1. Hem
  2. /
  3. Kunskapsbank
  4. /
  5. Vad är NIS2 och cybersäkerhetslagen?

Vad är NIS2 och cybersäkerhetslagen?

NIS2 är EU:s uppdaterade cybersäkerhetsdirektiv som skärper krav på riskhantering, säkerhetsåtgärder och incidentrapportering. EU:s deadline för nationell lag var 17 okt 2024. I Sverige kommer kraven i NIS2 ingå i Cybersäkerhetslagen. Regler och tillsyn fasas in per sektor under 2025–2026. Kraven gäller även leverantörskedjan.

NIS trädde i kraft för första gången i augusti 2018 med syfte att etablera och upprätthålla en hög säkerhetsnivå bland samhällsviktiga nätverk och aktörer inom EU. Sedan dess har hotbilden förändrats och cybersäkerhetskraven ökat vilket i december 2022 resulterade i NIS2 – ett uppdaterat direktiv med skärpta krav på säkerhetstestning, risk- och incidenthantering samt rapportering.

När NIS-direktivet trädde i kraft 2018, omfattades dels leverantörer av samhällsviktiga tjänster vilket inkluderade aktörer inom energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans av dricksvatten och digital infrastruktur. Men även digitala tjänster vilket omfattade aktörer inom internetbaserade marknadsplatser, internetbaserade sökmotorer och molntjänster.

Hur skiljer sig NIS2 från tidigare regelverk

Sedan dess har digitaliseringstakten ökat vilket skapat fler attackytor och en mer utvecklad hotbild – en utveckling som resulterade i det reviderade direktivet NIS2. Medlemsstaterna fick i uppdrag att införa NIS2 i nationell lag senast 17 oktober 2024. Här i Sverige införs reglerna och tillsynen sektorsvis 2025–2026

Detta innebar ny kategorisering av de sektorer som ingick i direktivet. Istället för indelningen samhällsviktiga och digitala tjänster, delas sektorerna in i väsentliga (essential) och viktiga (important) entiteter. I huvudsak omfattas medlestora och stora företag, men även mindre kan beröras om de är kritiska. Fler sektorer har adderats, vilket göra att NIS2 nu utöver tidigare nämnda områden, även omfattar aktörer inom:

  • Avloppshantering
  • Avfallshantering
  • ·Kemisk industri
  • Fjärrvärme, fjärrkyla och vätgas
  • Livsmedel
  • Offentlig förvaltning
  • Tillverkningsindustrin
  • Postverksamhet
  • Rymdverksamhet

Påverkas ni? Verksamheter ska själva utvärdera om de omfattas av NIS2. Läs mer hos MCF

Vilka krav innebär NIS2?

NIS2 innebär risk- och incidenthantering samt aktivt arbete, både tekniskt och organisatoriskt, för att förebygga cybersäkerhetsincidenter inom verksamheten. Följande krav är bra att ha koll på:

    • Riskanalys. Utred vilka säkerhetshot och risker som är kopplade till er verksamhet och vilka åtgärder som måste vara på plats för att hantera dessa. En väg dit är genom kartläggning av er IT- och ev. OT/ICS-miljö inklusive system, integrationer, data och leverantörskedja. Gör även en gap-analys mot NIS2 och en prioriterad roadmap.
  • Incidenthantering. Upprätta en plan för vilka rutiner som gäller vid en cybersäkerhetsincident, hur era tjänster ska återställas och hur incidenten ska rapporteras. Cybersäkerhetsutbildning krävs inom hela organisation från golv till styrelserum, så alla medarbetare vet hur de ska agera vid tecken på intrång. Komplettera med BCP/DR, regelbundna övningar och tydliga eskaleringsvägar/kontakter.
  • Säkerhetsåtgärder. Se till att ha både tekniska och organisatoriska säkerhetsåtgärder på plats för att skydda er miljö, ert nätverk och era informationssystem. Nordlo kan hjälpa er med bland annat säkerhetstestning, SOC, IAM, MFA, EDR, patchhantering, nätsegmentering mm.
  • Incidentrapportering. Om en allvarlig säkerhetsincident sker ska den rapporteras till behörig sektorsmyndighet. Här finns det några tidsfrister att hålla koll på: early warning inom 24 timmar, detaljrapport inom 72 timmar och slutrapport inom 1 månad. Vilka incidenter som ska rapporteras skiljer sig mellan olika aktörer. Läs mer hos MCF.
  • Leverantörssäkerhet. Få rätt säkerhetslösningar på plats i hela leveranskedjan från verksamheten till leverantörer och tjänsteleverantörer. Inkludera krav i upphandlingar och avtal kopplat text till due diligence, mätetal, revisioner.
  • Samarbete. I NIS2 stärks samarbetet mellan nationella myndigheter för cybersäkerhet och andra tjänsteleverantörer för att utbyta information om hot och sårbarheter. Delta i informationsdelning via CSIRT och branschforum; använd etablerade ramverk, t.ex. ISO 27001, NIST/CIS, för samordning mellan länder.
  • Ledningens ansvar och sanktioner. Ledningen ska godkänna och följa upp riskhanteringen samt avsätta resurser. Brister kan leda till sanktioner och skärpt tillsyn. Ledningen kan hållas personligt ansvarig vid brister.

