NIS2-direktivet 2025 - Nya krav på cybersäkerhet: är din verksamhet redo?

Allt fler attacker. Allt större konsekvenser. Under 2025 får Sverige en ny lagstiftning som ska stärka vårt digitala skydd: NIS2-direktivet. Det kan låta tekniskt, men i grunden handlar det om att säkra verksamhetens framtid.

NIS2 föreslås bli svensk lag sommaren 2025, men vissa förslag indikerar 15 januari 2026 som startpunkt. Det innebär att tillsynsmyndigheterna förväntas börja utöva kontroller efter att lagen trätt i kraft, troligtvis med ökad intensitet under 2026. Därför är den bästa strategin att agera som om lagen gäller redan från mitten av 2025. Organisationer som omfattas behöver ha påbörjat sitt säkerhetsarbete nu för att hinna anpassa sig i tid. Och den här gången berör det långt fler än tidigare. För många företag innebär det en skarp vändning, från en IT-fråga till en ledningsfråga.

"Det här är inte längre något för teknikteamet i källaren, det är en styrelsefråga."

Vad är NIS2 och varför är det så viktigt?

NIS2 står för Network and Information Security Directive 2. Det är en uppdatering av det tidigare NIS-direktivet från 2016, men med en mycket bredare tillämpning. Tidigare riktade sig reglerna främst till samhällskritiska sektorer, nu gäller de även allt från molntjänster och datacenter till livsmedel, läkemedel, avfallshantering och digital infrastruktur.

Så hur vet du om ni omfattas?

• Ni är ett medelstort eller stort företag (minst 50 anställda)

• Ni verkar inom en av de utpekade sektorerna

• Ni anses särskilt viktiga ur ett säkerhetsperspektiv, även om ni är små

Vad kräver lagen?

Att omfattas av NIS2 innebär ett nytt sätt att tänka kring cybersäkerhet. Du måste inte bara skydda tekniken, du ska också kunna bevisa att du gör det. Några av kraven:

• Riskhantering: Identifiera och hantera sårbarheter löpande

• Incidentrapportering: Anmäl säkerhetsincidenter inom fastställda tidsramar

• Leverantörssäkerhet: Säkerställ att även era IT-partners uppfyller kraven

• Kontinuitetsplanering: Ha en plan för att kunna fortsätta driften vid störningar

• Ledningsansvar: Styrelse och ledning måste vara informerade och engagerade

Bristande efterlevnad? Det kan kosta upp till 10 miljoner euro eller 2 % av omsättningen, beroende på vad som är högst.

Tre steg för att börja

Du behöver inte ha alla svar direkt. Men du behöver börja ställa frågorna. Här är tre steg som gör skillnad:

1. Kartlägg nuläget - omfattas ni? Vilka krav gäller för just er sektor?

2. Skapa en handlingsplan - identifiera luckor och skapa en konkret åtgärdsplan

3. Förankra arbetet i ledningen - det är där ansvaret ligger enligt lagen

Den bästa strategin? Agera som om lagen redan gäller, för i praktiken gör den det.

Hur hjälper Förebygg?

Cybersäkerhet är inte bara teknik. Det är människor, rutiner och förberedelse. Med Förebygg får du ett komplett system som stärker hela organisationens digitala motståndskraft:

• Simulerade attacker baserade på tusentals aktuella hot

• Interaktiva utbildningar som höjer medvetenheten hos medarbetare

• Zero-day-övningar - korta men kraftfulla träningar på verkliga hot

• Insiktsportal med händelseloggar, rapporter och säkerhetsanalys

Allt anpassas efter din verksamhet, med minimal administration och maximal effekt.