Oktober 2025

NIS2: registreringskrav och tidslinjer för svenska organisationer

NIS2 direktivet skärper kraven på cybersäkerhet och incidentrapportering inom EU. I Sverige anpassas regelverket genom nationell lagstiftning och tillsynsmyndigheter får tydligare verktyg. För ledning och IT innebär det att kartlägga om organisationen omfattas, upprätta styrning och kunna visa hur risker hanteras över tid.

Vilka sektorer berörs

Direktivet delar in verksamheter i väsentliga och viktiga enheter inom exempelvis energi, transport, finans, hälso och sjukvård, digital infrastruktur, offentlig förvaltning och tillverkning av vissa kritiska produkter. Storleksgränser och undantag varierar: mindre bolag kan undantas i vissa fall medan leverantörskedjor ofta dras in via krav uppåt. Gör en formell bedömning mot er branschkod och omsättning så att ni inte gissar er fram.

Vad kräver förberedelsen

Organisationer förväntas införa proportionerliga tekniska och organisatoriska åtgärder, hantera risker i leverantörskedjan och säkerställa ledningens ansvar. Incidenthantering ska vara dokumenterad med fasta kontaktvägar mot behörig myndighet. Utbildning, tillgångskontroll, loggning och återhämtning efter störning hör till vardagen som myndigheter kan granska. Många väljer att koppla arbetet till befintliga ramverk som ISO 27001 eller NIST för tydlig struktur.

Registrering och rapportering

När svensk lag och MSB:s föreskrifter är klara ska berörda aktörer registreras och kunna lämna information enligt fastställda mallar. För incidenter som påverkar tjänster eller mottagare kan tidsfrister för tidig varning, underrättelse och slutlig rapport gälla. Förbered kontaktlistor, beslutsordning natt och helg, samt tekniska loggar som stödjer tidslinjer.

Tidslinjer att följa

EU medlemsstater har haft deadline att införliva NIS2 i nationell rätt. I Sverige påverkar lagrådsremisser och riksdagsbehandling exakt datum för full effekt. Arbeta baklänges från förväntat ikraftträdande: gapanalys nu, åtgärdsplan inom kvartal, och test av incidentprocess innan myndigheten börjar kontrollera. Prenumerera på MSB och Branschorganisationer för officiella tolkningar istället för enbart nyhetsrubriker.

Att vänta tills sista veckan ger onödig risk. Börja med register över system, leverantörer och personer med ansvar, koppla till er informationssäkerhetspolicy och säkerställ att styrelsen ser rapportering minst kvartalsvis. Då blir NIS2 en del av ordinarie styrning, inte en panikåtgärd.

Samverkan internt och externt

Säkerställ att juridik, IT, verksamhet och informationssäkerhet använder samma begreppslista när ni tolkar kraven. Externa revisorer eller försäkringsbolag kan ställa följdfrågor: spara beslutsunderlag om varför vissa system klassats som kritiska eller varför undantag är proportionerliga. Leverantörer ska kunna redovisa sina egna kontroller eftersom kedjeansvaret skärps under NIS2.