Text: David Åkerman, Senior Incident Response & Digital Forensics Consultant, Verizon Business Nordics

Under 2025 fortsätter den EU-omfattande implementeringen av NIS2 och DORA – två regelverk som ska stärka företagens cybersäkerhet och operativa motståndskraft.

DORA riktar sig mot finansiella aktörer och deras tjänsteleverantörer för att säkerställa motståndskraft mot cyberhot. NIS2 ställer strängare krav på skydd av nätverk och informationssystem och berör tusentals svenska företag inom flera samhällsviktiga sektorer.

EU:s medlemsländer behöver nu snabbt omvandla dessa regler till nationell lag. För svenska företag innebär det att förberedelserna måste börja omgående. Att vänta medför risker både för ekonomiska sanktioner och ökad sårbarhet mot allt mer sofistikerade cyberangrepp.

Vad gäller för svenska företag?

NIS2-direktivet är ännu inte fullt implementerad i svensk lag. Just nu bereds frågan av riksdag och regering. Regeringen har lagt fram ett förslag om hur direktivet ska implementeras, och ärendet hanteras nu i riksdagens utskott. När lagförslaget antas kommer även föreskrifter och myndighetsbeslut behöva tas fram för att tydliggöra kraven. Planen är att den nya lagen ska börja gälla den 15 januari 2026.

Myndigheten för samhällsskydd och beredskap (MSB) får, tillsammans med sektorsansvariga myndigheter och Säkerhetspolisen, en central roll i att bygga det nationella cybersäkerhetsramverket. Ramverket ska tydliggöra vilka aktörer som klassas som ”väsentliga” eller ”viktiga” enligt NIS2 och vilka skyldigheter de har.

Problemet är att utan detta ramverk är det svårt för företag att veta vilka åtgärder och investeringar som krävs. Osäkerheten riskerar att leda till att organisationer, när reglerna väl är på plats, måste agera snabbt och under tidspress. Det ökar sårbarheten, särskilt inom kritisk infrastruktur och samhällsviktig verksamhet.

Därför väljer vissa svenska företag och organisationer att redan nu stärka sina cybersäkerhetssystem. Genom att ligga steget före minskar de både riskerna vid en tidspressad implementering och sårbarheten mot dagens allt mer avancerade cyberhot.

Hur kan man förbereda sig?

Organisationer har inte råd att vänta. Särskilt företag med internationell verksamhet bör redan nu bygga upp sin regelefterlevnad genom centrala compliance-funktioner som kan hantera flera regelverk samtidigt. På så sätt kan olika krav harmoniseras, även när implementeringen varierar mellan europeiska länder.

Specialiserade team kan bevaka lagstiftning, förutse förändringar och snabbt anpassa verksamheten. Det ger en stabil grund för att möta både nuvarande och framtida krav.

Men cybersäkerhetsutmaningarna stannar inte vid NIS2 och DORA. Regelverk som PCI DSS (Payment Card Industry Data Security Standard) och SWIFT CSCF ställer höga krav på säkerhet kring korttransaktioner, betalningssystem och kreditöverföringsinfrastruktur.

Utmaningen är global – och den kräver ett centraliserat, samordnat angreppssätt. Ju tidigare detta arbete börjar, desto mindre risk för dyra och hastiga åtgärder längre fram.

Investera i kompetensutveckling – nyckeln till efterlevnad

En av de största utmaningarna med NIS2 och DORA är att svenska företag saknar relevant cybersäkerhetskompetens. Branschorganisationer uppskattar att det fattas flera tusen specialister – och behovet växer snabbt i takt med de nya regelverken.

Reglerna ställer höga krav på skydd av informationssystem. Det innebär att personalen behöver utbildning i både bästa praxis och juridiska skyldigheter. Relevanta certifieringar som CISSP (Certified Information Systems Security Professional) och CISM (Certified Information Security Manager) kan bli avgörande för att uppnå effektiv efterlevnad och minska risken för cyberattacker.

Men utbildningsinsatser kräver tid, resurser och framförhållning. Företag behöver därför satsa på interna kompetensprogram och aktivt uppmuntra certifiering. Tillfälliga samarbeten med specialiserade externa leverantörer kan täcka akuta behov – men är ingen långsiktigt hållbar lösning.

Utan en strategisk satsning på att täppa till kompetensgapet riskerar många organisationer att stå oförberedda när de nya kraven träder i kraft.

Bild: Amrulqays Maarof