TL;DR
- NIS2 och AI Act har olika fokus men delar flera krav. De ersätter inte varandra.
- Cirka 60 procent av svenska NIS2-entiteter använder AI-system som faller under AI Act Bilaga III. Trippel-compliance med GDPR är vanligt.
- En gemensam styrningsmodell för incidenter, riskhantering och leverantörsbedömning sparar både tid och minskar inkonsekvent dokumentation.
Jämförelsetabell
| Skyldighet | NIS2 / Cybersäkerhetslagen | AI Act | Överlapp |
|---|---|---|---|
| Omfattning | 18 sektorer enligt bilaga I och II | Alla organisationer som använder eller levererar AI-system | Organisationer i NIS2-bilaga I och II är nästan alltid deployers enligt AI Act |
| Huvudsaklig tillsynsfråga | Cybersäkerhetsnivå och incidentberedskap | AI-systemens egenskaper och användning | Båda kräver dokumenterad efterlevnad |
| Primär svensk tillsyn | MCF (gemensam kontaktpunkt) plus sektorsmyndigheter | IMY (primär), sektorsmyndigheter parallellt | Sektorsmyndigheter (Finansinspektionen, Läkemedelsverket, PTS, Transportstyrelsen) är gemensamma |
| Incidentrapportering, tidig varning | 24 timmar till CSIRT | 15 dagar till marknadskontrollmyndighet, 48 timmar vid dödsfall | Parallella rapporter kan behövas vid en och samma händelse |
| Incidentrapportering, detaljerad | 72 timmar incidentnotifikation, slutrapport inom en månad | Fullständig rapport inom 15 dagar | Olika tempo |
| Riskhantering | Art. 21(2) a till j i NIS2, 10 minimiåtgärder | Art. 9 för providers, Art. 26 för deployers | Teknisk och organisatorisk säkerhet delvis samma |
| Leverantörsbedömning | Art. 21(2)(d), aktiv skyldighet | Implicit via Art. 26 | Samma leverantörer kräver bedömning från båda perspektiv |
| Styrelseansvar | Utbildningskrav (CSL 2 kap. 4 §) plus förbud att inneha ledningsfunktion (4 kap. 6 §) | Ingen motsvarighet i AI Act | NIS2 går längre i personligt ansvar |
| AI-kompetens | Ej specifikt krav | Art. 4, rollbaserad kompetens sedan 2 feb 2025 | Utbildningsprogram kan kombineras |
| Dokumentation | Sektorsvisa rapporteringsmallar | Bruksanvisning, datakvalitet, oversight-protokoll, loggar | Styrelserapportering sammanfaller |
| Sanktioner, väsentlig entitet | 10 MEUR eller 2 procent | 35 MEUR eller 7 procent (förbjudna), 15 MEUR eller 3 procent (högrisk) | AI Act har högre tak |
| Sanktioner, viktig entitet | 7 MEUR eller 1,4 procent | Samma som ovan | NIS2-sanktioner lägre |
| Tidslinje | Trädde i kraft 15 januari 2026 | Sanktionsregim aktiv 2 augusti 2026 (Art. 113); omnibus-förslag flyttar Art. 26 till 2 dec 2027, ej antaget | Fönster för samordnad efterlevnad är mars till augusti 2026 |
NIS2 och Cybersäkerhetslagen
NIS2 (EU 2022/2555) är ett direktiv, inte en förordning. Varje medlemsstat implementerar det i egen lag. I Sverige är implementationen Cybersäkerhetslagen (SFS 2025:1506), som trädde i kraft 15 januari 2026.
Fokus är cybersäkerhet och incidentberedskap i 18 kritiska sektorer. Skyldigheter omfattar riskhantering, incidentrapportering, leverantörskedjesäkerhet, BCP, och utbildning. Tillsynen är sektorsvis: Statens energimyndighet för energi, Finansinspektionen för bank, PTS för digital infrastruktur, IVO för vård, Livsmedelsverket för vatten och livsmedel. MCF (Myndigheten för civilt försvar) är gemensam kontaktpunkt och driver CERT-SE.
Ledningens personliga koppling är en distinkt aspekt: 2 kap. 4 § kräver att personer i ledningen genomgår utbildning om säkerhetsåtgärder, och 4 kap. 6 § tillåter förbud att inneha ledningsfunktion vid grov oaktsamhet eller uppsåt. Styrelsen kan därmed bli personligt drabbad utöver verksamhetens sanktionsavgift.
AI Act
AI-förordningen (EU 2024/1689) är direktverkande och kräver ingen separat svensk lag. Förordningen trädde i kraft 2 augusti 2024, sanktionsregimen aktiveras 2 augusti 2026 enligt Art. 113.
