top of page

NIS2 tvingar fram ett nytt perspektiv: Fokus flyttas från system och verktyg till beslutsfattande, ansvar och operativ förmåga.

  • Writer: VALHALLA VAULT
    VALHALLA VAULT
  • Nov 6
  • 4 min read


NIS2

Den 15 januari 2026 träder NIS2 (preliminärt) i kraft i Sverige och därmed skärps kraven på hur verksamheter styr, hanterar och skyddar känslig och samhällsviktig information. NIS2 är inte bara en uppdatering av tekniska säkerhetskrav, det är en förändring i hur organisationer måste tänka och arbeta med cybersäkerhet på strukturell nivå.


Direktivet berör inte bara brandväggar, MFA eller loggning. Det omfattar också hur beslut fattas på ledningsnivå, hur risker bedöms och prioriteras, och hur digitala beroenden och leverantörskedjor kontrolleras och följs upp. Det handlar om organisationens förmåga att fortsätta fungera även under press, och att säkerställa att både system, drift och människor kan agera när något oväntat händer.


Tänk på vattenförsörjningen i en kommun

Den största risken är inte att någon stjäl en lista över kunder. Den största risken är att vattendistributionen stannar.

Det är inte datan som är det kritiska, det är tjänstens förmåga att fortsätta fungera.

Därför är frågan inte:

”Hur skyddar vi informationen?”

Utan:

”Vilka system och processer får absolut inte sluta fungera, och vad kan slå ut dem?”

Exempel:

  • Om styrsystemet för pumpar slutar fungera → ingen får vatten.

  • Om övervakningssystemet för kvalitet går ner → hälsorisk för invånare.

  • Om driftpersonalen inte kan agera på larm → felet kan eskalera snabbt.


Konsekvensen är således verksamhetskritisk, inte bara teknisk.

Det är detta NIS2 kräver att organisationer synliggör och styr.


NIS2 innebär också ett skärpt fokus på hur data används, delas och lagras. Dessutom omfattar direktivet nu inte bara traditionella IT-system, utan även OT-miljöer som styr fysisk drift, exempelvis VA-system, fastighetsautomation och energidistribution. Det betyder att verksamheter behöver förstå också hur IT och OT hänger samman, och hur ett intrång i ett system kan påverka hela leveransförmågan.


En central del av NIS2 är också kravet på utbildning och medvetenhet. Det räcker inte att experter eller IT-personal förstår riskerna hela organisationen behöver utbildas, inklusive ledning, chefer och medarbetare. NIS2 flyttar cybersäkerhet från IT-avdelningen till ledningsbordet. Och det innebär att arbetet framåt handlar lika mycket om styrning, ansvar, kompetens och kultur som om teknik.



Vad är NIS2?

NIS2 är ett EU-direktiv som syftar till att höja den digitala motståndskraften i samhällsviktiga verksamheter. Där NIS1 riktades främst mot kritisk infrastruktur, omfattar NIS2 betydligt fler organisationer och ställer tydligare krav på ledning, riskhantering och säkerhetskontroller.

Det handlar inte bara om IT-sårbarheter. Det handlar om verksamhetskontinuitet, tillgänglighet, förtroende och styrning.


Vilka omfattas av NIS2?

NIS2 gäller organisationer som klassas som väsentliga eller viktiga aktörer, exempelvis:

Offentlig sektor

  • Kommuner, regioner och myndigheter med ansvar för samhällsviktiga funktioner

Privat sektor

  • Energi, vatten och VA

  • Transport och logistik

  • Hälso- och sjukvård

  • Digital infrastruktur och molntjänster

  • Tillverkning av kritiska produkter

  • Livsmedel, avfall, läkemedel, posttjänster m.fl.


Leverantörskedjan omfattas också. Det betyder att även företag som inte själva är ”väsentliga” kan påverkas genom avtalskrav från kunder.


Vad händer om man inte följer NIS2?

