NIS2-checklista: 12 steg för svenska företag
NIS2-direktivet ställer nya krav på cybersäkerhet för tusentals svenska organisationer. Den här checklistan ger dig en steg-för-steg-guide med konkreta åtgärder för varje krav, så att du kan ta dig från nuläge till full efterlevnad.
Vad är NIS2 och varför spelar det roll?
NIS2 (Network and Information Security Directive 2) är EU:s uppdaterade cybersäkerhetsdirektiv som ersätter det ursprungliga NIS-direktivet från 2016. Det utökar omfattningen dramatiskt: från cirka 500 till uppskattningsvis 5 000 svenska organisationer.
Till skillnad från GDPR, som fokuserar på personuppgifter, handlar NIS2 om säkerheten i nätverks- och informationssystem. Direktivet kräver konkreta tekniska och organisatoriska åtgärder, incidentrapportering inom 24 timmar och ansvar på ledningsnivå.
Ledningsansvar
NIS2 ställer uttryckliga krav på att ledningen godkänner och övervakar cybersäkerhetsåtgärderna. Styrelseledamöter och VD kan hållas personligt ansvariga vid bristande efterlevnad. Det här är inte bara en IT-fråga.
De 12 stegen till NIS2-efterlevnad
Fastställ om ni omfattas
NIS2 gäller medelstora och stora organisationer inom 18 definierade sektorer. Kontrollera om er verksamhet klassas som "väsentlig" eller "viktig" entitet.
Åtgärd: Kartlägg vilka sektorer ni verkar inom och kontrollera om ni uppfyller storlekskriterierna (50+ anställda eller 10+ MEUR omsättning). Notera att leverantörer till kritisk infrastruktur också kan omfattas.
Genomför en riskbedömning
NIS2 artikel 21 kräver en systematisk riskbedömning av nätverks- och informationssystem. Identifiera tillgångar, hot, sårbarheter och konsekvenser.
Åtgärd: Använd ett ramverk som ISO 27005 eller MSB:s riskanalysmetodik. Dokumentera alla kritiska system, deras beroenden och vilka hot som är mest relevanta för er verksamhet.
Upprätta en cybersäkerhetspolicy
En dokumenterad cybersäkerhetspolicy som är godkänd av ledningen är ett grundkrav. Den ska täcka roller, ansvar, riktlinjer och processer.
Åtgärd: Skriv eller uppdatera policyn så att den inkluderar riskhantering, incidenthantering, åtkomstkontroll, leverantörshantering och kontinuitetsplanering. Säkerställ att styrelsen formellt godkänner den.
Implementera incidenthantering
NIS2 kräver rapportering av betydande incidenter inom 24 timmar (tidig varning), en uppdaterad rapport inom 72 timmar och en slutrapport inom en månad.
Åtgärd: Etablera en incidenthanteringsprocess med tydliga roller, kommunikationsvägar och mallar. Öva processen regelbundet. Identifiera er nationella CSIRT-kontaktpunkt (CERT-SE i Sverige).
Säkra leverantörskedjan
NIS2 lägger stort fokus på supply chain-säkerhet. Ni ansvarar inte bara för er egen säkerhet utan också för att era leverantörer uppfyller grundläggande krav.
Åtgärd: Inventera alla IT-leverantörer och bedöm deras säkerhetsnivå. Inkludera cybersäkerhetskrav i avtal. Genomför regelbundna leverantörsgranskningar.
Implementera åtkomstkontroll
Kontrollera vem som har tillgång till vad. NIS2 kräver principen om lägsta behörighet och stark autentisering.
Åtgärd: Implementera multi-faktorautentisering (MFA) för alla kritiska system. Granska behörigheter kvartalsvis. Använd rollbaserad åtkomstkontroll (RBAC) och SSO där det är möjligt.
Säkerställ kryptering
Data i transit och i vila ska skyddas med adekvat kryptering.
Åtgärd: Kontrollera att alla webbplatser och API:er använder TLS 1.2+. Kryptera databaser och backuper. Använd starka krypteringsalgoritmer och hantera nycklar säkert. Vår SVAR-skanner kontrollerar TLS-konfiguration automatiskt.
