NIS2-direktivet och cybersäkerhetslagen 2026
När en cyberincident drabbar en verksamhet blir det sällan ett isolerat IT-ärende. Om ett centralt verksamhetssystem eller en gemensam inloggningstjänst ligger nere påverkas snabbt bemanning, handläggning, beslut och service till invånare.
Den nya cybersäkerhetslagen ska därför förstås som ett krav på att verksamheter har en robust och fungerande struktur för riskhantering, incidentberedskap och leverantörsstyrning, så att verksamheten kan stå stadigt även när något händer.
Varför NIS2 är särskilt viktigt?
En incident är ofta också en förtroendefråga. Om uppgifter läcker eller om driften störs behöver organisationen agera snabbt, korrekt och transparent, utan att förvärra läget. Det kräver förberedda roller, tydliga beslutsvägar och rutiner som är testade i förväg.
Miljödata-incidenten under sensommaren 2025 är ett tydligt exempel på hur sårbarheter kan uppstå i leverantörskedjan, och hur konsekvenserna kan landa brett hos många kommuner och regioner samtidigt. Integritetsskyddsmyndigheten (IMY) har beskrivit att en stor mängd personuppgifter påverkades och senare publicerades på darknet, och myndigheten inledde därefter granskningar kopplade till läckan. IMY:s uppgift är att granska om Miljödata har vidtagit lämpliga tekniska och organisatoriska åtgärder enligt GDPR. Granskningen fokuserar på om de åtgärder som vidtagits gett en säkerhetsnivå som står i rimlig proportion till de risker som är förknippade med personuppgiftsbehandling som sker inom ramen för företagets tjänster.
Vad är NIS2 och vad gäller i Sverige?
Direktiv 2022/2555, även kallat NIS2 är ett EU-direktiv om cybersäkerhet för verksamheter som är viktiga utifrån samhällsfunktioner. I Sverige är direktivet implementerat genom cybersäkerhetslagen (2025:1506) och cybersäkerhetsförordningen (2025:1507). Cybersäkerhetslagen trädde i kraft den 15 januari 2026 och upphäver den tidigare NIS-lagstiftningen genom lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Genom NIS2-direktivet införs tydligare och mer långtgående krav på cybersäkerhet, i syfte att stärka skyddet av kritisk infrastruktur och skapa en säkrare digital miljö för företag och medborgare inom EU.
NIS2 innebär flera betydande förändringar jämfört med det tidigare regelverket. Bland annat skärps kraven på hur verksamheter ska arbeta med riskhantering, och det införs ett mer enhetligt sanktionssystem som gäller i hela EU för dem som inte lever upp till direktivets krav. En viktig nyhet är också att NIS2 omfattar fler sektorer än tidigare, vilket innebär att ytterligare företag och organisationer nu måste vidta lämpliga åtgärder inom exempelvis cyberriskhantering, tester av IT-säkerheten och incidenthantering.
För organisationer innebär detta i praktiken att cybersäkerhet blir ett styrningskrav som innebär att organisationen ska kunna uppvisa att arbetet är riskbaserat, systematiskt och uppföljningsbart med säkerhetsåtgärder och tydlig incidenthantering.
Vilka omfattas?
Kommuner liksom regioner och kommunalförbund omfattas av cybersäkerhetslagen. Lagen gäller även för företag med minst 50 anställda eller med över 10 miljoner euro i omsättning, men vissa mindre företag kan ändå omfattas om de bedöms vara särskilt kritiska för samhället.
Det är varje företags och organisations eget ansvar att bedöma om verksamheten omfattas av reglerna. Påverkan kan uppstå inte bara direkt, utan även indirekt, exempelvis om man är leverantör till en aktör som omfattas av regelverket. På samma sätt behöver företag som själva omfattas av NIS2 säkerställa att underleverantörer som är kritiska för den egna verksamheten lever upp till kraven. NIS2 delar in verksamheter i högkritiska sektorer och andra kritiska sektorer. Högkritiska sektorer är bland annat energi, transport, finansmarknad, dricks- och avloppsvatten och offentlig förvaltning, medan andra kritiska sektorer är bland annat posttjänster, avfallshantering, livsmedel och forskning.
Vad måste finnas på plats?
Utgångspunkten är att säkerhetsarbetet ska vara proportionerligt och baserat på risk. Det betyder att det måste finnas en struktur som gör att organisationen kan prioritera rätt och visa vad som är beslutat, genomfört och uppföljt.
I många organisationer är den praktiska nyckeln att få ihop tre spår som annars lätt lever parallellt:
Styrning och ansvar
Det behöver vara tydligt vem som äger helheten, vem som beslutar om prioriteringar samt hur status och risk rapporteras till ledningen. Cybersäkerhet ska inte drivas som ett sidoprojekt, utan som en del av organisationens ordinarie riskstyrning.
Riskhantering som leder till åtgärder
Riskanalys ska inte stanna i en rapport. Den ska mynna ut i konkreta beslut: vad är mest skyddsvärt, vilka system är mest kritiska, vilka beroenden är mest sårbara och vilka åtgärder ska genomföras först. Här blir dokumentation viktig, eftersom lagen bygger på att arbetet ska gå att följa upp och visa upp.
Leverantörsstyrning och avtal
Leverantörsfrågan behöver vara en del i kärnprocesserna: upphandling, avtalsförvaltning och uppföljning. Organisationen behöver kunna visa att man ställer relevanta krav, följer upp dem och har praktiska rutiner för hur man agerar om en leverantör drabbas av en incident.