Fokus är AI-systemens egenskaper: säkerhet, transparens, datakvalitet, human oversight. Fyra risknivåer, åtta högriskområden enligt Bilaga III. Sveriges marknadskontrollmyndighet är inte slutligt beslutad. SOU 2025:101 föreslår PTS som primär marknadskontrollmyndighet. IMY har varit uppe i debatten. Sektorsmyndigheter väntas få parallell tillsyn för sina respektive områden. EU-kommissionens Digital Omnibus föreslår att Art. 26-deadline flyttas från 2 augusti 2026 till 2 december 2027; förslaget är under förhandling och inte antaget per maj 2026.
AI Act är tekniskt sett ett regelverk om produkt- och tjänstekvalitet, inte primärt om cybersäkerhet. Men Art. 15 kräver adekvat cybersäkerhet i högrisksystem, vilket gör att NIS2-åtgärder ofta uppfyller kraven om de är dokumenterade.
Där regelverken är verkligt olika
Tre punkter där skillnaderna är substantiella:
Styrelsens personliga koppling. Cybersäkerhetslagen kombinerar utbildningskrav (2 kap. 4 §) med förbud att inneha ledningsfunktion (4 kap. 6 §). AI Act har ingen motsvarande personlig konsekvens.
Omfattning. NIS2 omfattar 18 sektorer och en entitetsstorleksbaserad tröskel. AI Act omfattar alla organisationer som använder eller levererar AI, oavsett sektor och storlek. En liten marknadsbyrå i Göteborg är troligen utanför NIS2 men inom AI Act.
Tidslinje. NIS2 via Cybersäkerhetslagen gäller sedan 15 januari 2026. AI Act-sanktionsregimen aktiveras 2 augusti 2026 enligt Art. 113. Det finns ett drygt halvår där NIS2-tillsyn kan aktiveras medan AI Act-sanktionsregimen fortfarande ligger framåt.
Där regelverken överlappar i praktiken
Incidentrapportering. Båda regelverken kräver incidentrapportering men med olika tidsfönster och olika mottagare. Ett enda allvarligt cyberangrepp som sätter en AI-komponent ur spel kan behöva rapporteras både till CSIRT (NIS2) och till AI Act-marknadskontrollmyndigheten (PTS föreslagen enligt SOU 2025:101). Plattformar som hanterar båda parallellt minskar risken för missade rapporter.
Leverantörsbedömning. NIS2 kräver explicit leverantörsbedömning enligt Art. 21(2)(d). AI Act kräver att deployern säkerställer att providern följer sina skyldigheter. I praktiken bedöms samma leverantörer från båda perspektiv.
Riskhantering. NIS2 Art. 21(2)(a) och AI-förordningen Art. 26 deployer-skyldigheter (samt Art. 15 för providers) överlappar när det gäller teknisk och organisatorisk cybersäkerhet. Ett ISMS som dokumenterar tekniska kontroller kan uppfylla båda kraven om det är tydligt vad som gäller för AI-system specifikt.
Utbildning. NIS2 kräver säkerhetsutbildning för personal och ledning. AI Act kräver AI-kompetens per Art. 4. Båda utbildningsprogrammen kan samköras, men kompetensmatriserna är separata eftersom de täcker olika ämnen.
Leverantörsavtal. Nya SaaS-avtal under 2026 ska spegla båda regelverken. DPA enligt GDPR, NIS2-bilaga med incidentnotifikation och AI Act-tillägg för Art. 13-dokumentation är vanlig praxis.
Typiska svenska entiteter per stack
| Sektor | NIS2 | AI Act | GDPR | Trippel? |
|---|---|---|---|---|
| Regional bank | Ja (bilaga I) | Ja (Bilaga III.5b kreditbedömning) | Ja | Ja |
| Regionalt sjukhus | Ja (bilaga I) | Ja (Bilaga III.5a, 5c) | Ja (särskilda kategorier) | Ja |
| Kommunal förvaltning | Ja (bilaga I) | Ja (Bilaga III.5a, 5c, 6, 7, 8) | Ja | Ja |
| Medelstor tillverkare | Ibland (bilaga II) | Ja (Bilaga III.2 om medtech eller fordon) | Begränsad | Ofta ja |
| SaaS-bolag | Ibland (bilaga II) | Ja (beror på användning) | Ja | Ofta ja |
| Marknadsbyrå | Nej | Ja (Art. 4, Art. 50) | Ja | Nej |
Så hanterar CyberKlar båda
Plattformen hanterar NIS2 och AI Act i en gemensam styrningsmodell. Leverantörsbedömningar görs en gång men evalueras mot både NIS2-kriterier (driftsäkerhet, incidenthistorik) och AI Act-kriterier (Art. 13-dokumentation, datakvalitet, transparens). Incidenthantering triggar parallellt rapporterings-workflow till CSIRT (NIS2) och IMY (AI Act) om händelsen kvalificerar under båda. Styrelserapporten kombinerar compliance-status för båda regelverken plus GDPR utan dubbelarbete.
Effekten är mätbar: kunder som tidigare dokumenterat NIS2 i ett verktyg och AI Act i ett annat rapporterar 30 till 50 procent mindre administrativ tid efter konsolidering till en plattform.