Vilka omfattas av NIS 2-direktivet?
Komplett guide för NIS 2 DirektivetEnkelt förklarat: När, Var & Hur
Hej! Kul att du besöker oss. I denna Artikel redogör vi för allt u behöver veta inför nya NIS 2 direktivet.
1) Vilka som omfattas
2) Vad är indirekt omfattning
3) Väsentliga- och viktiga entiteter
4) Tidslinje, när blir NIS 2 gällande lag
5) Vilka omfattas av NIS 2-direktivet?
6) Vad behöver ni göra utefter kraven?
(Se bild på alla branscher nedan)
Det är en fråga många svenska verksamheter ställer sig just nu. Det nya EU-direktivet innebär större krav – men också mer klarhet – kring cybersäkerhet. I den här guiden får du veta exakt vem som påverkas, vad som krävs och hur du kan förbereda din organisation på bästa sätt.
(Lagtext: SOU 2014:18)
organisationer omfattas direkt
organisationer omfattas indirekt
Då omfattas ni av NIS2 direktivet
Dessa är de som omfattas av NIS2
Alla kommunala enheter omfattas, för att omfattas som privat företag behöver man antingen träffas av två delar nedan, eller vara en viktig leverantör till en organisation som direkt omfattas av NIS2 direktivet. Den indirekta omfattningen kommer regleras genom avtal och inte lagkrav. (Läs här)
Vilka omfattas av NIS 2-direktivet genom indirekt omfattning?
Det är inte bara de direkt utsedda verksamheterna som påverkas av NIS 2-direktivet. Även viktiga leverantörer till dessa organisationer omfattas – indirekt. Det handlar om krav på en säker leverantörskedja, som är en central del i NIS 2-direktivet.
Det betyder: även om leverantörerna inte omfattas av lagen i sig, så måste de ändå följa kraven i NIS 2 – eftersom deras kunder kräver det. Det sker genom avtal mellan parterna. Enligt direktivet är det kundens ansvar, alltså den NIS2-klassade verksamheten, att säkerställa att deras leverantörer arbetar i linje med NIS 2-kraven. Det gäller särskilt leverantörer som hanterar drift, säkerhet eller IT-system. Att förstå vilka som omfattas av NIS 2-direktivet – direkt eller indirekt – är avgörande för alla som samarbetar med samhällsviktiga verksamheter.
Men det utesluter inte fysiska leverantörer som är viktiga för verksamheten.
Det innebär att om ett företag eller organisation är beroende av Leverantör : X för att dennes verksamhet ska fungera och kunna leverera till sina kunder så behöver denna leverantör: X också hanteras utifrån kraven inom NIS 2 direktivet. Leverantören kommer då vara tvungen att ha koll på sin verksamhet eftersom att beställaren som omfattas av NIS 2 direktivet måste ha koll i sin leverantörskedja. Kravet kommer ske genom avtal och om detta inte efterlevs riskerar beställaren i fråga stora sanktionsbelopp, förstörelse av varumärke eller i värsta fall att dennes verksamhet slutar fungera.
Exempel för organisationer som omfattas av NIS 2 hur de ska tänka inom leverantörer.
Exempel 1 : Ett vårdbolag använder en fysisk leverantör av cyklar och transporthjälpmedel för personalen där service, underhåll och ersättningsfordon tillhandahålls. Om denna tjänsten slutar fungera kan personalen och företaget inte leverera tjänsten som det är tänkt. Därför behöver denna fysiska leverantör säkras genom kraven i NIS 2 direktivet.
Exempel 2: Ett företag bygger och tillverkar delar som gör att dessa omfattas av NIS 2 direktivet. De har en leverantör : Y – Som levererar skruv och plåt som är av yttersta vikt för slutprodukten. Om denna leverantör: Y slutar fungera pga incident eller attack, då kan företaget som omfattas av NIS 2 inte leverera sin produkt. Därför behöver denna leverantör hanteras och säkras genom kraven i NIS 2 direktivet.
Exempel för organisationer som inte omfattas av NIS 2 hur de ska tänka inom leverantörer.
