NIS2-direktivet: Vad svenska företag måste veta inför sommaren 2025

Andreas Hallberg

5 min read
NIS2-direktivet: Vad svenska företag måste veta inför sommaren 2025
Photo by Oliver Hale / Unsplash

Sommaren 2025 närmar sig snabbt, och med den kommer nya regler som kan påverka hur ditt företag hanterar hot i den digitala världen. EU:s NIS2-direktiv, som trädde i kraft på EU-nivå i januari 2023, ska vara fullt implementerat i Sverige senast den 1 januari 2025 genom en ny lag – Cybersäkerhetslagen. Men vad innebär det här i praktiken för svenska företag? Och hur kan du förbereda dig utan att det känns som att du drunknar i byråkrati? I den här artikeln bryter vi ner det du behöver veta, steg för steg.

Vad är NIS2-direktivet och varför ska du bry dig?

NIS2 är en uppgradering av det tidigare NIS-direktivet från 2016, som var EU:s första försök att harmonisera cybersäkerhet för kritisk infrastruktur. Men tiderna har förändrats – cyberattacker har blivit vanligare, smartare och mer förödande. Därför skruvar NIS2 upp kraven och utökar vilka som omfattas. I Sverige väntas den nya Cybersäkerhetslagen, som baseras på direktivet, börja gälla från 1 januari 2025, även om vissa detaljer fortfarande finslipas i lagstiftningsprocessen.Syftet är enkelt: att höja ribban för cybersäkerhet i hela EU och skydda samhällsviktiga verksamheter. Men det betyder också att företag som inte tidigare behövt tänka på såna här regler nu kan hamna i skottlinjen – och att böter väntar om du inte följer reglerna. För Sverige är det här extra viktigt med tanke på vår alltmer digitaliserade ekonomi och det spända säkerhetsläget i Europa.

Vem omfattas av NIS2 i Sverige?

Till skillnad från gamla NIS, där medlemsländerna själva fick peka ut vilka verksamheter som var "samhällsviktiga", sätter NIS2 tydligare gränser. I Sverige handlar det om två kategorier: viktiga verksamheter och särskilt viktiga verksamheter. Dessa delas upp i 18 sektorer, mot bara 7 tidigare. Här är några exempel:

  • Energi: El, gas och olja.
  • Transport: Flyg, järnväg, sjöfart och väg.
  • Hälsa: Sjukhus, kliniker och labb.
  • Digital infrastruktur: Molntjänster, datacenter och bredbandsleverantörer.
  • Offentlig sektor: Myndigheter på nationell och regional nivå.
  • Tillverkning: T.ex. medicinteknik och maskiner.

Små och medelstora företag (SME) kan också omfattas om de är över en viss storlek – minst 50 anställda eller en omsättning över 10 miljoner euro – och verkar inom dessa sektorer. Men även om du är ett mindre företag kan du indirekt påverkas om du är leverantör till en större aktör som omfattas. Kort sagt: det är dags att kolla om ditt företag, eller dina kunder, finns på listan.

Vad kräver NIS2 av dig?

NIS2 handlar inte bara om teknik – det är en mix av praktiska åtgärder, rutiner och ansvar. Här är de viktigaste kraven du behöver ha koll på:

1. Riskanalys och förebyggande åtgärder

Du måste regelbundet analysera vilka risker som hotar din verksamhet – allt från ransomware till dataläckor. Utifrån det ska du ta fram tekniska och organisatoriska åtgärder, som starkare lösenord, kryptering eller rutiner för att hantera sårbarheter. Det handlar inte om att bli osårbar (det går inte), utan om att minimera skadan.

2. Incidentrapportering – snabbt och strukturerat

Om något går fel, som ett intrång eller en driftstörning, måste du agera blixtsnabbt:

  • Inom 24 timmar: Skicka en första varning till Myndigheten för samhällsskydd och beredskap (MSB).
  • Inom 72 timmar: Följ upp med en detaljerad rapport.
  • Inom en månad: Ge en slutrapport med vad som hände och vad du gjort åt det.

Du måste också informera dina kunder eller användare inom 72 timmar om incidenten påverkar dem. Det här ställer krav på att du har processer på plats redan nu – vänta inte tills det smäller.