  • Sanktionsavgifter på upp till 10 miljoner euro eller 2% av global omsättning

  • Personligt ansvar kan utkrävas av ledning och styrelse

  • Tillsyn från tillsynsmyndighet

  • Krav på snabb incidentrapportering (24–72 timmar)


NIS2 i praktiken: En checklista för att komma igång

NIS2 påverkar hur både offentliga och privata verksamheter hanterar känslig och verksamhetskritisk information. Oavsett om det gäller personaldata, ekonomidata, journalinformation, processdata eller driftinformation i OT-miljöer, krävs nu tydlig styrning, uppföljning och kontroll.


Från och med 15 januari 2025 gäller tydligare ansvar, särskilt för ledning och styrelse.

Här är en konkret och användbar checklista över områden att se över:


1. Ledningens ansvar

  • Engagera styrelse och ledning:Cybersäkerhet är nu en styrfråga. Ledningen kan hållas personligt ansvarig vid brister.

  • Utbilda beslutsfattare:Se till att de förstår risker, konsekvenser och prioriteringar.

  • Säkerställ uppföljning:Cybersäkerhet ska vara en stående punkt på ledningsmöten.


2. Leverantörer & samarbetspartners

  • Kartlägg leverantörskedjan:Vilka har tillgång till era system, data eller driftmiljöer?

  • Ställ krav i avtal:T.ex. loggning, incidentrapportering, säker drift och patchrutiner.

  • Följ upp regelbundet:Leverantörer måste kunna visa att de uppfyller säkerhetsnivåerna, inte bara påstå det.


3. Informationssäkerhet & dataägande

  • Inventera känslig data:Var lagras HR-, löne-, journal- och ekonomidata?

  • AI-användning:Vet ni hur AI-verktyg hanterar er data och var den lagras?Äger ni datan eller nyttjar ni den på leverantörens villkor?

  • Uppdatera policyer:Säkerställ att informationssäkerhetspolicyer täcker IT, OT och även AI

  • Intern revision:Granska efterlevnad löpande, inte bara vid incidenter.


4. Riskbedömning & incidenthantering

  • Gör en gapanalys: Jämför er nuvarande säkerhetsnivå med NIS2-kraven.

  • Tydliga rapporteringsprocesser:

    • Förvarning inom 24 timmar

    • Fördjupad rapport inom 72 timmar

    • Slutrapport inom en månad

  • Utbilda medarbetare:Alla ska veta vem gör vad vid en incident


5. Tekniska säkerhetsåtgärder

  • Stark autentisering:MFA, rollstyrd åtkomst (RBAC), unika administratörskonton.

  • Patchning & sårbarhetshantering:Tydliga rutiner för snabb åtgärd.

  • Segmentering av nätverk: Särskilt viktigt om ni har OT- eller automationssystem.

  • Loggning & övervakning:Kontinuerlig avvikelsedetektion, intte bara brandvägg.

  • Backup & återställning:Regelbundna tester (inte bara kopior).


6. Återhämtningsförmåga

  • Business Continuity Plan (BCP):Beskriv hur verksamheten återställs utan att stoppa drift.

  • Testa scenarier: Simulera t.ex. ransomware, systembortfall eller dataförlust.


Varför detta är viktigt med systemleverantörer

NIS2 kräver att ni har kontroll genom hela ekosystemet. Det innebär att mjukvaru- och molnleverantörer är en del av er säkerhetskedja.


NIS2 flyttar cybersäkerhet från IT-avdelningen till ledningsbordet. Arbetet handlar därför lika mycket om styrning, ansvar, utbildning och kultur som om teknik.


Och därför räcker det inte längre att fråga:

“Är vi säkra?”


Utan snarare :

''Hur väl förberedda är vi när verksamheten utsätts för störning?”

”Hur snabbt kan vi återställa?”

”Vilken del av vår tjänst får absolut inte fallera?”



Vill fördjupa dig i hur Sverige strategiskt stärker sin digitala motståndskraft både ur ett lednings-, säkerhets- och samhällsperspektiv?

Ta del av vår sammanställda analys som du gärna får använda som underlag i din organisation:


Cybersäkerhetsstrategin 2025–2029

En vägledning för ledare, beslutsfattare och digitala samhällsbyggare.





Comments

Commenting on this post isn't available anymore. Contact the site owner for more info.
bottom of page