TL;DR
- NIS2 och AI-förordningen har olika fokus men delar flera krav. De ersätter inte varandra.
- Cirka 60 procent av svenska NIS2-entiteter använder AI-system som faller under Bilaga III i AI-förordningen. Trippel-compliance med GDPR är vanligt.
- En gemensam styrningsmodell för incidenter, riskhantering och leverantörsbedömning sparar både tid och minskar inkonsekvent dokumentation.
Jämförelsetabell
| Skyldighet | NIS2 / Cybersäkerhetslagen | AI-förordningen | Överlapp |
|---|---|---|---|
| Omfattning | 18 sektorer enligt bilaga I och II | Alla organisationer som använder eller levererar AI-system | Organisationer i NIS2-bilaga I och II är nästan alltid deployers enligt AI-förordningen |
| Huvudsaklig tillsynsfråga | Cybersäkerhetsnivå och incidentberedskap | AI-systemens egenskaper och användning | Båda kräver dokumenterad efterlevnad |
| Primär svensk tillsyn | Sektorsmyndigheter (PTS, Finansinspektionen, IVO, sex länsstyrelser m.fl.); incidentrapporter lämnas till NCSC via cyberportalen | Marknadskontrollmyndighet (PTS föreslagen enligt SOU 2025:101), sektorsmyndigheter parallellt | Sektorsmyndigheter (Finansinspektionen, Läkemedelsverket, PTS, Transportstyrelsen) är gemensamma |
| Incidentrapportering, tidig varning | Upplysning inom 24 timmar till NCSC via cyberportalen | Art. 73: omedelbart, senast 15 dagar; 2 dagar vid utbredd överträdelse eller allvarlig störning av kritisk infrastruktur; 10 dagar vid dödsfall. Till marknadskontrollmyndigheten | Parallella rapporter kan behövas vid en och samma händelse |
| Incidentrapportering, detaljerad | 72 timmar incidentanmälan, slutrapport inom en månad | Fullständig rapport inom 15 dagar | Olika tempo |
| Riskhantering | Art. 21(2) a till j i NIS2, 10 minimiåtgärder | Art. 9 för providers, Art. 26 för deployers | Teknisk och organisatorisk säkerhet delvis samma |
| Leverantörsbedömning | Art. 21(2)(d), aktiv skyldighet | Implicit via Art. 26 | Samma leverantörer kräver bedömning från båda perspektiv |
| Styrelseansvar | Utbildningskrav (CSL 2 kap. 4 §) plus förbud att inneha ledningsfunktion (4 kap. 6 §) | Ingen motsvarighet i AI-förordningen | NIS2 går längre i personligt ansvar |
| AI-kompetens | Ej specifikt krav | Art. 4, rollbaserad kompetens sedan 2 feb 2025 | Utbildningsprogram kan kombineras |
| Dokumentation | Sektorsvisa rapporteringsmallar | Bruksanvisning, datakvalitet, oversight-protokoll, loggar | Styrelserapportering sammanfaller |
| Sanktioner, väsentlig entitet | 10 MEUR eller 2 procent | 35 MEUR eller 7 procent (förbjudna), 15 MEUR eller 3 procent (högrisk) | AI-förordningen har högre tak |
| Sanktioner, viktig entitet | 7 MEUR eller 1,4 procent | Samma som ovan | NIS2-sanktioner lägre |
| Tidslinje | Trädde i kraft 15 januari 2026 | Sanktioner för förbjudna metoder och GPAI gäller sedan 2 augusti 2025; Art. 50 transparens från 2 augusti 2026; högriskkraven inklusive Art. 26 från 2 december 2027 (Digital Omnibus, slutgodkänd 29 juni 2026) | NIS2 har aktiv tillsyn nu; AI-kraven aktiveras stegvis till 2027 |
NIS2 och Cybersäkerhetslagen
NIS2 (EU 2022/2555) är ett direktiv, inte en förordning. Varje medlemsstat implementerar det i egen lag. I Sverige är implementationen Cybersäkerhetslagen (SFS 2025:1506), som trädde i kraft 15 januari 2026.
Fokus är cybersäkerhet och incidentberedskap i 18 kritiska sektorer. Skyldigheter omfattar riskhantering, incidentrapportering, leverantörskedjesäkerhet, BCP, och utbildning. Tillsynen är sektorsvis: Statens energimyndighet för energi, Finansinspektionen för bank, PTS för digital infrastruktur, IVO för vård, Livsmedelsverket för vatten och livsmedel. Incidentrapporter lämnas sedan 1 juli 2026 till NCSC (Nationellt cybersäkerhetscenter, en del av FRA) via cyberportalen enligt MCFFS 2026:8; CERT-SE ger operativt stöd vid pågående incidenter.
Ledningens personliga koppling är en distinkt aspekt: 2 kap. 4 § kräver att personer i ledningen genomgår utbildning om säkerhetsåtgärder, och 4 kap. 6 § tillåter förbud att inneha ledningsfunktion vid grov oaktsamhet eller uppsåt. Styrelsen kan därmed bli personligt drabbad utöver verksamhetens sanktionsavgift.
AI-förordningen
AI-förordningen (EU 2024/1689) är direktverkande och kräver ingen separat svensk lag. Förordningen trädde i kraft 2 augusti 2024 och tillämpas stegvis: förbuden och kravet på AI-kunskap gäller sedan 2 februari 2025, sanktionskapitlet (utom Art. 101) sedan 2 augusti 2025, transparenskraven i Art. 50 från 2 augusti 2026, och högriskkraven inklusive Art. 26 för fristående högrisksystem från 2 december 2027 sedan Digital Omnibus, som rådet slutgodkände 29 juni 2026, flyttade datumet från 2 augusti 2026.