För att sammanfatta kan man säga att det reviderade direktivet innebär skärpta krav på risk- och incidenthantering, säkerhetstestning, samordning och rapportering. Detta inkluderar minimikrav för säkerhetsåtgärder, ökade och mer specifika rapportskyldigheter samt ökade rättsmedel och sanktioner för att se till att direktivet följs. Dessutom verkar NIS2 för bättre samarbete och informationsdelning mellan myndigheter, medlemsstater och aktörer.  

Vad händer om man inte uppfyller kraven?

Från det att direktivet godkändes i december 2022 har medlemsstaterna inom EU 21 månader på sig, till oktober 2024, att införliva direktivet i nationell lagstiftning. Konsekvenserna ser annorlunda ut i olika länder och man bestraffas i det medlemsland där man har sitt huvudsakliga säte. Om man efter lagstadgande inte efterlever kraven i Sverige kan man få sanktioner upp till 10 miljoner euro, eller 2% av er totala, globala årsomsättning för väsentliga entiteter. För viktiga entiteter uppgår motsvarande sanktioner till 7 miljoner euro eller 1,4% av årsomsättning.

Även utebliven rapportering av allvarliga säkerhetsincidenter kan leda till påföljder och sanktioner. Om din verksamhet ingår bland de aktörer som omfattas av NIS2 är det viktigt att du kan presentera bevis för att regler och ramverk efterföljs och att ledningens ansvar kan prövas. Vi kan hjälpa dig att skapa ett strukturerat säkerhetsarbete och skydd för din verksamhet.

Läs mer om våra säkerhetstjänster

5 vanliga frågor och svar om NIS2 och Cybersäkerhetslagen

  • Omfattas vi av NIS2?
    Det beror på vilken sektor ditt företag tillhör, storlek och kritikalitet. Det Klassas ni som väsentlig eller viktig entitet? Gör egenbedömning och följ MCF:s vägledning.
  • Vilka krav måste vi uppfylla?
    NIS2 innebär skärpta krav på riskanalys, tekniska och organisatoriska säkerhetsåtgärder, incidenthantering och utbildning, kontinuitetsplaner, leverantörssäkerhet och samarbete/informationsdelning.
  • Hur förbereder vi oss praktiskt?
    Kartlägg er IT och leverantörskedja, genomför en gap-analys mot NIS2, ta fram en prioriterad roadmap, etablera processer för incidenthantering och rapportering. Stärk även kontroller  som IAM, MFA, EDR, patchning och nätsegmentering samt genomför utbildningar i hela organisationen.
  • Vilka rapporteringskrav och tidsfrister gäller vid en incident?
    Early warning inom 24 timmar, detaljerad rapport inom 72 timmar och slutrapport inom 1 månad till relevant myndighet/CSIRT. Här kan kraven variera per sektor.
  • Hur ser sanktionerna ut och vilket ansvar har ledningen?
    Ledningen ska godkänna och följa upp riskhanteringen samt avsätta resurser. Sanktionerna kan uppgå till 10 M€ eller 2% omsättning för väsentliga bolag och 7 M€ eller 1,4% för viktiga bolag. Notera även att ledningen kan hållas personligt ansvariga vid brister.
Stärk er cybersäkerhet: Genomför en säkerhetsanalys
En person i grå hoodie ler medan hen tittar på en mobiltelefon utomhus.

