Text: Gibon
Imorgon den 15 januari 2026 börjar EU:s uppdaterade cybersÀkerhetsdirektiv NIS2 gÀlla i Sverige genom den nya cybersÀkerhetslagen. Syftet Àr att höja den digitala motstÄndskraften i hela samhÀllet, inte bara hos de mest kritiska aktörerna. HÀr Àr tre saker du behöver ha koll pÄ och vad som faktiskt kan hÀnda om du inte följer reglerna.
đ Fler organisationer omfattas Ă€n det tidigare direktivet
NIS2 riktar sig till en betydligt bredare grupp Àn tidigare. Det handlar inte lÀngre bara om elbolag, sjukhus och vattenleverantörer. Nu inkluderas Àven:
medelstora och stora företag inom IT, digital infrastruktur, transport, avfallshantering, tillverkning, livsmedel, post- och budtjÀnster
leverantörer och underleverantörer som Àr viktiga för driften
företag som hanterar kritiska tjÀnster Ät andra, Àven om de sjÀlva inte Àr samhÀllskritiska
Det innebÀr att mÄnga verksamheter som tidigare inte behövt tÀnka pÄ NIS nu behöver göra en ordentlig analys av om de omfattas och vad det innebÀr. För mÄnga organisationer blir det dÀrför första gÄngen cybersÀkerhet blir en reglerad frÄga, vilket gör det extra viktigt att börja i tid.
đĄïž SkĂ€rpta krav pĂ„ sĂ€kerhetsĂ„tgĂ€rder
NIS2 stÀller krav pÄ bÄde tekniska, organisatoriska och administrativa ÄtgÀrder. Det rÀcker alltsÄ inte att ha ett antivirusprogram och en brandvÀgg. Organisationer mÄste kunna visa att de arbetar systematiskt och riskbaserat.
Det innebÀr bland annat:
att göra regelbundna riskanalyser
att ha dokumenterade rutiner för incidenthantering
att arbeta med kontinuitetsplanering och ÄterstÀllning
att sÀkerstÀlla sÀkerhet i leverantörskedjan
att utbilda personalen i sÀkerhetsmedvetenhet
att rapportera allvarliga incidenter inom 24 timmar
Det hÀr Àr inte en engÄngsinsats utan ett löpande arbete som ska följas upp, mÀtas och förbÀttras. NIS2 gör det tydligt att cybersÀkerhet Àr en del av verksamhetsstyrningen snarare Àn en teknisk detalj.
đŻ Ledningen har ett tydligt ansvar
En av de största förÀndringarna i NIS2 Àr att ledningen fÄr ett uttryckligt ansvar. Det innebÀr att styrelse och VD mÄste:
förstÄ riskerna
fatta beslut om sÀkerhetsÄtgÀrder
följa upp att arbetet faktiskt genomförs
sÀkerstÀlla att organisationen har rÀtt kompetens
Ledningen alltsÄ mÄste kunna pÄvisa att de har kontroll och att de agerat nÀr risker uppstÄtt. Det hÀr skapar en helt ny nivÄ av ansvarstagande och transparens.
â ïž Vad hĂ€nder om man inte följer NIS2?
Konsekvenserna att inte följa direktivet Àr betydligt skarpare Àn tidigare, och de Àr utformade för att fÄ organisationer att ta frÄgan pÄ allvar. EU signalerar alltsÄ tydligt att cybersÀkerhet inte Àr valfritt att prioritera. SÄ, hur ser effekterna av att inte följa NIS2-direktivet ut?
đž Höga sanktionsavgifter
Böter kan bli mycket kÀnnbara. NIS2 öppnar för sanktionsavgifter som kan uppgÄ till miljonbelopp, beroende pÄ verksamhetens storlek och hur allvarliga bristerna Àr.
đ FörelĂ€gganden och krav pĂ„ Ă„tgĂ€rder
Tillsynsmyndigheter kan krĂ€va att organisationen omedelbart vidtar Ă„tgĂ€rder – ibland omfattande sĂ„dana.
Det kan handla om allt frĂ„n att införa nya rutiner till att bygga om delar av ITâmiljön.
Det kan bli bÄde tidskrÀvande och kostsamt om man ligger efter.
đ€ Personligt ansvar för ledningen
Ledningen kan hÄllas ansvarig vid allvarliga brister vilket innebÀr att styrelse och VD mÄste kunna visa att de har gjort sitt jobb, annars kan det fÄ konsekvenser för dem personligen. Det hÀr Àr en av de mest omtalade delarna av NIS2, eftersom den skapar ett helt nytt tryck pÄ styrning och uppföljning.
đ Risk för verksamhetsstörningar
Vid allvarliga brister kan myndigheter begrÀnsa eller stoppa verksamheten tills sÀkerheten Àr tillrÀcklig. Det Àr ett kraftfullt verktyg som visar hur viktigt EU anser att digital robusthet Àr för samhÀllets funktion.
Om er verksamhet Ànnu inte kommit igÄng med NIS-arbetet brinner det lite i knutarna. Men misströsta inte, det gÄr snabbt nÀr vi vÀl sÀtter igÄng! Oavsett var ni befinner er sÄ hjÀlper vi er att sÀkerstÀlla det ni behöver för att vara sÀker inför NIS2-direktivet.
BIld: Kiá»u TrÆ°á»ngÂ