Exempel 1 : En organisation producerar fysiska eller digitala delar eller tjänster till en organisation som omfattas av NIS 2 direktivet. Detta kan vara lås, mobiler, system, skruvar, CNC-produkter, råvaror, turbiner och mycket mycket mer. Om ett företag levererar kritiska tjänster som får beställarens verksamhet att fungera utan avbrott eller förseningar för deras användare eller kunder, då behöver leverantören i fråga ta NIS 2 direktivet på största allvar. Anledningen beror på att förr eller senare kommer kravställningen med stor sannolikhet att komma och då ska en leverans av fullständigt material ske per omgående. Detta är inte bra eftersom att en snabb och hastig start riskerar att bli antingen väldigt kostsamt och omfattande, eller direkt bristfälligt eftersom att man inte varit med från början.
Det kommer genom NIS 2 direktivet inte finnas någon väg runt frågan om ”hur vi gör” utöver att arbetet faktiskt måste göras.
Kontakta oss så hjälper vi er att komma igång med ett gratis konto >
Väsentliga entiteter
Särskilt för väsentliga entiteter är:
Rapporteringskrav: Rapport inom 24h, 72h, samt 1 månad. Mindre detaljer behövs än för väsentliga entiteter.
Mindre omfattande tillsyn: Reaktiv tillsyn efter händelse eller bristande efterlevnad, (Tips, anmälan, incident)
Mildare påföljder: Sanktionsavgifter upp till 7M€ eller 1,4 % av omsättning, beroende på vilket som är högre.
Viktiga entiteter
Särskilt för viktiga entiteter är:
Rapporteringskrav: Rapport inom 24h, 72h, samt 1 månad. Mindre detaljer behövs än för väsentliga entiteter.
Mindre omfattande tillsyn: Reaktiv tillsyn efter händelse eller bristande efterlevnad, (Tips, anmälan, incident)
Mildare påföljder: Sanktionsavgifter upp till 7M€ eller 1,4 % av omsättning, beroende på vilket som är högre.
När blir NIS2 lag i Sverige?
MSB presenterade information om tidslinjen för NIS2 direktivet. Dom tror att NIS2 direktivet blir gällande lag i Sverige någon gång under sommaren 2025.
SOU 2024:18 har just nu varit ute på betänkande där flertalet remissinstanser har lämnat sina svar baserat på dom delarna som är applicerbara för de olika instansrna.
Allt du behöver veta: Här är vilka som omfattas av nya NIS 2 direktivet.
NIS 2-direktivet – Vad det innebär,vem som omfattas och hur du hanterar leverantörer
NIS 2-direktivet (EU 2022/2555) är EU:s nya regelverk för cybersäkerhet som ställer högre krav på både offentliga och privata aktörer i samhällsviktiga sektorer. I Sverige träder cybersäkerhetslagen som genomför direktivet i kraft den 15 januari 2026.
Men vad innebär NIS 2 i praktiken? Vem omfattas? Och vad gäller för leverantörskedjor, även när leverantörer inte själva lyder under lagen?
I denna artikel får du en komplett genomgång, inklusive direkt och indirekt omfattning av NIS 2 samt vad organisationer behöver göra när det gäller sina leverantörer – både fysiska och digitala.
Vad är NIS 2-direktivet?
NIS 2 är en revidering av det tidigare NIS-direktivet från 2016. Syftet är att:
höja cybersäkerheten inom EU,
stärka motståndskraften i samhällsviktiga och digitala tjänster,
införa harmoniserade krav på säkerhetsåtgärder, incidentrapportering och tillsyn.
Det nya direktivet är mycket bredare i sin tillämpning än föregångaren och omfattar nu fler sektorer, fler aktörer – och ställer hårdare krav.
Vilka omfattas av NIS 2-direktivet?
1. Direkt omfattning (formell tillämpning)
En organisation omfattas direkt av lagen om den:
verkar inom en utpekad samhällsviktig eller viktig sektor enligt bilaga 1 eller 2 till direktivet,
är etablerad i Sverige,
är ett medelstort företag eller större (minst 50 anställda och 10 miljoner euro i omsättning/balansomslutning),
eller uppfyller särskilda kriterier som rör samhällskritik, unik leverantörsroll, eller tillhandahåller betrodda tjänster.