Prenumerera på vårt nyhetsbrev!

Så behandlar Nordlo dina personuppgifter och använder cookieliknande teknik

Vi på Nordlo Group AB kommer att behandla den information du tillhandahåller för att svara på din förfrågan och för att tillhandahålla marknadsföringsinformation. Vi använder också informationen för att identifiera dina intressen för att anpassa vår kommunikation till dig.

När vi skickar nyhetsbrev använder vi även cookies och personuppgifter för att förbättra våra epostmeddelanden. Vi gör detta genom att analysera information om din IP-adress och information om interaktioner med våra nyhetsbrev.

Genom att klicka på "skicka" samtycker du till vår behandling av dina personuppgifter för ovanstående ändamål. Att ge ditt samtycke är alltid frivilligt, och du kan när som helst återkalla ditt samtycke genom att kontakta oss på info@nordlo.com. Du har även flera andra rättigheter, t.ex. rätten att få tillgång till de personuppgifter vi behandlar om dig och rätten att invända mot anpassningen av vår kommunikation.

Läs mer i vår integritetspolicy och vår cookiepolicy.

Relaterade artiklar

Case
Moln och infrastruktur

NordloGPT: Säker AI-plattform för företag

Läs mer
Nordlo-shared-man-and-woman-talking-in-office
Blogg
Moln och infrastruktur

Geopolitik och EU-regler: så anpassar ni er molnstrategi

Läs mer
Rapport
Moln och infrastruktur

Molnrapport: Innovation och kontroll i molnet

Läs mer
Alla kunskapsposter

Denna webbplats använder cookies och personuppgifter

När du besöker https://nordlo.com använder vi på Nordlo Group AB cookies och dina personuppgifter. Vissa cookies och vissa personuppgiftsbehandlingar är nödvändiga medan du själv väljer om du vill samtycka till andra, du gör ditt val här nedan. Ditt samtycke är helt frivilligt.

Du har vissa rättigheter, till exempel, rätt att återkalla ditt samtycke och rätt att lämna in ett klagomål till en tillsynsmyndighet. Läs mer i vår cookiepolicy och vår integritetspolicy.

Hantera dina cookieinställningar

Cookies och personuppgifter vi använder för analys

Markera för att samtycka till användning av Cookies och personuppgifter vi använder för analys

För att analysera hur du använder vår hemsida används cookies från Googles analysverktyg Google's analytics service och HubSpot. Dessutom behandlar vi dina personuppgifter, bl.a. din krypterade IP-adress, din geografiska plats och annan information om hur du använder hemsidan.

Cookies och personuppgifter vi använder för marknadsföring

Markera för att samtycka till användning av Cookies och personuppgifter vi använder för marknadsföring

Vi använder cookies och dina personuppgifter för att visa dig relevant marknadsföring och för att följa upp sådan marknadsföring när du besöker andra hemsidor eller sociala medier. Vi gör detta med hjälp av Google, Facebook, HubSpot och LinkedIn. De personuppgifter vi behandlar av marknadsföringsskäl är bl.a. din IP-adress, information om hur du använder hemsidan och information som dessa tjänster har om dig sedan innan.

Cookies och personuppgifter vi använder för personlig marknadsföring

Markera för att samtycka till användning av Cookies och personuppgifter vi använder för personlig marknadsföring

För att visa relevanta annonser placerar vi cookies för att skräddarsy annonser för dig.

Cookies och personuppgifter vi använder för anpassade annonser

Markera för att samtycka till användning av Cookies och personuppgifter vi använder för anpassade annonser

För att visa relevanta och personliga annonser placerar vi cookies för att erbjuda unika erbjudanden som är anpassade efter dina användardata.