NIS2 har fått mycket uppmärksamhet — men också mycket förvirring. Många SME-bolag vet att direktivet existerar men är osäkra på om det faktiskt gäller dem, och vad de i så fall förväntas göra. Den här artikeln svarar på de två frågorna.
Vad är NIS2?
NIS2 (Network and Information Security Directive 2) är ett EU-direktiv om cybersäkerhet som ersatte det ursprungliga NIS-direktivet. I Sverige implementerades det i lag under 2024–2025. Syftet är att höja cybersäkerhetsnivån hos samhällsviktiga och digitala verksamheter inom EU.
Berörs ert bolag?
NIS2 gäller i första hand organisationer inom utpekade sektorer. Regelverket delar in dem i “väsentliga” och “viktiga” verksamheter beroende på sektor och storlek.
Sektorer som omfattas inkluderar: energi, transport, bankväsende, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning och rymdsektorn — samt ett antal digitala tjänster som sökmotorer, molntjänster och datacenter.
Som tumregel gäller: om ert bolag har fler än 50 anställda och mer än 10 miljoner euro i omsättning, och är verksamt i en utpekad sektor, bör ni ta reda på om ni omfattas. Bolag under dessa gränsvärden kan ändå träffas om de spelar en kritisk roll i en leveranskedja.
Om ni inte direkt omfattas — men ändå berörs
Det vanligaste scenariot för SME-bolag är indirekt påverkan. Era kunder — som kan vara myndigheter, energibolag, sjukhus eller telekombolag — omfattas av NIS2 och ställer i sin tur krav på sina leverantörer. Det innebär att ni kan få frågor om er cybersäkerhetsmognad, era incidentrutiner och er riskhantering utan att ni själva är utpekade av lagen.
Det är den typen av kundkrav som driver upp compliance-behovet i leverantörsleden.
Vad kräver NIS2 om ni omfattas?
För de som direkt träffas av lagen ställs krav inom fyra huvudområden:
Riskhantering och säkerhetsåtgärder — ni måste ha systematiska processer för att identifiera, bedöma och hantera cybersäkerhetsrisker. Det inkluderar tekniska åtgärder (brandväggar, åtkomstkontroll, kryptering) och organisatoriska (policyer, utbildning, ansvarsfördelning).
Incidentrapportering — allvarliga incidenter ska rapporteras till behörig myndighet. Tidsgränsen är tight: en första anmälan ska göras inom 24 timmar från att ni fått kännedom om incidenten, och en fullständig rapport inom 72 timmar.
Styrning och ansvar — ledningen är personligt ansvarig för att NIS2-kraven efterlevs. Det är en medveten skärpning jämfört med det ursprungliga NIS-direktivet.
Leverantörskedjans säkerhet — ni ska bedöma och hantera risker kopplade till era leverantörer och underleverantörer.
Vad bör ni göra nu?
Steg ett är att fastställa om ni direkt omfattas — gärna med hjälp av er jurist eller er branschorganisation. Steg två är att oavsett svar se över era grundläggande säkerhetsrutiner: incidenthanteringsprocess, lösenordspolicy, åtkomstkontroll och loggning. Det är åtgärder som är rimliga oavsett regelverk och som stärker er position gentemot kunder som ställer frågor.
NIS2 är i grunden en marknadsförväntning som har blivit lag. Bolag som tar säkerhetsarbetet på allvar har ett försprång — inte bara regulatoriskt, utan kommersiellt.