Etablera sårbarhetshantering
Regelbunden sårbarhetsskanning och patchhantering är centrala krav i NIS2. Publicera även en security.txt (RFC 9116) för ansvarsfull sårbarhetsrapportering.
Åtgärd: Inför regelbundna säkerhetsscanningar av webbplatser, servrar och applikationer. Etablera en process för att prioritera och åtgärda identifierade sårbarheter inom definierade tidsramar.
Planera för verksamhetskontinuitet
NIS2 kräver planer för att upprätthålla verksamheten vid cyberincidenter, inklusive backup- och återställningsrutiner.
Åtgärd: Upprätta en kontinuitetsplan (BCP) och en katastrofåterställningsplan (DRP). Testa backup-återställning regelbundet. Definiera RPO och RTO för kritiska system.
Utbilda personalen
Mänskliga faktorn är den vanligaste attackvektorn. NIS2 kräver regelbunden cybersäkerhetsutbildning.
Åtgärd: Genomför cybersäkerhetsutbildning för alla anställda minst årligen. Inkludera phishing-simuleringar, lösenordshantering och rutiner vid misstänkta incidenter. Dokumentera genomförda utbildningar.
Registrera er hos tillsynsmyndigheten
Organisationer som omfattas av NIS2 ska registrera sig hos relevant nationell tillsynsmyndighet.
Åtgärd: Identifiera vilken tillsynsmyndighet som ansvarar för er sektor. I Sverige kan det vara MSB, PTS, Energimyndigheten eller annan sektorsspecifik myndighet. Slutför registreringen och utse en kontaktperson.
Övervaka och förbättra löpande
NIS2 är inte en engångsinsats. Direktivet kräver kontinuerlig övervakning, utvärdering och förbättring av säkerhetsåtgärderna.
Åtgärd: Inför regelbundna säkerhetsgranskningar (minst årligen). Använd automatiserade verktyg för löpande övervakning. Uppdatera riskbedömningen vid väsentliga förändringar i verksamheten eller hotbilden.
Sanktioner vid bristande efterlevnad
| Kategori | Maximal sanktionsavgift | Övrigt |
|---|---|---|
| Väsentlig entitet | 10 MEUR eller 2 % av omsättningen | Personligt ledningsansvar |
| Viktig entitet | 7 MEUR eller 1,4 % av omsättningen | Personligt ledningsansvar |
Vanliga frågor om NIS2
Vilka svenska företag omfattas av NIS2?
NIS2 omfattar medelstora och stora företag inom 18 sektorer, inklusive energi, transport, hälso- och sjukvård, digital infrastruktur, IT-tjänster, offentlig förvaltning och tillverkning. Även mindre företag kan omfattas om de levererar kritiska tjänster. I Sverige beräknas uppemot 5 000 organisationer beröras.
Vilka sanktioner innebär NIS2 i Sverige?
Sanktionsavgifter på upp till 10 miljoner EUR eller 2 % av den globala årsomsättningen för väsentliga entiteter. För viktiga entiteter gäller upp till 7 miljoner EUR eller 1,4 % av omsättningen. Ledningen kan hållas personligt ansvarig.
Vad är skillnaden mellan NIS2 och GDPR?
GDPR fokuserar på skydd av personuppgifter medan NIS2 handlar om cybersäkerhet och skydd av nätverks- och informationssystem. De överlappar i viss mån, men NIS2 ställer mer specifika krav på tekniska säkerhetsåtgärder, leverantörshantering och incidentrapportering inom 24 timmar.
När börjar NIS2 gälla i Sverige?
EU:s NIS2-direktiv trädde i kraft den 16 januari 2023 och skulle vara implementerat i nationell lagstiftning senast den 17 oktober 2024. Sverige har haft viss försening men den svenska lagen om cybersäkerhet, baserad på NIS2, är nu antagen. Tillsynsmyndigheterna förväntas börja aktiv tillsyn under 2026.
Börja med en kostnadsfri scanning
Steg 7 och 8 i checklistan kräver att ni kontrollerar er TLS-konfiguration och genomför sårbarhetsscanningar. Vår SVAR-skanner gör detta automatiskt och kostnadsfritt. Få en tydlig bild av ert nuläge på 2 minuter.