NIS2 / Cybersäkerhetslagen

NIS2 krav: de tio minimiåtgärderna

Snabbfakta

Lagrum (EU): NIS2 Art. 21(2) a till j
Lagrum (Sverige): Cybersäkerhetslagen 4 kap.
Antal minimiåtgärder: 10 st
Tidsfrist: I kraft sedan 15 januari 2026
Bevisbörda: Dokumentation hos entiteten

Förklaring

Kraven är tekniska, driftsmässiga och organisatoriska. De ska vara lämpliga och proportionella i förhållande till verksamhetens riskbild, storlek och beroendegrad. För väsentliga entiteter granskas efterlevnaden proaktivt av sektormyndighet. Viktiga entiteter granskas reaktivt efter incident eller anmälan.

Kraven är samma för båda klasserna. Skillnaden ligger i tillsynsregim och sanktionsnivå, inte i vilka tekniska åtgärder som ska finnas. ISO 27001 täcker delar av kraven men inte alla. Specifikt fattas tydlig koppling till svensk incidentrapportering till CERT-SE, personligt ledningsansvar enligt 5 kap. och registreringsplikt mot sektormyndighet.

Dokumentationsplikten är central. Tillsynsmyndigheten kan begära ut underlag som visar att respektive åtgärd är beslutad, implementerad, testad och uppföljd. Saknas underlag räknas åtgärden inte som vidtagen, oavsett om den faktiskt fungerar i driften.

Vanlig förväxling

ISO 27001 räcker inte automatiskt

ISO 27001 är en bra startpunkt och täcker stora delar av kraven, men NIS2 ställer specifika krav på incidentrapportering till CERT-SE, personligt ledningsansvar, registrering hos sektormyndighet och svensk leverantörskedjebedömning. Dessa täcks inte fullt ut av en ISO-certifiering. En särskild gap-analys mot cybersäkerhetslagen krävs.

Vanliga frågor

01

Vad är de tio minimiåtgärderna?

Riskanalys och informationssäkerhetspolicyer, incidenthantering, driftskontinuitet och krishantering, leverantörskedjesäkerhet enligt Art. 21(2)(d), säker utvecklingslivscykel, utvärdering av åtgärdernas effektivitet, cyberhygien och grundutbildning, kryptografi och nyckelhantering, personalresurser och åtkomstkontroll, samt flerfaktorsautentisering och säkrad kommunikation.

02

Måste alla tio åtgärder vara på plats samtidigt?

Ja, kraven gäller från ikraftträdandet. Däremot bedöms proportionaliteten utifrån verksamhetens storlek och riskbild. Ett medelstort tillverkningsföretag förväntas inte ha samma mognadsnivå som en stor banks SOC-funktion. Bevisbördan ligger på entiteten att visa att rätt åtgärder är vidtagna och dokumenterade.

03

Vilken roll har styrelsen i de tio åtgärderna?

Styrelsen ska godkänna riskhanteringsåtgärderna, övervaka att de implementeras och själva genomgå utbildning i cybersäkerhet enligt 5 kap. cybersäkerhetslagen. Ansvaret kan inte delegeras nedåt. Vid grov bristande tillsyn kan enskilda ledamöter tillfälligt förbjudas att utöva sina befattningar.

04

Hur visar vi att en åtgärd är vidtagen?

Genom dokumenterat beslut, implementerad process, genomförd test och uppföljning som loggas. Tillsynsmyndigheten begär normalt policydokument, riskregister, incidentlog, leverantörsregister, utbildningsregister och styrelseprotokoll. Saknas något räknas åtgärden som ofullständig.

05

Vad händer om en åtgärd saknas vid tillsyn?

Sektormyndigheten kan utfärda föreläggande med tidsfrist, besluta om sanktionsavgift upp till 10 miljoner euro eller 2 procent av global omsättning för väsentlig entitet, offentliggöra beslutet och i grova fall förbjuda ledningspersoner att utöva sina befattningar.

Få det här hanterat åt er

CyberKlar Always-On bevakar regelverk, uppdaterar kontroller och levererar styrelse-PDF inom 72 timmar efter varje förändring. Sprinten levererar audit-ready-dokumentation på 60 dagar med pengar tillbaka-garanti.

Starta Sprint NIS2 Officer Always-On

Läs vidare