Exempel på sektorer:
Energi
Transport
Hälsa
Dricksvatten
Finans
Offentlig förvaltning
Digital infrastruktur
Rymdverksamhet
2. Verksamheter som omfattas oavsett storlek
Vissa aktörer träffas även om de är små – t.ex. om de:
är enda leverantören av en kritisk tjänst i Sverige,
har betydelse för liv, hälsa, allmän säkerhet,
tillhandahåller betrodda digitala tjänster (ex. e-legitimationer).
3. Väsentliga och viktiga verksamhetsutövare
Lagen skiljer mellan:
Väsentliga verksamhetsutövare – får regelbunden tillsyn.
Viktiga verksamhetsutövare – får tillsyn vid misstanke om brister.
Indirekt omfattning – leverantörer påverkas även om de inte omfattas av lagen
En av de mest praktiskt betydelsefulla aspekterna av NIS 2 är den indirekta omfattningen genom leverantörskedjan.
Vad innebär det?
Även om en leverantör inte direkt omfattas av lagen, kan den indirekt beröras om den:
levererar till en organisation som omfattas,
är kritisk för tjänsteleverans eller IT-drift,
eller på annat sätt påverkar säkerheten eller kontinuiteten i en NIS 2-klassad verksamhet.
Detta beror på att verksamhetsutövare enligt lagen är skyldiga att säkra sin leveranskedja.
Vad kräver NIS 2 av organisationer gällande leverantörer?
Enligt 2 kap. 3 § i den svenska cybersäkerhetslagen ska alla direkt omfattade verksamheter:
”vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder”
bl.a. avseende “säkerhet i leveranskedjan”
Det betyder att du som omfattas måste:
Kartlägga dina leverantörer – både fysiska och digitala.
Bedöma risker – ex. vad händer om leverantören drabbas av driftstopp, sabotage, cyberattack?
Analysera konsekvenserna – påverkas din tjänst, dina kunder, samhällsfunktioner?
Vidta åtgärder – redundans, backup, avtalsvillkor, övervakning, kravställning.
Gäller detta även fysiska leverantörer?
✅ Ja.
Det spelar ingen roll om leverantören erbjuder IT-system eller skruvar – om de är kritiska för att du ska kunna leverera din tjänst, så måste du ta med dem i risk- och konsekvensanalysen.
Exempel:
| Leverantörstyp | Direkt omfattning | Indirekt påverkan | Krav på dig |
|---|---|---|---|
| Molntjänstleverantör | ✅ Ja | – | Cybersäkerhetskrav enligt NIS 2 |
| Verkstad för uppkopplade fordon | ❌ Nej | ✅ Ja | Riskbedömning + säkerhetsskydd i avtal |
| Leverantör av bromssystem | ❌ Nej | ✅ Ja | Redundans + lager + kravställning |
| Bult- och lampgrossist | ❌ Nej | ✅ Ja | Konsekvensanalys vid avbrott |
Sammanfattning: Vad innebär NIS 2 för dig?
| Om du… | Då måste du… |
|---|---|
| Är ett transport-, energi-, hälso- eller IT-företag av viss storlek | Uppfylla alla krav i lagen: säkerhetsåtgärder, rapportering, leverantörskontroll m.m. |
| Är en underleverantör till ett sådant företag | Vara beredd att leva upp till cybersäkerhetskrav, även utan att lagen gäller direkt för dig |
| Hanterar kritiska komponenter för samhällsviktiga aktörer | Kommunicera din motståndskraft, redundans och säkerhet |
Så förbereder du din organisation för NIS 2
✅ 1. Identifiera om ni omfattas direkt av lagen
✅ 2. Upprätta en cybersäkerhetsstrategi enligt lagen
✅ 3. Kartlägg och riskbedöm leverantörskedjan
✅ 4. Sätt upp avtalade krav på kritiska leverantörer
✅ 5. Dokumentera åtgärder, rutiner och incidenthantering
Kraven inom NIS2-direktivet
Alla krav inom NIS2-direktivet
Hur följer vi kraven konkret?
