TL;DR
- NIS2 och AI Act har olika fokus men delar flera krav. De ersätter inte varandra.
- Cirka 60 procent av svenska NIS2-entiteter använder AI-system som faller under AI Act Bilaga III. Trippel-compliance med GDPR är vanligt.
- En gemensam styrningsmodell för incidenter, riskhantering och leverantörsbedömning sparar både tid och minskar inkonsekvent dokumentation.
Jämförelsetabell
| Skyldighet | NIS2 / Cybersäkerhetslagen | AI Act | Överlapp |
|---|---|---|---|
| Omfattning | 18 sektorer enligt bilaga I och II | Alla organisationer som använder eller levererar AI-system | Organisationer i NIS2-bilaga I och II är nästan alltid deployers enligt AI Act |
| Huvudsaklig tillsynsfråga | Cybersäkerhetsnivå och incidentberedskap | AI-systemens egenskaper och användning | Båda kräver dokumenterad efterlevnad |
| Primär svensk tillsyn | MCF (gemensam kontaktpunkt) plus sektorsmyndigheter | IMY (primär), sektorsmyndigheter parallellt | Sektorsmyndigheter (Finansinspektionen, Läkemedelsverket, PTS, Transportstyrelsen) är gemensamma |
| Incidentrapportering, tidig varning | 24 timmar till CSIRT | 15 dagar till marknadskontrollmyndighet, 48 timmar vid dödsfall | Parallella rapporter kan behövas vid en och samma händelse |
| Incidentrapportering, detaljerad | 72 timmar incidentnotifikation, slutrapport inom en månad | Fullständig rapport inom 15 dagar | Olika tempo |
| Riskhantering | Art. 21(2) a till j i NIS2, 10 minimiåtgärder | Art. 9 för providers, Art. 26 för deployers | Teknisk och organisatorisk säkerhet delvis samma |
| Leverantörsbedömning | Art. 21(2)(d), aktiv skyldighet | Implicit via Art. 26 | Samma leverantörer kräver bedömning från båda perspektiv |
| Styrelseansvar | 6 kap. Cybersäkerhetslagen, personligt ansvar | Ingen motsvarighet i AI Act | NIS2 går längre i personligt ansvar |
| AI-kompetens | Ej specifikt krav | Art. 4, rollbaserad kompetens sedan 2 feb 2025 | Utbildningsprogram kan kombineras |
| Dokumentation | Sektorsvisa rapporteringsmallar | Bruksanvisning, datakvalitet, oversight-protokoll, loggar | Styrelserapportering sammanfaller |
| Sanktioner, väsentlig entitet | 10 MEUR eller 2 procent | 35 MEUR eller 7 procent (förbjudna), 15 MEUR eller 3 procent (högrisk) | AI Act har högre tak |
| Sanktioner, viktig entitet | 7 MEUR eller 1,4 procent | Samma som ovan | NIS2-sanktioner lägre |
| Tidslinje | Trädde i kraft 1 januari 2026 | Fullt ut för deployers 2 augusti 2026 | Fönster för samordnad efterlevnad är mars till augusti 2026 |
NIS2 och Cybersäkerhetslagen
NIS2 (EU 2022/2555) är ett direktiv, inte en förordning. Varje medlemsstat implementerar det i egen lag. I Sverige är implementationen Cybersäkerhetslagen (SFS 2025:1506), som trädde i kraft 1 januari 2026.
Fokus är cybersäkerhet och incidentberedskap i 18 kritiska sektorer. Skyldigheter omfattar riskhantering, incidentrapportering, leverantörskedjesäkerhet, BCP, och utbildning. Tillsynen är sektorsvis: Statens energimyndighet för energi, Finansinspektionen för bank, PTS för digital infrastruktur, IVO för vård, Livsmedelsverket för vatten och livsmedel. MCF är gemensam kontaktpunkt och driver CERT-SE.
Ledningens personliga ansvar enligt 6 kap. är en av de mest distinkta aspekterna av Cybersäkerhetslagen. Styrelsen kan åläggas personligt ansvar, inte bara organisationen.
AI Act
AI-förordningen (EU 2024/1689) är direktverkande och kräver ingen separat svensk lag. Förordningen trädde i kraft 2 augusti 2024, deployer-skyldigheter för högrisksystem gäller från 2 augusti 2026.
Fokus är AI-systemens egenskaper: säkerhet, transparens, datakvalitet, human oversight. Fyra risknivåer, åtta högriskområden enligt Bilaga III. IMY är primär svensk marknadskontrollmyndighet för grundläggande rättigheter. Sektorsmyndigheter har parallell tillsyn för sina respektive områden.
