Under sommaren 2025 blir EU:s nya cybersäkerhetsdirektiv, NIS2, en del av svensk lagstiftning. Det innebär en kraftigt skärpt och utökad reglering kring cybersäkerhetskrav för både offentliga och privata aktörer. Syftet är tydligt: att stärka motståndskraften i vårt digitala samhälle och minska sårbarheten mot cyberhot.
För svenska organisationer innebär detta nya skyldigheter, större ansvar och i vissa fall kännbara sanktionsrisker.
NIS2 står för Network and Information Security Directive 2 och är en uppdatering av det tidigare NIS-direktivet från 2016. Medan det ursprungliga direktivet framför allt gällde samhällskritiska sektorer som energi, transport och sjukvård, omfattar NIS2 ett mycket bredare spektrum av branscher och verksamheter. Det innebär att betydligt fler företag och organisationer nu omfattas av lagkraven.
NIS2 gäller för medelstora och stora aktörer inom ett antal utpekade sektorer. För att omfattas behöver verksamheten uppfylla två kriterier:
Små företag kan också omfattas om de bedöms vara särskilt viktiga ur ett säkerhetsperspektiv.
Att omfattas av NIS2 innebär att organisationen måste arbeta systematiskt och strukturerat med sin informations- och cybersäkerhet. Några av de centrala kraven är:
En av de största förändringarna i NIS2 är att ansvaret för efterlevnad läggs direkt på styrelse och ledning. Det innebär att högsta ledningen måste ha insyn i, och aktivt driva, organisationens cybersäkerhetsarbete. Det går inte längre att se säkerhetsfrågor som något som bara IT-avdelningen hanterar.
Vid brister i efterlevnaden kan myndigheterna utfärda sanktionsavgifter på upp till 10 miljoner euro eller 2 % av den globala årsomsättningen, beroende på vilket belopp som är högst.
NIS2 föreslås bli svensk lag sommaren 2025, men vissa förslag indikerar 15 januari 2026 som startpunkt. Det innebär att tillsynsmyndigheterna förväntas börja utöva kontroller efter att lagen trätt i kraft, troligtvis med ökad intensitet under 2026. Därför är den bästa strategin att agera som om lagen gäller redan från mitten av 2025. Organisationer som omfattas behöver ha påbörjat sitt säkerhetsarbete nu för att hinna anpassa sig i tid.
Om du är osäker på om din organisation omfattas, eller hur ni ska agera, är det hög tid att göra en översyn. Här är tre konkreta steg att börja med:
NIS2-direktivet markerar ett skifte i hur cybersäkerhet betraktas inom EU. Det är inte längre en teknisk fråga för specialister, det är en strategisk ledningsfråga som rör hela organisationens motståndskraft, trovärdighet och framtida konkurrenskraft.
Den goda nyheten? De verksamheter som börjar agera nu står starkare både inför lagen och inför framtidens alltmer komplexa hotbild.
Att möta kraven i NIS2 kräver mer än teknik, det kräver att hela organisationen är förberedd. Förebygg erbjuder en komplett tjänst med simulerade attacker, interaktiva utbildningar och expertstöd anpassat efter din verksamhet.
Våra attacker bygger på tusentals aktuella hot och justeras automatiskt med kundspecifik data. Varje simulation följs av konkreta tips och påminnelser som stärker användarnas förmåga att hantera verkliga attacker.
Systemet uppdateras löpande med zero-day-utbildningar vilket är korta men effektiva övningar baserade på riktiga hot. Du får full insyn via vår portal, med händelseloggar, träningshistorik och rapporter som visar hur säkerhetsmedvetandet utvecklas över tid.
Vill du läsa i detalj om vår tjänst? Läs mer här!