Fokus är AI-systemens egenskaper: säkerhet, transparens, datakvalitet, human oversight. Fyra risknivåer, åtta högriskområden enligt Bilaga III. Sveriges marknadskontrollmyndighet är inte slutligt beslutad. SOU 2025:101 föreslår PTS som primär marknadskontrollmyndighet. IMY har varit uppe i debatten. Sektorsmyndigheter väntas få parallell tillsyn för sina respektive områden.
AI-förordningen är tekniskt sett ett regelverk om produkt- och tjänstekvalitet, inte primärt om cybersäkerhet. Men Art. 15 kräver adekvat cybersäkerhet i högrisksystem, vilket gör att NIS2-åtgärder ofta uppfyller kraven om de är dokumenterade.
Där regelverken är verkligt olika
Tre punkter där skillnaderna är substantiella:
Styrelsens personliga koppling. Cybersäkerhetslagen kombinerar utbildningskrav (2 kap. 4 §) med förbud att inneha ledningsfunktion (4 kap. 6 §). AI-förordningen har ingen motsvarande personlig konsekvens.
Omfattning. NIS2 omfattar 18 sektorer och en entitetsstorleksbaserad tröskel. AI-förordningen omfattar alla organisationer som använder eller levererar AI, oavsett sektor och storlek. En liten marknadsbyrå i Göteborg är troligen utanför NIS2 men inom AI-förordningen.
Tidslinje. NIS2 via Cybersäkerhetslagen gäller sedan 15 januari 2026. AI-förordningen tillämpas stegvis: sanktioner för förbjudna metoder och GPAI gäller sedan 2 augusti 2025, transparenskraven i Art. 50 aktiveras 2 augusti 2026 och högriskkraven inklusive Art. 26 aktiveras 2 december 2027 efter Digital Omnibus. Delar av sanktionsregimen är alltså redan aktiv, och resten aktiveras stegvis fram till 2027.
Där regelverken överlappar i praktiken
Incidentrapportering. Båda regelverken kräver incidentrapportering men med olika tidsfönster och olika mottagare. Ett enda allvarligt cyberangrepp som sätter en AI-komponent ur spel kan behöva rapporteras både till NCSC via cyberportalen (NIS2) och till marknadskontrollmyndigheten för AI-förordningen (PTS föreslagen enligt SOU 2025:101). Plattformar som hanterar båda parallellt minskar risken för missade rapporter.
Leverantörsbedömning. NIS2 kräver explicit leverantörsbedömning enligt Art. 21(2)(d). AI-förordningen kräver att deployern säkerställer att providern följer sina skyldigheter. I praktiken bedöms samma leverantörer från båda perspektiv.
Riskhantering. NIS2 Art. 21(2)(a) och AI-förordningen Art. 26 deployer-skyldigheter (samt Art. 15 för providers) överlappar när det gäller teknisk och organisatorisk cybersäkerhet. Ett ISMS som dokumenterar tekniska kontroller kan uppfylla båda kraven om det är tydligt vad som gäller för AI-system specifikt.
Utbildning. NIS2 kräver säkerhetsutbildning för personal och ledning. AI-förordningen kräver AI-kompetens per Art. 4. Båda utbildningsprogrammen kan samköras, men kompetensmatriserna är separata eftersom de täcker olika ämnen.
Leverantörsavtal. Nya SaaS-avtal under 2026 ska spegla båda regelverken. DPA enligt GDPR, NIS2-bilaga med incidentnotifikation och tillägg för Art. 13-dokumentation enligt AI-förordningen är vanlig praxis.
Typiska svenska entiteter per stack
| Sektor | NIS2 | AI-förordningen | GDPR | Trippel? |
|---|---|---|---|---|
| Regional bank | Ja (bilaga I) | Ja (Bilaga III.5b kreditbedömning) | Ja | Ja |
| Regionalt sjukhus | Ja (bilaga I) | Ja (Bilaga III.5a, 5c) | Ja (särskilda kategorier) | Ja |
| Kommunal förvaltning | Ja (bilaga I) | Ja (Bilaga III.5a, 5c, 6, 7, 8) | Ja | Ja |
| Medelstor tillverkare | Ibland (bilaga II) | Ja (Bilaga III.2 om medtech eller fordon) | Begränsad | Ofta ja |
| SaaS-bolag | Ibland (bilaga II) | Ja (beror på användning) | Ja | Ofta ja |
| Marknadsbyrå | Nej | Ja (Art. 4, Art. 50) | Ja | Nej |
Så hanterar CyberKlar båda
Plattformen hanterar NIS2 och AI-förordningen i en gemensam styrningsmodell. Leverantörsbedömningar görs en gång men evalueras mot både NIS2-kriterier (driftsäkerhet, incidenthistorik) och kriterier enligt AI-förordningen (Art. 13-dokumentation, datakvalitet, transparens). Incidenthantering triggar parallellt rapporteringsflöde mot NCSC:s cyberportal (NIS2) och marknadskontrollmyndigheten (AI-förordningen) om händelsen kvalificerar under båda. Styrelserapporten kombinerar compliance-status för båda regelverken plus GDPR utan dubbelarbete.
Praktiskt innebär det att en händelse registreras en gång i samma incidentflöde, varpå plattformen genererar separata rapportunderlag per regelverk i stället för att samma incident dokumenteras manuellt i två verktyg.