NIS2 – nya krav på cybersäkerhet

Det nya EU-direktivet för cybersäkerhet (NIS2) innebär skärpta krav för både privata och offentliga verksamheter. Här kan du läsa om vilka verksamheter som omfattas av kraven, vilka åtgärder som krävs för att uppfylla dem och hur ledning och leverantörer påverkas av de nya reglerna.

Digitaliseringstakten i samhället ökar snabbt och samhällsviktiga verksamheter som hälso- och sjukvård, betalsystem och elförsörjning vilar på digital infrastruktur. Dessa verksamheter är i hög grad beroende av stabila IT-system och tillgång till information.

Utvecklingen har medfört betydande effektiviseringsvinster inom både produktion och tjänstesektor samt bidragit till ökad bekvämlighet och trygghet i samhället. Samtidigt har utvecklingen skapat nya sårbarheter. Incidenter i digitala system kan leda till allvarliga störningar, vilka i sin tur kan få omfattande samhälleliga konsekvenser.

Under senare år har antalet cyberangreppen ökat. Angreppen syftar både till att tillägna sig konfidentiell information och att destabilisera verksamheter. Konsekvenserna kan bli betydande, både ur ett säkerhetsmässigt och ekonomiskt perspektiv.

Flera incidenter har drabbat såväl regioner och kommuner som IT-leverantörer, vilket har visat på den omfattande påverkan som cyberangreppen kan få för centrala verksamheter i samhället.

I en tid präglad av geopolitisk oro och ett föränderligt säkerhetsläge ökar även risken för cyberangrepp. Det innebär att informations- och cybersäkerhet utgör en central strategisk fråga, inte enbart för enskilda verksamheter utan också för samhällets motståndskraft i stort.

Vad är NIS2 och vad gäller i Sverige?

EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå, som inom unionen kallas för NIS2-direktivet, antogs 2022. Sverige har med anledning av detta infört en ny cybersäkerhetslag. NIS2-direktivet - Security of network and information systems 2 - ersätter NIS-direktivet från 2016. Cybersäkerhetslagen trädde i kraft den 15 januari 2026 och innebär en skärpning av kraven i och med NIS2.  

Regelverket är mer omfattande än tidigare och gäller fler sektorer och verksamheter.

Vilka verksamheter omfattas av NIS2?

Cybersäkerhetslagen gäller både offentliga och privata aktörer.  De verksamhetsutövare som ska tillämpa reglerna är:  

  • företag eller organisationer med minst 50 anställda
  • regioner, kommuner, kommunalförbund och de flesta statliga myndigheter
  • företag eller organisationer med omsättning eller balansomslutning över 10 miljoner euro per år och tillhör någon av sektorerna som listas nedan

NIS2 gör skillnad på väsentliga och viktiga sektorer. Den praktiska skillnaden är att aktörer i viktiga sektorer har lägre ekonomiska sanktioner och står under reaktiv tillsyn, medan aktörer i väsentliga sektorer kan bli föremål för proaktiv tillsyn från myndigheterna. Verksamhetsutövare som inte är väsentliga är viktiga verksamhetsutövare.

Exempel på väsentliga sektorer

  • Energi och elförsörjning
  • Transport (flyg, järnvägs, väg och sjöfart)
  • Bank och finansiell infrastruktur 
  • Hälso- och sjukvård
  • Vattenförsörjning 
  • Digital infrastruktur och IT-tjänster
  • Offentlig förvaltning
  • Rymd – markbaserade infrastrukturoperatörer

Exempel på viktiga sektorer

  • Post- och budtjänster
  • Avfallshantering och kemikalier
  • Livsmedel 
  • Tillverkningsindustri
  • Digitala leverantörer 
  • Forskningsorganisationer

Nya säkerhetskrav

Till följd av NIS2-direktivet är regelverket nu mer detaljerat och harmoniserat, vilket lämnar mindre utrymme för nationella avvikelser. De nya reglerna innebär att verksamhetsutövare ska vidta lämpliga säkerhetsåtgärder för att skydda nätverks- och informationssystem som används i verksamheten eller för att tillhandahålla tjänster, samt systemens fysiska miljö mot incidenter.

Det ställer uttryckliga krav på dokumenterade rutiner för bland annat incidenthantering och personalsäkerhet. Vidare krävs kontinuitetshantering, vilket innebär att företag som omfattas av NIS2 ska ha en plan för att upprätthålla verksamheten vid en incident samt återgå till normalläge, inklusive hur IT-system ska återställas och i vilken prioriteringsordning.

Krav på leverantörskedjan

Säkerhet i leverantörskedjan betonas tydligare och leverantörer till företag som omfattas av NIS2 kommer att märka av regelverket genom nya, striktare avtalskrav. Företag måste säkerställa att deras leverantörer inte utgör en säkerhetsrisk. Direktivet är utformat så att kraven ska vara proportionerliga utifrån risk, storlek och påverkan.

Det är därför viktigt att skapa sig en god förståelse för NIS2-kraven. Leverantörer till företag som omfattas av NIS2 kan till exempel genomföra en gapanalys för att möta kraven.