AI Act är tekniskt sett ett regelverk om produkt- och tjänstekvalitet, inte primärt om cybersäkerhet. Men Art. 15 kräver adekvat cybersäkerhet i högrisksystem, vilket gör att NIS2-åtgärder ofta uppfyller kraven om de är dokumenterade.
Där regelverken är verkligt olika
Tre punkter där skillnaderna är substantiella:
Styrelsens personliga ansvar. NIS2 lägger ansvaret på styrelsen personligen genom 6 kap. Cybersäkerhetslagen. AI Act har inget motsvarande. Styrelsen kan alltså inte outsourca NIS2-ansvar till CISO på samma sätt som AI Act-ansvar delegeras till en utsedd systemägare.
Omfattning. NIS2 omfattar 18 sektorer och en entitetsstorleksbaserad tröskel. AI Act omfattar alla organisationer som använder eller levererar AI, oavsett sektor och storlek. En liten marknadsbyrå i Göteborg är troligen utanför NIS2 men inom AI Act.
Tidslinje. NIS2 via Cybersäkerhetslagen gäller sedan 1 januari 2026. AI Act-deployer-skyldigheter gäller från 2 augusti 2026. Det finns ett sju månaders fönster där NIS2-tillsyn kan aktiveras medan AI Act-deadline fortfarande närmar sig.
Där regelverken överlappar i praktiken
Incidentrapportering. Båda regelverken kräver incidentrapportering men med olika tidsfönster och olika mottagare. Ett enda allvarligt cyberangrepp som sätter en AI-komponent ur spel kan behöva rapporteras både till CSIRT (NIS2) och till IMY (AI Act). Plattformar som hanterar båda parallellt minskar risken för missade rapporter.
Leverantörsbedömning. NIS2 kräver explicit leverantörsbedömning enligt Art. 21(2)(d). AI Act kräver att deployern säkerställer att providern följer sina skyldigheter. I praktiken bedöms samma leverantörer från båda perspektiv.
Riskhantering. NIS2 Art. 21(2)(a) och AI Act Art. 15 överlappar när det gäller teknisk och organisatorisk cybersäkerhet. Ett ISMS som dokumenterar tekniska kontroller kan uppfylla båda kraven om det är tydligt vad som gäller för AI-system specifikt.
Utbildning. NIS2 kräver säkerhetsutbildning för personal och ledning. AI Act kräver AI-kompetens per Art. 4. Båda utbildningsprogrammen kan samköras, men kompetensmatriserna är separata eftersom de täcker olika ämnen.
Leverantörsavtal. Nya SaaS-avtal under 2026 ska spegla båda regelverken. DPA enligt GDPR, NIS2-bilaga med incidentnotifikation och AI Act-tillägg för Art. 13-dokumentation är vanlig praxis.
Typiska svenska entiteter per stack
| Sektor | NIS2 | AI Act | GDPR | Trippel? |
|---|---|---|---|---|
| Regional bank | Ja (bilaga I) | Ja (Bilaga III.5b kreditbedömning) | Ja | Ja |
| Regionalt sjukhus | Ja (bilaga I) | Ja (Bilaga III.5a, 5c) | Ja (särskilda kategorier) | Ja |
| Kommunal förvaltning | Ja (bilaga I) | Ja (Bilaga III.5a, 5c, 6, 7, 8) | Ja | Ja |
| Medelstor tillverkare | Ibland (bilaga II) | Ja (Bilaga III.2 om medtech eller fordon) | Begränsad | Ofta ja |
| SaaS-bolag | Ibland (bilaga II) | Ja (beror på användning) | Ja | Ofta ja |
| Marknadsbyrå | Nej | Ja (Art. 4, Art. 50) | Ja | Nej |
Så hanterar CyberKlar båda
Plattformen hanterar NIS2 och AI Act i en gemensam styrningsmodell. Leverantörsbedömningar görs en gång men evalueras mot både NIS2-kriterier (driftsäkerhet, incidenthistorik) och AI Act-kriterier (Art. 13-dokumentation, datakvalitet, transparens). Incidenthantering triggar parallellt rapporterings-workflow till CSIRT (NIS2) och IMY (AI Act) om händelsen kvalificerar under båda. Styrelserapporten kombinerar compliance-status för båda regelverken plus GDPR utan dubbelarbete.
Effekten är mätbar: kunder som tidigare dokumenterat NIS2 i ett verktyg och AI Act i ett annat rapporterar 30 till 50 procent mindre administrativ tid efter konsolidering till en plattform.