TL;DR

  • NIS2 och AI-förordningen har olika fokus men delar flera krav. De ersätter inte varandra.
  • Cirka 60 procent av svenska NIS2-entiteter använder AI-system som faller under Bilaga III i AI-förordningen. Trippel-compliance med GDPR är vanligt.
  • En gemensam styrningsmodell för incidenter, riskhantering och leverantörsbedömning sparar både tid och minskar inkonsekvent dokumentation.

Jämförelsetabell

SkyldighetNIS2 / CybersäkerhetslagenAI-förordningenÖverlapp
Omfattning18 sektorer enligt bilaga I och IIAlla organisationer som använder eller levererar AI-systemOrganisationer i NIS2-bilaga I och II är nästan alltid deployers enligt AI-förordningen
Huvudsaklig tillsynsfrågaCybersäkerhetsnivå och incidentberedskapAI-systemens egenskaper och användningBåda kräver dokumenterad efterlevnad
Primär svensk tillsynSektorsmyndigheter (PTS, Finansinspektionen, IVO, sex länsstyrelser m.fl.); incidentrapporter lämnas till NCSC via cyberportalenMarknadskontrollmyndighet (PTS föreslagen enligt SOU 2025:101), sektorsmyndigheter parallelltSektorsmyndigheter (Finansinspektionen, Läkemedelsverket, PTS, Transportstyrelsen) är gemensamma
Incidentrapportering, tidig varningUpplysning inom 24 timmar till NCSC via cyberportalenArt. 73: omedelbart, senast 15 dagar; 2 dagar vid utbredd överträdelse eller allvarlig störning av kritisk infrastruktur; 10 dagar vid dödsfall. Till marknadskontrollmyndighetenParallella rapporter kan behövas vid en och samma händelse
Incidentrapportering, detaljerad72 timmar incidentanmälan, slutrapport inom en månadFullständig rapport inom 15 dagarOlika tempo
RiskhanteringArt. 21(2) a till j i NIS2, 10 minimiåtgärderArt. 9 för providers, Art. 26 för deployersTeknisk och organisatorisk säkerhet delvis samma
LeverantörsbedömningArt. 21(2)(d), aktiv skyldighetImplicit via Art. 26Samma leverantörer kräver bedömning från båda perspektiv
StyrelseansvarUtbildningskrav (CSL 2 kap. 4 §) plus förbud att inneha ledningsfunktion (4 kap. 6 §)Ingen motsvarighet i AI-förordningenNIS2 går längre i personligt ansvar
AI-kompetensEj specifikt kravArt. 4, rollbaserad kompetens sedan 2 feb 2025Utbildningsprogram kan kombineras
DokumentationSektorsvisa rapporteringsmallarBruksanvisning, datakvalitet, oversight-protokoll, loggarStyrelserapportering sammanfaller
Sanktioner, väsentlig entitet10 MEUR eller 2 procent35 MEUR eller 7 procent (förbjudna), 15 MEUR eller 3 procent (högrisk)AI-förordningen har högre tak
Sanktioner, viktig entitet7 MEUR eller 1,4 procentSamma som ovanNIS2-sanktioner lägre
TidslinjeTrädde i kraft 15 januari 2026Sanktioner för förbjudna metoder och GPAI gäller sedan 2 augusti 2025; Art. 50 transparens från 2 augusti 2026; högriskkraven inklusive Art. 26 från 2 december 2027 (Digital Omnibus, slutgodkänd 29 juni 2026)NIS2 har aktiv tillsyn nu; AI-kraven aktiveras stegvis till 2027

NIS2 och Cybersäkerhetslagen

NIS2 (EU 2022/2555) är ett direktiv, inte en förordning. Varje medlemsstat implementerar det i egen lag. I Sverige är implementationen Cybersäkerhetslagen (SFS 2025:1506), som trädde i kraft 15 januari 2026.

Fokus är cybersäkerhet och incidentberedskap i 18 kritiska sektorer. Skyldigheter omfattar riskhantering, incidentrapportering, leverantörskedjesäkerhet, BCP, och utbildning. Tillsynen är sektorsvis: Statens energimyndighet för energi, Finansinspektionen för bank, PTS för digital infrastruktur, IVO för vård, Livsmedelsverket för vatten och livsmedel. Incidentrapporter lämnas sedan 1 juli 2026 till NCSC (Nationellt cybersäkerhetscenter, en del av FRA) via cyberportalen enligt MCFFS 2026:8; CERT-SE ger operativt stöd vid pågående incidenter.

Ledningens personliga koppling är en distinkt aspekt: 2 kap. 4 § kräver att personer i ledningen genomgår utbildning om säkerhetsåtgärder, och 4 kap. 6 § tillåter förbud att inneha ledningsfunktion vid grov oaktsamhet eller uppsåt. Styrelsen kan därmed bli personligt drabbad utöver verksamhetens sanktionsavgift.

AI-förordningen

AI-förordningen (EU 2024/1689) är direktverkande och kräver ingen separat svensk lag. Förordningen trädde i kraft 2 augusti 2024 och tillämpas stegvis: förbuden och kravet på AI-kunskap gäller sedan 2 februari 2025, sanktionskapitlet (utom Art. 101) sedan 2 augusti 2025, transparenskraven i Art. 50 från 2 augusti 2026, och högriskkraven inklusive Art. 26 för fristående högrisksystem från 2 december 2027 sedan Digital Omnibus, som rådet slutgodkände 29 juni 2026, flyttade datumet från 2 augusti 2026.

