Vad är NIS2?
NIS2 (direktiv 2022/2555) är EU:s nya direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i unionen. Det ersätter NIS1 från 2016 och utvidgar både omfattningen, kraven och sanktionerna. Direktivet är implementerat i svensk lag genom cybersäkerhetslagen.
Bredare omfattning
Cirka 18 sektorer i stället för 7 – inkluderar bland annat avlopp, livsmedel, post, kemikalier, rymd och offentlig förvaltning.
Strängare krav
Tydligare krav på riskhantering, leverantörssäkerhet, kontinuitet och kryptering.
Skarpare sanktioner
Upp till 10 miljoner euro eller 2 % av global omsättning för väsentliga entiteter.
Väsentliga vs viktiga entiteter
NIS2 delar in organisationer i två kategorier baserat på sektor och storlek:
| Kategori | Exempel på sektorer | Tillsyn |
|---|---|---|
| Väsentliga | Energi, transport, bank, hälso- och sjukvård, dricksvatten, digital infrastruktur | Proaktiv tillsyn (revisioner kan ske utan misstanke) |
| Viktiga | Post, avlopp, livsmedel, kemikalier, tillverkning, digitala leverantörer | Reaktiv tillsyn (vid misstanke om överträdelse) |
Roller och ansvar i Sverige
MSB
- Nationell behörig myndighet för NIS2
- CSIRT-funktion för incidentrapportering
- Allmänna föreskrifter om NIS2
Sektorsmyndigheter
- Tillsyn inom respektive sektor
- Exempel: Energimyndigheten, Finansinspektionen, IVO
Organisationens ledning
- Personligt ansvar för NIS2-efterlevnad
- Krav på utbildning av ledningen
Vad ska du göra härnäst?
- Avgör om er verksamhet omfattas (sektor + storlek).
- Registrera er hos MSB om ni omfattas.
- Gör en gap-analys mot NIS2 artikel 21.
- Integrera arbetet med befintligt ISO 27001-system om sådant finns.