NIS2 är EU:s uppdaterade direktiv för cybersäkerhet, och det påverkar betydligt fler svenska verksamheter än föregångaren. Här går vi igenom grunderna utan juridiskt krångel.

Vad NIS2 är

NIS2 ställer krav på att verksamheter inom viktiga samhällssektorer arbetar systematiskt med cybersäkerhet: riskhantering, incidentrapportering och ett tydligt ansvar hos ledningen. Sverige inför kraven genom en ny cybersäkerhetslag.

Berörs ni?

Fler sektorer omfattas än tidigare, bland annat energi, transport, hälsa, livsmedel, avfall, digital infrastruktur och vissa tillverkare. Även om ni inte omfattas direkt kan ni göra det som underleverantör till någon som gör det, eftersom kraven sprids genom leverantörskedjan.

Tumregel: är ni en leverantör till en större organisation kommer de förr eller senare att ställa säkerhetskrav på er. Att vara förberedd blir en konkurrensfördel.

Vad kraven innebär i praktiken

  • Ett strukturerat arbete med risk och säkerhet, inte enstaka punktinsatser.
  • Rutiner för att upptäcka, hantera och rapportera incidenter inom givna tidsramar.
  • Ledningens ansvar: säkerhet är inte längre bara en IT-fråga.
  • Krav på leverantörer och leverantörskedjan.

Så kommer ni igång

Börja med en nulägesanalys: var står ni idag jämfört med kraven? Därifrån prioriterar ni de åtgärder som ger mest effekt, ofta sådant som ändå höjer er säkerhet rejält, som åtkomststyrning, säkerhetskopior och incidentrutiner. Vi hjälper er reda ut om ni berörs och pekar er åt rätt håll, och samarbetar med specialiserade revisorer där formell granskning krävs.

Vanlig fälla

Att vänta tills någon kräver det. Den som börjar tidigt slipper stressa fram dokumentation i sista stund och kan visa kunder att säkerhet tas på allvar.

NIS2 is the EU's updated cyber security directive, and it affects considerably more Swedish organisations than its predecessor. Here we cover the basics without the legal jargon.

What NIS2 is

NIS2 requires organisations in important sectors of society to work systematically with cyber security: risk management, incident reporting and clear accountability at management level. Sweden implements the requirements through a new cyber security law.

Are you affected?

More sectors are covered than before, including energy, transport, health, food, waste, digital infrastructure and certain manufacturers. Even if you are not covered directly, you may be as a supplier to someone who is, because the requirements spread through the supply chain.

Rule of thumb: if you supply a larger organisation, they will sooner or later place security requirements on you. Being prepared becomes a competitive advantage.

What the requirements mean in practice

  • Structured work on risk and security, not one-off efforts.
  • Procedures to detect, handle and report incidents within set timeframes.
  • Management accountability: security is no longer just an IT matter.
  • Requirements on suppliers and the supply chain.

How to get started

Start with a current-state analysis: where do you stand today versus the requirements? From there you prioritise the measures with the most impact, often things that raise your security significantly anyway, such as access control, backups and incident routines. We help you work out whether you are affected and point you in the right direction, and partner with specialised auditors where formal review is required.

A common trap

Waiting until someone demands it. Those who start early avoid rushing documentation at the last minute and can show customers that security is taken seriously.