NIS 2-direktivet har trätt i kraft – vad betyder det för din organisation?
Det nya EU-regelverket om nätverks- och informationssäkerhet är nu i full gång. Syftet är att kraftigt stärka cybersäkerheten inom hela unionen. Svenska myndigheter arbetar parallellt med att ta fram en ny cybersäkerhetslag, som de planerar att införa under hösten 2025.
Många företag och organisationer behöver nu vidta både juridiska och tekniska åtgärder – och göra det utan dröjsmål.
Vad förändras med NIS 2-direktivet?
Direktivet NIS 2 (EU 2022/2555) ersätter sin föregångare och innehåller mer långtgående krav. Det omfattar nu fler sektorer – bland annat energi, bankväsende, hälso- och sjukvård, tillverkning samt digital infrastruktur. Målet är att skydda verksamheter som är kritiska för samhällets funktion.
Organisationer som omfattas behöver och behöver agera:
- Rapportera incidenter inom 24 timmar
- Förtydliga ansvarsfördelningen i ledningen
- Säkerställa att leverantörskedjan uppfyller säkerhetskrav
- Utvärdera och förstärka rutiner för informationssäkerhet
Sammantaget krävs ett nytt sätt att arbeta: snabbare reaktioner, tydligare ansvar och högre säkerhetsstandard.
Vad vet vi om den kommande svenska lagen?
Sverige anpassar nu sin lagstiftning till EU-direktivet genom ett förslag till ny cybersäkerhetslag enligt utredningen SOU 2024:18. Lagen innehåller vissa nationella justeringar, men speglar i stort sett direktivets innehåll.
Flera centrala frågor är under analys, bland annat:
- Hur påverkar koncerntillhörighet eller samarbeten bedömningen av om ett företag omfattas?
- Vilka verktyg behöver tillsynsmyndigheterna för att kunna agera effektivt?
- Hur skyddar man mindre aktörer utan att tumma på säkerheten?
Även om lagen träder i kraft först 2025, behöver företag påbörja sina förberedelser redan nu.
Hur påverkar NIS 2 mindre företag?
Företag med färre än 50 anställda eller en årsomsättning under 10 miljoner euro faller oftast utanför direktivets direkta tillämpning.
Större företag ställer nämligen krav på att deras leverantörer och samarbetspartners följer de nya säkerhetsreglerna. Därför behöver även mindre företag stärka sina rutiner, uppdatera avtal och visa att de uppfyller relevanta krav – om de vill behålla sina uppdrag.
Så kommer ni igång med NIS 2-efterlevnad
För att möta kraven i direktivet kan ni börja med följande fem steg:
- Analysera nuvarande cybersäkerhet och identifiera risker
- Förbättra incidenthantering och rapporteringsrutiner
- Revidera avtal med leverantörer och IT-partners
- Klargör och dokumentera ansvarsfördelningen i ledningen
- Genomför utbildningar för medarbetare om nya säkerhetsrutiner
Att agera proaktivt minskar risken för sanktionsavgifter – och stärker samtidigt företagets trovärdighet i affärssammanhang.
Få juridisk hjälp med NIS 2 och cybersäkerhetslagen
På Juridio.se erbjuder vi juridisk expertis inom cybersäkerhetsrätt, offentlig rätt och informationssäkerhet. Vi hjälper er att:
- Bedöma hur NIS 2 påverkar just er verksamhet
- Identifiera rättsliga risker och åtgärdsbehov
- Säkerställa korrekt dokumentation för att uppfylla direktivets krav
Vill ni få stöd i att tolka regelverket eller förbereda er inför den nya lagen?
👉 Kontakta oss via www.juridio.se för skräddarsydd rådgivning – anpassad till er bransch, er struktur och era behov.
