Januari 2026

NIS2 lagen träder i kraft i Sverige: det här gäller nu

Den 15 januari 2026 börjar den svenska cyberskyddslagen att gälla i den omfattning som följer av EU:s NIS2 direktiv, införlivad genom lag med beteckning SFS 2025:1506. För många organisationer innebär det ett skifte från frivilliga ramverk till tydligare krav på styrning, riskhantering och rapportering. Om ni levererar samhällsviktiga eller marknadskritiska tjänster ska ni redan nu kunna visa hur säkerhetsarbetet är förankrat i ledning och i er leveranskedja.

Arton sektorer och helhetsanspråk på verksamheten

Lagstiftningen täcker både högt reglerade branscher och bredare digital infrastruktur, sammanlagt arton sektorer enligt bilagorna till direktivet. Viktigt är helhetsanspråket: det räcker inte att säkra en enskild applikation om övriga delar av juridisk person fortfarande utgör svaga länkar. Kartlägg beroenden till moln, driftleverantörer och identitetsplattformar, och se till att avtal och tekniska kontroller hänger ihop. Microsoft 365, Azure och Defender ekosystemet kan stödja många av kraven, men process och dokumentation måste spegla verkligheten.

Ledningens ansvar och intern styrning

Styrelse och verkställande ledning förväntas ta aktiv del i cybersäkerhetsfrågor, inte bara godkänna budgetposter. Det innebär återkommande rapportering om risker, åtgärdsplaner och incidenter av betydelse. Utse en tydlig funktion för cybersäkerhet med mandat över IT, verksamhet och inköp, och säkerställ att beslutsunderlag är begripliga för icke tekniker. Revision och intern kontroll bör kunna följa spår från policy till faktisk konfiguration.

Incidentrapportering: tjugofyra timmar, sjuttiotvå timmar och en månad

Vid allvarliga incidenter ska tidiga signaler ofta rapporteras inom omkring tjugofyra timmar, följt av en mer fullständig anmälan inom ungefär sjuttiotvå timmar, och en avslutande redogörelse inom en månad beroende på händelsens art. Tidsfristerna förutsätter att ni redan har playbooks, kontaktlista mot myndighet och teknisk logg som går att paketera utan att tumma på beviskedja. Öva tablåer regelbundet med juridik och kommunikation vid bordet.

Vitesnivåer och hur ni förbereder er

Vid brister kan sanktioner bli betydande, inklusive vite upp till tio miljoner euro eller procentuella tak i relation till omsättning enligt direktivets ram. Fokusera därför på mätbara förbättringar: multifaktorautentisering, segmentering, säkerhetsuppdateringar och tredjepartsgranskning. Nordvide hjälper er att koppla regulatoriska krav till konkreta åtgärder i Microsoft miljöer och att bygga underlag som tål granskning.

Praktisk checklista för första kvartalet

Säkerställ att register över kritiska tjänster och beroenden är daterade och signerade av verksamhetsägare. Gå igenom att alla avtal med molnleverantörer innehåller rätt till revision och incidentinformation. Verifiera att backup och återställning testats för system som omfattas av rapportskyldighet.

På tekniksidan: aktivera skyddade administrativa konton, granska gästinbjudningar och stäng av legacy protokoll där de inte behövs. Samla bevis i form av loggutdrag och policyutskrift så att ni kan visa kontinuitet om tillsynen begär underlag med kort varsel.