NIS2: riskbedömning och compliance
NIS2-direktivet har skärpt kraven på cybersäkerhet för tusentals svenska och europeiska företag. Här förklarar vi vem som omfattas, vad som krävs av riskhanteringsprocessen, och hur RiskNote hjälper dig komma igång.
Vad är NIS2?
NIS2 (Network and Information Security Directive 2) är EU-direktiv 2022/2555 som skärper cybersäkerhetskraven inom unionen. Det ersätter det ursprungliga NIS-direktivet från 2016 och täcker väsentligt fler sektorer och organisationer.
I Sverige är NIS2 implementerat genom Cybersäkerhetslagen som trädde i kraft 2026. Myndigheten för samhällsskydd och beredskap (MSB) är tillsynsmyndighet för de flesta sektorer.
Sanktioner: upp till 10 miljoner euro eller 2% av global omsättning för väsentliga entiteter.
NIS2 riskhanteringskrav (Art. 21)
1. Riskanalys och informationssäkerhetspolicy
Dokumenterad riskanalys av system. Policy som styrelsen godkänt.
2. Incidenthantering
Process för att upptäcka, rapportera och åtgärda incidenter. Rapportering till CSIRT inom 24 timmar.
3. Kontinuitetshantering och backup
Business continuity, disaster recovery, testade backuper.
4. Leverantörskedjesäkerhet
Riskbedömning av leverantörer. Avtalsvillkor om säkerhet.
5. Åtkomstkontroll och kryptering
MFA, principen om minsta behörighet, kryptering av data i vila och under transport.
6. Medvetandeträning
Säkerhetsträning för personal, särskilt ledning.
7. Sårbarhetshantering och patching
Process för identifiering och åtgärdande av sårbarheter.
NIS2-checklista: omfattas ni?
Storlek över tröskelvärdet
Medelstora eller stora företag (över 50 anställda eller 10 miljoner euro i omsättning) i kvalificerade sektorer.
Kvalificerad sektor: väsentliga entiteter
Energi, transport, bank, finansmarknad, hälso- och sjukvård, dricksvatten, avlopp, digital infrastruktur (TLD, IXP, cloud, datacenter), offentlig förvaltning, rymd.
Kvalificerad sektor: viktiga entiteter
Post- och budtjänster, avfallshantering, tillverkning av vissa produkter, kemikalier, livsmedel, tillverkning av medicintekniska produkter, digital leverantör (sökmotor, marknadsplats, social media).
Undantag för särskilt små
Mikro- och småföretag (under 50 anställda och under 10 miljoner euro) undantas generellt, men det finns undantag i viktiga digitala infrastruktursektorer.
Kritisk för nationell säkerhet
Medlemsstater kan inkludera mindre företag om de är kritiska för nationell säkerhet.
Så stödjer RiskNote NIS2
NIS2 Art. 21 kräver en dokumenterad, riskbaserad cybersäkerhetsprocess. RiskNote ger dig den: ett levande riskregister för informations- och IKT-risker, spårbarhet per risk, och PDF-rapport som kan bifogas tillsynsrapporter.
NIS2-specifika mappningar (AI förstår NIS2-krav när den föreslår risker, och varje risk kan märkas med NIS2 Art. 21-kontroll) lanseras i RiskNote V1.2 (Q3 2026).
Vanliga frågor om NIS2
När började NIS2 gälla i Sverige?
NIS2-direktivet skulle vara implementerat i medlemsstater senast 17 oktober 2024. Sveriges cybersäkerhetslag trädde i kraft 2026 efter viss försening. Tillsyn pågår från 2026 och framåt.
Vi har 40 anställda, omfattas vi?
Sannolikt inte, eftersom tröskeln är 50 anställda eller 10 miljoner euro i omsättning för medelstort företag. Men det finns undantag: digital infrastruktur (t.ex. domänregistreringar, IXP, DNS) kan omfattas oavsett storlek. Kontrollera er sektor på MSB:s webbplats.
Vad är skillnaden mellan väsentlig och viktig entitet?
Väsentliga entiteter (essential entities) har högre krav på rapportering, proaktiv tillsyn och högre sanktioner (upp till 10 M€ eller 2% av omsättning). Viktiga entiteter (important entities) har samma säkerhetskrav men reaktiv tillsyn och något lägre sanktioner.
Behöver vi en CISO?
NIS2 kräver inte en formell CISO, men kräver att ledningen är involverad och utbildad i cybersäkerhetsrisk. I praktiken utser de flesta väsentliga entiteter en säkerhetsansvarig (kan vara deltid eller extern).
Måste styrelsen godkänna riskhanteringsprocessen?
Ja. NIS2 Art. 20 kräver att styrelsen eller likvärdigt organ godkänner cybersäkerhetsriskhantering. Styrelsen kan hållas personligt ansvarig för överträdelser.
Börja med NIS2 där det spelar roll: riskregistret
NIS2-compliance börjar med en dokumenterad, spårbar riskhantering. RiskNote ger dig den på en eftermiddag.