Incidentrapportering enligt NIS2-kraven
Organisationer som omfattas av NIS2-direktivet måste rapportera säkerhetsincidenter inom specifika tidsramar:
- Inom 24 timmar: Inledande rapport för att informera om att en incident inträffat.
- Inom 72 timmar: En mer detaljerad rapport med analyser och åtgärder.
- Inom 1 månad: Slutlig rapport som sammanfattar incidenten och vidtagna åtgärder.
Dessa tidsramar säkerställer snabb kommunikation och tydlighet gentemot myndigheter eller beställare.
Ledningens ansvar och personalutbildning
Det är avgörande att personal som har tillgång till kritiska delar av organisationen utbildas årligen för att minimera risken för incidenter.
- Årlig utbildning: Personalen ska utbildas i säkerhetspraxis och NIS2-krav.
- Motivering och dokumentation: Organisationen behöver motivera och dokumentera sitt val av utbildningsstrategi, samt säkerställa att den är tillräcklig för att minska risker kopplade till deras verksamhet.
Säker leverantörskedja
Leverantörernas säkerhetsnivå påverkar direkt er efterlevnad av NIS2. Därför måste ni:
- Kartlägga leverantörer: Identifiera vilka leverantörer ni är beroende av och vilka system de använder.
- Bedöma leverantörens säkerhet: Säkerställ att leverantörer uppfyller NIS2-krav genom att kartlägga deras cybersäkerhetsramverk och incidenthantering.
- Kontinuerligt övervaka: Inför mekanismer för att proaktivt och reaktivt hantera säkerhetsrisker i leveranskedjan.
En säker leverantörskedja är grunden för att möta direktivets krav och för att minimera externa säkerhetsrisker.
Kontinuitet och krishantering
Förberedelser för att hantera incidenter är avgörande för verksamhetens fortlevnad. Organisationer bör:
- Säkerställa backup-lösningar: Analysera och testa regelbundet.
- Planera för domänattacker: Identifiera och implementera skyddsmekanismer.
- Utveckla återställningsplaner: Beskriva tydligt hur IT-miljöer och operativa processer återställs efter incidenter.
Kontinuitet och krishantering stärker organisationens motståndskraft mot cyberhot och bidrar till snabb återhämtning.
Extern insyn och rapportering
Organisationer som omfattas av NIS2 måste upprätthålla transparens och tydligt visa hur de följer direktivet.
- Löpande dokumentation: Ni måste ha uppdaterade rapporter om er efterlevnad av NIS2.
- Aktivt arbete: Till skillnad från GDPR krävs inte bara policies utan faktiska åtgärder inom organisationen, inklusive processer och säkerhetslösningar.
En kontinuerlig insyn i säkerhetsarbetet stärker organisationens förtroende och säkerställer att externa krav uppfylls.
Årlig revision
Organisationer måste genomföra en årlig revision för att dokumentera och säkerställa att NIS2-kraven efterlevs. Revisionen bör innehålla:
- Interna och externa rapporter: Samla underlag från interna analyser och leverantörers säkerhetsrapporter.
- Utbildningsdokumentation: Visa att personalen har utbildats i enlighet med direktivet.
- Säkerhetsmekanismer: Dokumentera hur ni arbetar för att upptäcka, förhindra och förebygga incidenter.
Samla allt material i ett tydligt ramverk som förenklar kommande års arbete och revision.
Säkerhetsmekanismer
Organisationer måste ha säkerhetsmekanismer på plats för att möta NIS2-krav och skydda mot cyberhot. Exempel på sådana mekanismer inkluderar:
- Cyberhygien: Rutiner för lösenordshantering och regelbundna tester mot nätfiske.
- Systemövervakning: Brandväggar och intrångsdetektering för att identifiera och hantera hot.
- Notifieringar vid läckor: Implementera system som varnar om läckor från externa plattformar där er data kan finnas.
Genom att kombinera proaktiva och reaktiva åtgärder skapar ni ett starkt skydd mot cyberattacker och säkerställer efterlevnad av direktivet.
Konkreta tips
+200 företag använder våra tjänster i +15 länder.
