Februari 2025

NIS2-direktivet: vad det är och varför det berör ert företag

NIS2 är EU:s uppdaterade regelverk för cybersäkerhet i kritiska och viktiga sektorer. Syftet är att höja miniminivån för skydd och incidentrapportering i hela unionen. För svenska bolag innebär det tydligare krav på ledningsansvar, riskhantering och samverkan med tillsynsmyndigheter.

Vad direktivet kräver i korthet

Organisationer som omfattas ska införa tekniska och organisatoriska åtgärder för att hantera risker, säkerställa kontinuitet och rapportera allvarliga incidenter inom definierade tidsfönster. Ledningen kan göras direkt ansvarig om brister är systematiska. Leverantörskedjor och molntjänster ingår i riskbedömningen, vilket påverkar hur ni upphandlar IT.

Vilka svenska företag berörs

Omfattningen följer sektorlistor och storleksgränser som implementeras i nationell lag. Bland annat energi, transport, finans, hälso- och sjukvård, digital infrastruktur och vissa tillverkningsgrenar kan bli centrala eller viktiga enheter. Även mindre leverantörer kan påverkas indirekt om de ingår i kedjor till regulerade kunder.

Tidslinje och efterlevnad

Medlemsstater har infört regler enligt direktivets deadline. Praktisk efterlevnad tar tid: policyer, loggning, övningar och avtal måste möta kraven innan revision eller incident inträffar. Börja med självskattning mot NIS2:s områden, koppla till befintlig ISO 27001 eller liknande ramverk och stäng luckor med prioriterad roadmap.

Leverantörer och kedjeansvar

NIS2 betonar att risker i underleverantörskedjan måste hanteras. Säkerställ att avtal med molntjänster, driftpartners och programvaruleverantörer beskriver incidentrapportering, dataplacering och revision. Kartlägg kritiska beroenden så ni vet vilka kontakter som måste nås dygnet runt vid störning.

Tekniska åtgärder i Microsoft-miljöer

Praktiskt kan stark identitetsstyrning, loggcentral i Sentinel, säkerhetskopior utanför primärmiljön och patchdisciplin på servrar och slutpunkter täcka stora delar av kravbilden. Koppla dessa kontroller till tydliga processägare och testa dem minst årligen.

Arbeta nära juridiska rådgivare för att tolka exakt hur nationell lag i Sverige formulerar kraven i er sektor. Teknik är bara halva lösningen, processer och styrdokument måste spegla samma nivå. Sätt en ansvarig CISO eller motsvarande roll som kan tala samma språk som både ledning och tekniker.

Planera övningar där ni testar incidentrapportering till myndigheter och internt, inklusive kommunikation till kunder om ett driftstopp påverkar kritiska tjänster. Ju mer ni övar desto mindre risk för felaktiga eller sena rapporter under skarpt läge. Spara scenarioskript och utvärdering så ni kan visa förbättring över tid.

Nordvide stöttar er med gap-analys, tekniska kontroller i Microsoft-miljöer och dokumentation som underlättar dialog med juridik och revisorer.