NIS2 / Cybersäkerhetslagen

NIS2 sammanfattning

Snabbfakta

EU-direktiv: EU 2022/2555
Svensk lag: SFS 2025:1506
I kraft: 15 januari 2026
Sektorer: 18 (Bilaga I + II)
Sanktionstak väsentlig: 10 MEUR eller 2 % av omsättning
Incidentrapportering: 24 timmar, 72 timmar, 1 månad

Förklaring

NIS2 ersätter det första NIS-direktivet från 2016 och utvidgar tillämpningsområdet avsevärt. Tidigare gällde NIS-lagen ungefär 350 svenska aktörer. Cybersäkerhetslagen beräknas omfatta runt 3 000 svenska entiteter, varav cirka 1 000 klassas som väsentliga.

Kärnan i lagen är tio minimiåtgärder för riskhantering, krav på incidentrapportering till CERT-SE och dokumenterat ledningsansvar. Tillsynen sker av sektormyndigheter (Energimyndigheten, Finansinspektionen, IVO, PTS, sex länsstyrelser och övriga sektorsmyndigheter), medan MCF samordnar nationellt och driver CERT-SE.

Den viktigaste praktiska skillnaden mot NIS1 är personligt ansvar. Styrelse och verkställande ledning ska godkänna åtgärderna, övervaka genomförandet och själva utbildas i cybersäkerhet. Ansvaret kan inte delegeras nedåt. Vid grov bristande tillsyn kan enskilda ledamöter tillfälligt förbjudas att utöva sina befattningar enligt 5 kap. cybersäkerhetslagen.

Vanlig förväxling

Cybersäkerhetslagen är inte detsamma som NIS2-direktivet

NIS2 är EU-direktivet. Cybersäkerhetslagen (SFS 2025:1506) är den svenska lag som implementerar direktivet. Vid praktisk tillämpning gäller alltid den svenska lagen och de svenska tillsynsmyndigheterna, även om hänvisningar till artiklar i NIS2 är vanliga i fackmaterial.

Vanliga frågor

01

Vad är skillnaden mellan NIS1 och NIS2?

NIS2 utvidgar tillämpningsområdet från cirka 350 till cirka 3 000 svenska entiteter, inför personligt ledningsansvar, höjer sanktionstaken till 10 miljoner euro eller 2 procent av global omsättning för väsentliga entiteter och kräver registrering hos sektormyndighet. Incidentrapporteringen är formaliserad i tre steg.

02

När gäller lagen fullt ut?

Cybersäkerhetslagen trädde i kraft 15 januari 2026 och tillämpas omedelbart på alla väsentliga och viktiga entiteter. Övergångsregler finns för entiteter som var omfattade av tidigare NIS-lag. Förhandstillsyn av väsentliga entiteter byggs upp successivt under 2026 och 2027.

03

Vad är de viktigaste sakerna att göra först?

Omfattningsbedömning enligt sektor och storlek, registrering hos sektormyndighet, etablering av incidentrapporteringsprocess till CERT-SE, gap-analys mot de tio minimiåtgärderna i Art. 21(2) och dokumenterad styrelseutbildning enligt 5 kap. cybersäkerhetslagen.

04

Hur förhåller sig NIS2 till AI-förordningen och GDPR?

NIS2 styr cybersäkerhet och driftsmotståndskraft. AI-förordningen styr användning av AI-system. GDPR styr behandling av personuppgifter. Vid en cyberincident som omfattar personuppgifter rapporteras parallellt till CERT-SE (NIS2) och IMY (GDPR Art. 33), inom olika tidsfrister.

05

Räcker vår nuvarande ISO 27001-certifiering?

Nej, inte utan komplettering. ISO 27001 täcker delar av de tio minimiåtgärderna men inte den svenska incidentrapporteringsprocessen, registreringsplikten eller det personliga ledningsansvaret enligt 5 kap. En gap-analys mot cybersäkerhetslagen är nödvändig.

Få det här hanterat åt er

CyberKlar Always-On bevakar regelverk, uppdaterar kontroller och levererar styrelse-PDF inom 72 timmar efter varje förändring. Sprinten levererar audit-ready-dokumentation på 60 dagar med pengar tillbaka-garanti.

Starta Sprint NIS2 Officer Always-On

Läs vidare