NIS2 – En översikt

Vad innebär NIS2?

NIS2 är EU:s nya cybersäkerhetsdirektiv som syftar till att skydda samhällsviktig och digital infrastruktur från cyberhot. Direktivet ställer krav på robust informationssäkerhet, kontinuitetsplanering, ledningsengagemang och tydlig incidentrapportering.

Cybersäkerhetslagen – Så implementeras NIS2 i Sverige

Sverige inför NIS2 genom Cybersäkerhetslagen, enligt lagrådsremissen “Ett stärkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag” (Ds 2024:14). Lagen väntas träda i kraft den 15 januari 2026 och omfattar både offentliga och privata aktörer.

Nyckelpunkter i lagen:

  • MSB föreslås bli huvudansvarig tillsynsmyndighet
  • Tillsyn sker genom föreskrifter, kontroller och sanktionsmöjligheter
  • Kraven omfattar både väsentliga och viktiga verksamhetsutövare

Incidentrapportering enligt lagrådsremissen

Verksamhetsutövare omfattade av lagen får ett tydligt ansvar för att rapportera betydande incidenter enligt följande steg:

  • Förhandsupplysning – inom 24 timmar: Du ska upplysa tillsynsmyndigheten (troligen MSB) så snart som möjligt – dock senast 24 timmar efter att du fått kännedom om en betydande incident. Denna upplysning ska innehålla en kortfattad sammanfattning av vad som hänt.
  • Incidentanmälan – inom 72 timmar: Inom 72 timmar ska en formell anmälan lämnas in med mer detaljer. För betrodda tjänster (t.ex. e‑signering, e‑ID) är gränsen 24 timmar.
  • Delrapporter – vid behov: Om tillsynsmyndigheten begär det ska du kunna lämna en eller flera statusuppdateringar medan utredningen pågår.
  • Slutrapport – inom 1 månad: En slutrapport ska lämnas senast en månad efter incidentanmälan. Om incidenten fortfarande pågår, ska en lägesrapport lämnas i stället.

Vad räknas som en betydande incident?

Det specificeras inte exakt i lagen – regeringen kommer ge en myndighet (troligen MSB) rätt att utfärda detaljerade föreskrifter. Bedömningen ska ta hänsyn till:

  • Tjänstens tillgänglighet (hur länge, och hur allvarligt påverkat)
  • Ekonomiska konsekvenser
  • Effekter för samhället eller tredje part

Överträdelser som kan leda till ingripande

En tillsynsmyndighet måste ingripa om en verksamhetsutövare åsidosätter följande:

  • Utse företrädare (t.ex. kontaktperson för tillsyn eller samverkan)
  • Göra en anmälan (t.ex. om verksamheten omfattas av lagen)
  • Vidta säkerhetsåtgärder (tekniska, organisatoriska eller fysiska)
  • Genomföra ledningsutbildning (kompetenshöjning på chefsnivå)
  • Rapportera betydande incidenter
  • Informera vid betydande incidenter och cyberhot
  • Följa rättsakter antagna med stöd av NIS 2-direktivet

Vad händer vid överträdelser?

När en verksamhetsutövare inte uppfyller sina skyldigheter enligt den nya lagen (eller tillhörande föreskrifter), så får tillsynsmyndigheten ingripa. Det kan ske genom:

  • Föreläggande: exempelvis att vidta vissa säkerhetsåtgärder inom en viss tid
  • Ansökan om förbud att inneha ledningsfunktion: riktat mot individer i ledningen (gäller ej mot offentlig sektor)
  • Sanktionsavgift: ekonomiskt straff
  • Anmärkning: mildare åtgärd som fortfarande är ett officiellt ingripande

Tillsynsmyndigheten får också avstå från att ingripa om en annan myndighet redan gjort det på ett tillräckligt sätt. Det här minskar risken för dubbelbestraffning.

Sanktionsavgifter

För offentlig sektor gäller: Sanktionsavgift: 5 000 till 10 000 000 kronor, beroende på överträdelsens allvar. Det gäller t.ex. om kommunen, regionen eller myndigheten brustit i att utse företrädare, rapportera en betydande incident, vidta säkerhetsåtgärder, utbilda ledningen, eller informera vid betydande cyberhot.

Vad du bör ha i bakhuvudet:

  • Strikt ansvar: Kommunen kan få betala även vid oavsiktliga fel. Det krävs inte uppsåt eller vårdslöshet.
  • Tillsynsmyndigheten gör bedömningen: Myndigheten avgör om avgift ska tas ut, hur stor den ska vara, och kan kombinera den med andra åtgärder.
  • Inga personliga sanktioner i offentlig sektor: Avgiften riktas mot kommunen som juridisk person, inte mot dig som individ.
  • Kommunstyrelsen ansvarar formellt: Inte nämnderna direkt, utan kommunen som helhet.
  • Avgiften ska vara proportionell: Stora avgifter är reserverade för grova och systematiska överträdelser.