Som ett komplement till detta ska även ledningens kompetens säkras. Lagen ställer enligt 2 kap. 4 § krav på att personer i ledningen ska genomgå utbildning om säkerhetsåtgärder. Denna paragraf genomför artikel 20.2 i NIS2-direktivet och innebär en skyldighet för verksamhetsutövaren att säkerställa att detta genomförs. Aktuell tillsynsmyndighet ska vidare enligt 4 kap. 1 § ingripa om en verksamhetsutövare åsidosätter skyldigheten att låta ledningen genomgå utbildning om säkerhetsåtgärder. Utbildningen ska bland annat syfta till att ledningen ska ha tillräcklig kompetens för att kunna identifiera risker och kunna bedöma vilka säkerhetsåtgärder som bör vidtas av verksamhetsutövaren. Vid utbildningen närmare ska omfatta och vilka moment som ska ingå kan variera utifrån vilken verksamhet som bedrivs.
Incidentrapportering: 24 timmar och 72 timmar
Cybersäkerhetslagen innehåller tydliga tidsfrister för hur snabbt betydande incidenter ska hanteras och rapporteras. När en verksamhetsutövare får kännedom om en incident som är eller kan bli betydande ska den ansvariga myndigheten informeras utan dröjsmål och senast inom 24 timmar. En incident anses vara betydande om den har orsakat eller kan orsaka allvarliga störningar i verksamheten eller den erbjudna tjänsten, medföra ekonomisk skada för verksamhetsutövaren, eller på annat sätt orsaka eller riskera att orsaka betydande skada för andra fysiska eller juridiska personer.
Utöver denna initiala rapportering ska verksamhetsutövaren även göra en formell incidentanmälan till samma myndighet. Även denna ska ske så snart som möjligt, men de exakta tidsfristerna varierar beroende på typ av verksamhet. Verksamhetsutövare som tillhandahåller betrodda tjänster måste lämna incidentanmälan senast 24 timmar efter att de fått kännedom om incidenten, medan övriga verksamhetsutövare har upp till 72 timmar på sig att göra motsvarande anmälan.
Det här betyder att kommunen behöver mer än en policy kring cybersäkerhet. Det är nödvändigt med en fungerande larmkedja, tydliga ansvar och mandat att agera, klara kontaktvägar till leverantörer och en tydlig intern process för bedömning, dokumentation och kommunikation. I praktiken behöver kommunen även kunna hantera parallella spår, till exempel personuppgiftsincidenter enligt GDPR, utan att tappa tempo eller skapa motstridiga budskap.
Registrering
En del av regelverket är att verksamhetsutövare ska anmäla sin verksamhet. Detta framgår av 2 kap. 2 § cybersäkerhetslagen som föreskriver att verksamhetsutövare ska så snart det kan ske anmäla sig till den myndighet som regeringen bestämmer.
Anmälan gör att rätt tillsynsmyndighet kan kopplas till er, att kontaktvägar finns på plats och att myndigheter kan agera snabbare vid incidenter och uppföljning. Sker förändringar om förhållanden som redovisats i en anmälan ska verksamhetsutövaren anmäla förändringen så snart det kan ske, dock senast 14 dagar efter det att förändringen ägde rum.
Anmälningstjänsten öppnade 2 februari 2026 och anmälan ska göras snarast. MCF lyfter också att utebliven anmälan kan leda till åtgärder från tillsynsmyndigheter.
För att göra detta smidigt är det klokt att i förväg samla uppgifter som vanligtvis efterfrågas: organisations- och kontaktuppgifter, vilka delar av verksamheten som omfattas samt centrala system och vilka tjänster, plattformar och leverantörer verksamheten är beroende av för att fungera (t.ex. drift/ hosting, molntjänster, identitet och inloggning, nätverk, verksamhetssystem och integrationslösningar).
Vad kan hända vid brister?
Vid brister kan tillsynsmyndigheten begära in uppgifter, genomföra granskningar och meddela förelägganden. Cybersäkerhetslagen ger även tillsynsmyndigheten möjlighet att ingripa med ekonomiska sanktioner vid överträdelser av lagens skyldigheter. Om en verksamhetsutövare inte uppfyller de krav som följer av lagen får tillsynsmyndigheten besluta att ta ut en sanktionsavgift. Sanktionsavgiften ska bestämmas till ett belopp om minst 5000 kronor och högst till olika nivåer beroende på vilken typ av verksamhetsutövare det gäller. För väsentliga verksamhetsutövare får avgiften uppgå till det högsta av antingen 2% av den globala årsomsättningen från närmast föregående räkenskapsår eller ett belopp motsvarande 10 miljoner euro. För viktiga verksamhetsutövare är motsvarande tak det högsta av 1,4% av den globala årsomsättningen eller 7 miljoner euro. För offentliga verksamhetsutövare gäller i stället ett maximalt sanktionsbelopp om 10 miljoner kronor.
Sammanfattning
Cybersäkerhetslagen innebär att verksamheter behöver kunna visa ett fungerande, riskbaserat och ledningsförankrat cybersäkerhetsarbete. Händelser i leverantörskedjan visar varför: incidenter kan börja utanför verksamhetens väggar, men konsekvenserna hamnar snabbt i verksamhetens ansvar. Det som gör störst skillnad är sällan en enskild teknisk lösning, utan tydlig styrning, kontroll på leverantörer och en incidentprocess som håller när klockan börjar ticka.