Fokus är AI-systemens egenskaper: säkerhet, transparens, datakvalitet, human oversight. Fyra risknivåer, åtta högriskområden enligt Bilaga III. Sveriges marknadskontrollmyndighet är inte slutligt beslutad. SOU 2025:101 föreslår PTS som primär marknadskontrollmyndighet. IMY har varit uppe i debatten. Sektorsmyndigheter väntas få parallell tillsyn för sina respektive områden.

AI-förordningen är tekniskt sett ett regelverk om produkt- och tjänstekvalitet, inte primärt om cybersäkerhet. Men Art. 15 kräver adekvat cybersäkerhet i högrisksystem, vilket gör att NIS2-åtgärder ofta uppfyller kraven om de är dokumenterade.

Där regelverken är verkligt olika

Tre punkter där skillnaderna är substantiella:

Styrelsens personliga koppling. Cybersäkerhetslagen kombinerar utbildningskrav (2 kap. 4 §) med förbud att inneha ledningsfunktion (4 kap. 6 §). AI-förordningen har ingen motsvarande personlig konsekvens.

Omfattning. NIS2 omfattar 18 sektorer och en entitetsstorleksbaserad tröskel. AI-förordningen omfattar alla organisationer som använder eller levererar AI, oavsett sektor och storlek. En liten marknadsbyrå i Göteborg är troligen utanför NIS2 men inom AI-förordningen.

Tidslinje. NIS2 via Cybersäkerhetslagen gäller sedan 15 januari 2026. AI-förordningen tillämpas stegvis: sanktioner för förbjudna metoder och GPAI gäller sedan 2 augusti 2025, transparenskraven i Art. 50 aktiveras 2 augusti 2026 och högriskkraven inklusive Art. 26 aktiveras 2 december 2027 efter Digital Omnibus. Delar av sanktionsregimen är alltså redan aktiv, och resten aktiveras stegvis fram till 2027.

Där regelverken överlappar i praktiken

Incidentrapportering. Båda regelverken kräver incidentrapportering men med olika tidsfönster och olika mottagare. Ett enda allvarligt cyberangrepp som sätter en AI-komponent ur spel kan behöva rapporteras både till NCSC via cyberportalen (NIS2) och till marknadskontrollmyndigheten för AI-förordningen (PTS föreslagen enligt SOU 2025:101). Plattformar som hanterar båda parallellt minskar risken för missade rapporter.

Leverantörsbedömning. NIS2 kräver explicit leverantörsbedömning enligt Art. 21(2)(d). AI-förordningen kräver att deployern säkerställer att providern följer sina skyldigheter. I praktiken bedöms samma leverantörer från båda perspektiv.

Riskhantering. NIS2 Art. 21(2)(a) och AI-förordningen Art. 26 deployer-skyldigheter (samt Art. 15 för providers) överlappar när det gäller teknisk och organisatorisk cybersäkerhet. Ett ISMS som dokumenterar tekniska kontroller kan uppfylla båda kraven om det är tydligt vad som gäller för AI-system specifikt.

Utbildning. NIS2 kräver säkerhetsutbildning för personal och ledning. AI-förordningen kräver AI-kompetens per Art. 4. Båda utbildningsprogrammen kan samköras, men kompetensmatriserna är separata eftersom de täcker olika ämnen.

Leverantörsavtal. Nya SaaS-avtal under 2026 ska spegla båda regelverken. DPA enligt GDPR, NIS2-bilaga med incidentnotifikation och tillägg för Art. 13-dokumentation enligt AI-förordningen är vanlig praxis.

Typiska svenska entiteter per stack

SektorNIS2AI-förordningenGDPRTrippel?
Regional bankJa (bilaga I)Ja (Bilaga III.5b kreditbedömning)JaJa
Regionalt sjukhusJa (bilaga I)Ja (Bilaga III.5a, 5c)Ja (särskilda kategorier)Ja
Kommunal förvaltningJa (bilaga I)Ja (Bilaga III.5a, 5c, 6, 7, 8)JaJa
Medelstor tillverkareIbland (bilaga II)Ja (Bilaga III.2 om medtech eller fordon)BegränsadOfta ja
SaaS-bolagIbland (bilaga II)Ja (beror på användning)JaOfta ja
MarknadsbyråNejJa (Art. 4, Art. 50)JaNej

Så hanterar CyberKlar båda

Plattformen hanterar NIS2 och AI-förordningen i en gemensam styrningsmodell. Leverantörsbedömningar görs en gång men evalueras mot både NIS2-kriterier (driftsäkerhet, incidenthistorik) och kriterier enligt AI-förordningen (Art. 13-dokumentation, datakvalitet, transparens). Incidenthantering triggar parallellt rapporteringsflöde mot NCSC:s cyberportal (NIS2) och marknadskontrollmyndigheten (AI-förordningen) om händelsen kvalificerar under båda. Styrelserapporten kombinerar compliance-status för båda regelverken plus GDPR utan dubbelarbete.

Praktiskt innebär det att en händelse registreras en gång i samma incidentflöde, varpå plattformen genererar separata rapportunderlag per regelverk i stället för att samma incident dokumenteras manuellt i två verktyg.