EU:s nya NIS2-direktiv implementeras i svensk rätt tidigast i slutet av 2025 och kommer att ställa betydligt högre krav på cybersäkerhet i både offentliga och privata verksamheter. Direktivet omfattar fler företag än tidigare och innebär bland annat tvingande krav på incidentrapportering, riskhantering och ledningsansvar. Här är vad svenska företag behöver känna till – och förbereda sig på.
NIS2-direktivet (Network and Information Security Directive 2) är en uppdatering av EU:s första NIS-direktiv från 2016. Det nya regelverket är ett svar på den ökade digitaliseringen och de växande cyberhoten inom EU. Målet är att stärka medlemsländernas motståndskraft genom gemensamma minimikrav på cybersäkerhet för aktörer inom samhällsviktiga och viktiga sektorer.
Vem omfattas?
Till skillnad från det tidigare direktivet har NIS2 en betydligt bredare räckvidd. Det gäller både offentliga och privata aktörer som uppfyller följande kriterier:
- Har minst 50 anställda eller en årlig omsättning över 10 miljoner euro
- Bedriver verksamhet eller är underleverantörer inom sektorer som:
- Energi, transport, vatten och digital infrastruktur
- Hälso- och sjukvård, finans och offentlig förvaltning
- Tillverkning av kritiska produkter, post- och kurirtjänster, avfallshantering och livsmedelsförsörjning
Myndigheten för samhällsskydd och beredskap (MSB) kommer att vara tillsynsmyndighet i Sverige och publicera förteckningar över vilka verksamheter som omfattas.
Vad innebär reglerna?
- Skärpta säkerhetsåtgärder
Företag måste vidta tekniska och organisatoriska åtgärder för att skydda sina nätverks- och informationssystem. Detta inkluderar bland annat riskbedömningar, säkerhetspolicyer, incidenthanteringsrutiner och åtgärder för att säkra leverantörskedjan.
- Obligatorisk incidentrapportering
Alla säkerhetsincidenter som kan påverka verksamheten väsentligt ska rapporteras till tillsynsmyndigheten inom 24 timmar. Det kräver tydliga rutiner för upptäckt och uppföljning av incidenter.
- Ökat ledningsansvar
Styrelser och företagsledningar får ett uttryckligt ansvar för att cybersäkerhetsarbetet bedrivs enligt kraven. Detta innebär bland annat krav på kunskapshöjning och aktivt deltagande i styrning av säkerhetsarbetet.
- Sanktioner vid bristande efterlevnad
Företag som inte uppfyller kraven riskerar sanktionsavgifter på upp till 10 miljoner euro eller 2 % av global årsomsättning, beroende på vilket belopp som är högst.
Vad behöver svenska företag göra?
För att förbereda sig inför NIS2 bör företag:
- Kartlägga om och hur de omfattas av direktivet, om ni omfattas av direktivet kan det vara en god idé att anlita cybersäkerhetskonsult
- Genomföra en gap-analys mot NIS2:s krav
- Uppdatera säkerhetspolicyer och rutiner
- Utbilda styrelse och medarbetare i cybersäkerhetsarbete och incidenthantering
- Dokumentera åtgärder och skapa system för efterlevnad
NIS2-direktivet markerar ett tydligt skifte i EU:s syn på cybersäkerhet – från frivilliga riktlinjer till tydliga skyldigheter. För många svenska företag innebär det en ny verklighet, där cybersäkerhet blir en strategisk fråga på högsta nivå. Genom att agera i tid kan organisationer både minska risken för cyberattacker och undvika kostsamma sanktioner.
Sinf är en oberoende arbetsgivarorganisation som organiserar små och medelstora industri- och tjänsteföretag, med eller utan kollektivavtal. Om du inte är medlem och vill ha svar på fler frågor eller titta på juridikbanken – bli medlem!
