Viktiga datum för NIS2-direktivet att hålla koll på
Publicerad: 3 juli 2025
EU:s nya cybersäkerhetsdirektiv – NIS2 – ska införas i svensk lag genom den nya cybersäkerhetslagen. För många verksamheter i både offentlig och privat sektor innebär detta nya krav på säkerhetsåtgärder, incidentrapportering och kontinuitetsplanering. Här är de viktigaste datumen du bör ha koll på.
15 januari 2026: Lagen träder i kraft
Den nya cybersäkerhetslagen föreslås börja gälla från och med 15 januari 2026. Från det datumet blir bestämmelserna rättsligt bindande. Verksamheter som omfattas kommer därefter att ha begränsad tid att uppfylla lagens krav.
CER-direktivet – Motståndskraft i samhällsviktiga tjänster
Detta är ett separat regelverk som syftar till att skydda den fysiska och organisatoriska robustheten hos samhällsviktiga verksamheter.
- 17 januari 2026: Nationell riskbedömning ska vara genomförd. Detta görs av myndigheterna på nationell nivå.
- 17 juli 2026: Identifiering av kritiska verksamheter ska vara klar. Myndigheterna kommer att informera varje aktör som omfattas.
- Våren 2027: Deadline för riskanalys och åtgärdsplan. Senast 9–10 månader efter identifieringsbesked ska varje aktör ha tagit fram en dokumenterad riskanalys, samt en konkret åtgärdsplan.
Detta gäller främst verksamheter som bedriver el, vatten, transport, hälso- och sjukvård, digital infrastruktur, offentlig förvaltning, m.m.
Incidentrapportering från dag 1
Reglerna för incidentrapportering gäller direkt från ikraftträdandet. Det innebär att en betydande incident måste rapporteras:
- Inledande underrättelse: inom 24 timmar efter att man fått kännedom
- Incidentanmälan: senast 72 timmar
- Slutrapport: inom en månad (eller en statusuppdatering om incidenten fortfarande pågår)
Myndighet föreslås kunna begära lägesrapporter under tiden. Vad som räknas som en betydande incident kommer att specificeras i särskilda föreskrifter, men viktiga faktorer är tillgänglighetsproblem för tjänsten, påverkan på samhällsviktiga funktioner eller tredje part, och ekonomiska skador.
Tekniska och organisatoriska åtgärder – inga exakta deadlines, men...
Cybersäkerhetslagen kräver att verksamheter vidtar lämpliga säkerhetsåtgärder. Här ingår bland annat:
- Riskanalyser
- Åtgärdsplaner
- Tillgångsstyrning
- Säker incidenthantering
- Säkerhet i leverantörskedjan
- Kontinuitetsplanering
Även om lagen inte anger ett exakt datum för dessa åtgärder, så kommer tillsynsmyndigheter att granska efterlevnad så snart lagen trätt i kraft. Det är därför klokt att redan nu:
- Göra en gap-analys mot cybersäkerhetslagens krav
- Identifiera brister
- Börja planera för åtgärder
Sammanfattning
| Datum | Vad som sker | Gäller för |
|---|---|---|
| 15 jan 2026 | Cybersäkerhetslagen träder i kraft | NIS2 |
| 17 jan 2026 | Nationell riskbedömning klar | CER-direktivet |
| 17 juli 2026 | Identifiering av kritiska aktörer | CER-direktivet |
| Mars–Maj 2027 | Riskanalys + åtgärdsplan klar | CER-direktivet |
Kom ihåg: NIS2 är ett minimikrav. Många väljer att arbeta mot ISO/IEC 27001 för att få struktur. CER-direktivet (Lagen om motståndskraft) har andra deadlines – mer om det i en separat artikel.
Resurser
På OpenSec.se hittar du nu:
- En steg-för-steg-guide
- Gratis mallar för riskanalys och gap-analys
- Information om vilka verksamheter som kan komma att omfattas
Vill du ha hjälp att komma igång? Kontakta oss eller använd vårt kontaktformulär.