3. Ledningens ansvar

En stor nyhet med NIS2 är att cheferna får ett personligt ansvar. Ledningen måste godkänna säkerhetsstrategin, utbilda sig i cybersäkerhet och se till att reglerna följs. Om det skiter sig kan de själva hållas ansvariga, inklusive böter eller till och med tillfälligt avstängning från ledande roller. Det här är inget skämt – cybersäkerhet har klivit upp till styrelserummet.

4. Leverantörskedjan i fokus

Du behöver granska säkerheten hos dina leverantörer och partners. Om de har svaga punkter kan det drabba dig. Det kan handla om att kräva säkerhetscertifieringar eller skriva in specifika krav i avtalen. Tänk på hela kedjan – från molntjänster till underleverantörer.

5. Grundläggande säkerhetsåtgärder

NIS2 listar tio minimikrav, som att ha en policy för riskhantering, utbilda personal i grundläggande IT-säkerhet och säkra system vid inköp eller utveckling. Det är inte raketforskning, men det kräver struktur.

Vad händer om du inte följer reglerna?

Att strunta i NIS2 är ingen bra idé. Böterna är modell GDPR – upp till 10 miljoner euro eller 2 % av din globala årsomsättning för "särskilt viktiga" verksamheter, och något lägre för "viktiga" (7 miljoner euro eller 1,4 %). Myndigheter som MSB får också större muskler att övervaka och sanktionera. Det är inte bara plånboken som tar stryk – ett dataintrång plus böter kan skada ditt rykte rejält.

Hur förbereder du dig inför sommaren 2025?

Du har knappt fyra månader kvar från idag (8 mars 2025) tills lagen förväntas vara i full kraft. Här är en konkret checklista för att komma igång:

  1. Ta reda på om du omfattas
    Kolla om din sektor eller storlek matchar NIS2:s kriterier. Är du osäker? Kontakta MSB eller en konsult för att göra en analys.
  2. Gör en riskanalys
    Identifiera dina svaga punkter – vilka system är kritiska? Var kan en attack slå hårdast? Dokumentera allt.
  3. Sätt upp rutiner för incidenter
    Skapa en plan för hur du upptäcker, rapporterar och hanterar incidenter. Testa den med ett scenario, som ett fejkat phishing-mejl.
  4. Utbilda ledning och personal
    Boka in en grundkurs i cybersäkerhet för alla – från VD till receptionisten. Det behöver inte vara dyrt, det finns massor av resurser online.
  5. Granska leverantörer
    Skicka ut ett frågeformulär till dina viktigaste partners. Hur skyddar de sig? Har de koll på NIS2?
  6. Uppdatera tekniken
    Se över brandväggar, kryptering och patchhantering. Har du inte råd med stora investeringar? Börja med det viktigaste.
  7. Dokumentera allt
    Myndigheter älskar papper. Ha en pärm (eller digital mapp) med policies, analyser och planer redo.

Varför agera nu?

Sverige har redan fått en tillsägelse från EU-kommissionen för att vi inte hann implementera NIS2 till oktober 2024-deadlinen. Det visar att det här tas på allvar. Dessutom: ju tidigare du börjar, desto mindre stress blir det när sommaren kommer. En typisk resa till full efterlevnad tar runt 12 månader, så om du väntar till juni är du redan sen.

Detroj kan hjälpa till

Vi på Detroj vet att cybersäkerhet kan kännas överväldigande, särskilt med nya lagar i mixen. Men det behöver inte vara så. Vi kan guida dig genom riskanalyser, rutiner och tekniska lösningar – skräddarsytt för ditt företag, oavsett storlek. Vårt mål är inte att lova en skottsäker värld (det finns inte), utan att ge dig verktygen att stå stadigt när hoten knackar på.

NIS2 är ett svar på en värld där cyberhoten växer. Sommaren 2025 kan bli en vändpunkt för ditt företag, antingen som en chans att stärka dina försvar eller som en påminnelse om vad som händer om du står still. Ta ett steg idag, så slipper du springa ikapp imorgon.

Källor

  1. Lindahl Law Firm - Proposal for new Cybersecurity Act – Översikt över NIS2 och den svenska implementeringen.
  2. Setterwalls - A new cyber security law – Detaljer om den föreslagna Cybersäkerhetslagen.
  3. EU - NIS2 Directive Official Text – Direktivets fullständiga text på EU:s webbplats.
  4. MSB - Myndigheten för samhällsskydd och beredskap – Information om NIS och kommande regler i Sverige.
  5. Deloitte Sverige - Key focus areas for NIS2 compliance – Praktiska tips för efterlevnad.

Read more