Detta innebär att företagens ansvar även omfattar deras leverantörer, vilket bland annat innefattar:

  • Tydliga säkerhetskrav i leverantörsavtal – informations och cybersäkerhet
  • Systematisk uppföljning – för att säkerställa att avtalskraven efterlevs
  • Riskanalys och informationssäkerhetspolicy – etableringen och underhåll av styrande dokument och riskprocesser
  • Incidenthantering – definierade roller, processer och kommunikationsvägar för snabb upptäckt och respons
  • Kontinuitetsplanering och krishantering – planer och övningar för drift under störning samt återställning
  • Säkerhet i leverantörskedjan – kravställning, due diligence och kontroll av underleverantörer
  • Kryptografi och kryptering – ändamålsenliga skydd för data i vila och under överföring
  • Säker utveckling och sårbarhetshantering – policys, CVD-processer och snabb patchning av kända brister
  • Multifaktorautentisering (MFA) – förstärkt åtkomstkontroll för användare och administratörer

Ledningens ansvar och utbildning

NIS2 skärps kraven på ledningen, vilket omfattar styrelsen och personer med ledande befattning såsom VD och företagsledning. Ledningen har det yttersta ansvaret för att organisationen inför och upprätthåller nödvändiga säkerhetsåtgärder.

För att kunna hantera detta ansvar krävs det att ledningen besitter tillräcklig kompetens. Därför ställer NIS2 krav på att ledningen ska genomgå utbildning för att få en grundläggande förståelse för riskbaserat och systematiskt säkerhetsarbete.

Eftersom ledningen ansvarar för att säkerhetsåtgärderna är ändamålsenliga och korrekt implementerade är det också ledningen som hålls ansvarig om dessa åtgärder saknas, är otillräckliga eller bristfälligt genomförda.

Så rapporterar du incidenter enligt NIS2

Incidenter som inträffat och som av företaget bedöms utgöra betydande incidenter enligt cybersäkerhetslagen ska rapporteras inom 24 timmar till Myndigheten för civilt försvar.

I cybersäkerhetslagen kan en betydande incident exempelvis vara:

  • en incident som har orsakat eller kan orsaka allvarlig driftsstörning i den erbjudna tjänsten eller ekonomisk skada för den berörda företaget
  • en incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada

Rapporteringsmodell för incidenter

Den nya, mer strukturerade rapporteringsmodellen, består av tre steg:

Det första steget är en tidig varning som ska lämnas inom 24 timmar. I varningen ska företaget ange om den betydande incidenten misstänks ha orsakats av olagliga eller avsiktligt skadliga handlingar, eller om den kan få gränsöverskridande konsekvenser. Den tidiga varningen lämnas i rapporteringsverktyget IRON, via det särskilda anmälningsformuläret, i enlighet med kraven i cybersäkerhetslagen.

Det andra steget är att inkomma med en incidentanmälan inom 72 timmar från det att incidenten har identifierats. Anmälan ska uppdatera den information som lämnats i den tidiga varningen och innehålla en bedömning av incidentens allvarlighetsgrad, vilka konsekvenser den har fått, samt i förekommande fall hur angreppet har skett.

Det tredje och sista steget är att inkomma med en slutrapport inom en månad från det första rapporteringstillfället. Slutrapporten ska innehålla:

  • en strukturerad beskrivning av incidenten, inklusive dess allvarlighetsgrad och konsekvenser
  • en beskrivning av den typ av hot eller den grundorsak som sannolikt har utlöst incidenten
  • vidtagna och pågående begränsande åtgärder
  • i tillämpliga fall, information om gränsöverskridande effekter

NIS2 i praktiken – konsekvenser och möjligheter

NIS2 stärker cybersäkerheten i hela EU genom att tydliggöra ledningens ansvar och kraven på incidentrapportering. Syftet är att öka motståndskraften i de nätverk och informationssystem som bär upp samhällsviktiga verksamheter och sektorer.

En av de viktigaste nyheterna jämfört med det tidigare direktivet är att säkerhet i leverantörskedjan nu är uttryckligen reglerad. Det innebär skärpta krav på hur företag och organisationer ställer och följer upp krav på sina leverantörer, även sådana som inte själva formellt omfattas av NIS2. Målet är att stärka cybersäkerheten genom hela kedjan, från huvudleverantör till underleverantör.

Leverantörer som arbetar proaktivt med att förstå NIS2 och anpassa sin verksamhet till de nya kraven kommer därför att uppfattas som mer tillförlitliga och attraktiva samarbetspartners och i praktiken bli enklare att samarbeta och göra affärer med.

Richard Jarliden

Auktoriserad revisor

richard.jarliden@far.se
Skydda byrån med cyberförsäkring

Skydda byrån med cyberförsäkring

Med en cyberförsäkring får din byrå hjälp vid externa angrepp och interna incidenter, beredskap dygnet runt och hjälp att hantera skada om en cyberattack ägt rum.