarknadsinfrastruktur: Finansinspektionen
Offentlig förvaltning: Länsstyrelserna

Avsnitt 01 av 10

Status · 0/10 besvarade

Art. 21(2)(a)Risk och säkerhetspolicy

01 / 10

Har ni en dokumenterad informationssäkerhetspolicy som är godkänd av ledningen?

Policyn ska beskriva mål, ansvar och riktlinjer, och vara kopplad till er riskprofil.

Vanliga frågor om NIS2-omfattning

Innan ni bokar
en juridisk genomgång.

Vilka organisationer omfattas av Cybersäkerhetslagen?

Cybersäkerhetslagen (SFS 2025:1506) omfattar organisationer inom 18 utpekade sektorer, från energi och transport till forskning och avfallshantering. Som tumregel gäller att medelstora och stora organisationer (≥50 anställda eller ≥10 M € i omsättning) inom en av sektorerna klassificeras antingen som väsentlig entitet eller viktig entitet.

Vad är skillnaden mellan väsentlig och viktig entitet?

Väsentliga entiteter är organisationer inom de 11 mest kritiska sektorerna (energi, transport, bank, finansmarknadsinfrastruktur, hälsa, vatten, digital infrastruktur, IKT-tjänster, offentlig förvaltning, rymdverksamhet). De omfattas av proaktiv tillsyn och högre sanktioner (upp till 10 M € eller 2 % av global omsättning). Viktiga entiteter (post, avfall, kemi, livsmedel, tillverkning, digitala tjänster, forskning) omfattas av reaktiv tillsyn och lägre sanktioner (upp till 7 M € eller 1,4 %).

Vem är tillsynsmyndighet?

MCF (Myndigheten för civilt försvar) är gemensam kontaktpunkt och driver Sveriges CSIRT-funktion (CERT-SE). Incidentrapporter skickas till CERT-SE. Tillsyn utövas av sektorsspecifika tillsynsmyndigheter: Statens energimyndighet för energi, PTS för digital infrastruktur, post och rymden, IVO för hälso- och sjukvård, Livsmedelsverket för dricksvatten, avloppsvatten och livsmedel, Länsstyrelserna för offentlig förvaltning, forskning och tillverkning.

Hur mycket kan sanktionerna uppgå till?

För väsentliga entiteter kan sanktionsavgiften uppgå till 10 miljoner euro eller 2 % av organisationens globala årsomsättning, beroende på vilket som är högst. För viktiga entiteter är motsvarande maxnivå 7 miljoner euro eller 1,4 %. Utöver ekonomiska sanktioner kan styrelse och verkställande ledning åläggas personligt ansvar enligt 6 kap. Cybersäkerhetslagen.

Vilka tidsfrister gäller för incidentrapportering?

Rapportering sker till CERT-SE (CSIRT-enheten vid MCF). Tidig varning ska lämnas utan onödigt dröjsmål, senast inom 24 timmar. Incidentanmälan ska lämnas senast inom 72 timmar. Slutrapport ska lämnas senast en månad efter incidentanmälan. För leverantörer av kvalificerade betrodda tjänster gäller 24 timmar även för incidentanmälan.

Kan små företag omfattas?

Organisationer under storlekströskeln (50 anställda / 10 M EUR) kan i undantagsfall omfattas om de identifieras av medlemsstaten, till exempel för att de är enda leverantör av en samhällsviktig tjänst. Verksamheter inom kvalificerade betrodda tjänster, domännamnsregistrering eller DNS-tjänster omfattas oavsett storlek. Om ni är osäkra: gör bedömningen nedan.

NIS2-bedömning

Omfattas ni ensav Cybersäkerhetslagen?

Har ni en dokumenterad informationssäkerhetspolicy som är godkänd av ledningen?

Innan ni bokaren juridisk genomgång.

Vilka organisationer omfattas av Cybersäkerhetslagen?

Vad är skillnaden mellan väsentlig och viktig entitet?

Vem är tillsynsmyndighet?

Hur mycket kan sanktionerna uppgå till?

Vilka tidsfrister gäller för incidentrapportering?

Kan små företag omfattas?

NIS2-bedömning

Omfattas ni ensav Cybersäkerhetslagen?

Har ni en dokumenterad informationssäkerhetspolicy som är godkänd av ledningen?

Innan ni bokaren juridisk genomgång.

Vilka organisationer omfattas av Cybersäkerhetslagen?

Vad är skillnaden mellan väsentlig och viktig entitet?

Vem är tillsynsmyndighet?

Hur mycket kan sanktionerna uppgå till?

Vilka tidsfrister gäller för incidentrapportering?

Kan små företag omfattas?

Omfattas ni ens
av Cybersäkerhetslagen?

Innan ni bokar
en juridisk genomgång.

Omfattas ni ens
av Cybersäkerhetslagen?

Innan ni bokar
en juridisk genomgång.