Styrelserum och digital säkerhetsstruktur som symboliserar NIS2-krav, riskstyrning och incidentberedskap.

NIS2 2026: vad måste vara på plats nu

/ Okategoriserade / Av

NIS2 2026: vad måste vara på plats nu

Kort svar: Cybersäkerhetslagen gäller sedan den 15 januari 2026. Den inför NIS2 i Sverige. Om er verksamhet omfattas behöver ni nu kunna visa fem saker: att ni vet om lagen gäller för er, att ledningen har ansvar, att risker är bedömda, att incidenter kan rapporteras och att åtgärder är dokumenterade.

Det räcker inte med en allmän IT-policy. Ni behöver kunna visa hur arbetet styrs. Ni behöver också visa vilka beslut som har fattats och hur ni följer upp arbetet.

Varför frågan är viktig nu

Den 15 januari 2026 började den nya cybersäkerhetslagen att gälla i Sverige. Lagen bygger på EU:s NIS2-direktiv. Den ställer högre krav på många verksamheter inom viktiga och digitala sektorer.

Myndigheten för civilt försvar, tidigare MSB, beskriver att fler organisationer omfattas än tidigare. Kraven skärps också. Det gäller bland annat riskarbete, säkerhetsåtgärder, incidentrapportering och ledningens ansvar.

För verksamheter som omfattas är frågan därför enkel: vad behöver vara klart nu? Den som väntar riskerar att halka efter. Det gäller särskilt ansvar, dokumentation och incidentberedskap.

För en samlad översikt över regelverket kan du läsa mer om NIS2-rådgivning för svenska verksamheter.

Vad reglerna kräver i praktiken

Cybersäkerhetslagen gäller för vissa verksamheter inom utpekade sektorer. Det första steget är därför att avgöra om lagen gäller för er. Den bedömningen bör dokumenteras.

Om ni omfattas behöver ni visa att cybersäkerhet hanteras på ett ordnat sätt. Arbetet ska också utgå från risk. Det betyder att ni behöver:

  • identifiera vilka tjänster, system och leverantörer som är kritiska
  • bedöma hot, sårbarheter och konsekvenser
  • besluta om säkerhetsåtgärder utifrån risk
  • fördela roller, mandat och ansvar
  • följa upp åtgärder och dokumentera resultat
  • ha en fungerande process för incidentrapportering

Arbetet bör hänga ihop med er befintliga informationssäkerhet. För många är systematiskt informationssäkerhetsarbete enligt ISO 2700x en bra grund. Cybersäkerhetslagen har dock egna krav som också måste hanteras.

Ledningens ansvar går inte att delegera bort

En tydlig förändring med NIS2 är ledningens ansvar. Ledningen ska styra cybersäkerhetsarbetet. Arbetet ska vara systematiskt, riskbaserat och en del av den vanliga styrningen.

Det betyder att styrelse, vd och ledningsgrupp behöver få bra underlag. De behöver också kunna visa vilka mål, resurser och prioriteringar de har beslutat om.

I praktiken bör ledningen minst ha:

  • en dokumenterad NIS2- eller cybersäkerhetsagenda
  • beslut om ansvarig funktion, exempelvis CISO eller informationssäkerhetsansvarig
  • återkommande rapportering om risker och åtgärder
  • en beslutad incidenteskaleringsmodell
  • utbildning som gör att ledningen kan förstå och bedöma cybersäkerhetsrisker

Evertrusts rekommendation är att behandla NIS2 som en ledningsfråga. Det är inte bara ett IT-projekt. Vid tillsyn blir beslut, riskunderlag och bevis ofta avgörande.

Incidentrapportering behöver vara testad

Cybersäkerhetslagen har krav på incidentrapportering. Enligt Myndigheten för civilt försvar ska betydande incidenter rapporteras. En incident kan till exempel påverka sekretess, riktighet eller tillgång till system.

Myndigheten anger också att föreskrifter om incidentrapportering börjar gälla den 1 juli 2026. Fram till dess används tillfälliga lösningar på vissa delar.

Det viktiga är att ni redan nu vet:

  • vem som bedömer om en incident är betydande
  • vem som beslutar om rapportering
  • vilka uppgifter som behöver samlas in
  • hur juridik, IT, kommunikation och ledning samverkar
  • hur NIS2-rapportering samordnas med eventuell GDPR-rapportering

Ett vanligt misstag är att behandla NIS2-incidenter som GDPR-incidenter. De kan överlappa. Men reglerna har olika syften och olika krav.

Evertrusts kommentar

Den största NIS2-risken under 2026 är inte att policyn är ofullständig. Den större risken är att organisationen inte kan visa hur den har tänkt.

Vid tillsyn behöver ni kunna förklara era val. Varför omfattas ni, eller varför gör ni inte det? Vilka system är kritiska? Vilka leverantörer är viktiga? Hur har ledningen prioriterat?

Ett bra NIS2-arbete bör därför ge en tydlig kedja:

omfattningsbedömning -> riskanalys -> beslut -> åtgärder -> uppföljning -> incidentberedskap -> förbättring.

Om kedjan saknas räcker det sällan att enskilda tekniska kontroller ser bra ut.

Checklista: detta bör finnas på plats nu

1. Omfattningsbedömning

Dokumentera om lagen gäller för er. Ange också sektor, delsektor och vilka tjänster bedömningen gäller.

2. NIS2-gap-analys

Jämför nuläget med lagens krav. En gap-analys för cybersäkerhetslagen bör leda till tydliga åtgärder, ansvariga personer och tidsplan.

3. Ledningsbeslut

Se till att ledningen beslutar om mål, resurser, ansvar och uppföljning.

4. Riskbaserat säkerhetsarbete

Identifiera kritiska system, tjänster och leverantörer. Riskanalysen ska förklara varför ni har valt vissa säkerhetsåtgärder.

5. Incidentprocess

Skapa en process för att upptäcka, bedöma och rapportera incidenter. Testa processen innan en verklig incident inträffar.

6. Leverantörskontroll

Kartlägg leverantörer som påverkar kritiska tjänster. Se till att avtal täcker säkerhetskrav, incidentinformation och underleverantörer.

7. Bevisning och dokumentation

Spara beslut, riskbedömningar, åtgärdsplaner, övningar och utbildningar. Efterlevnad behöver kunna visas, inte bara beskrivas.

8. Utbildning

Se till att ledning och viktiga funktioner förstår sin roll. Utbildningen bör kopplas till era faktiska risker.

9. Praktiskt verktygsstöd

För verksamheter som vill samla kontroller, ansvar och uppföljning kan praktiskt stöd för NIS2-efterlevnad vara ett sätt att komma vidare.

Vanliga misstag

Att vänta på mer vägledning

Föreskrifter och vägledning kan ändras under 2026. Men grundarbetet kan inte vänta. Omfattning, ansvar, risker och incidentberedskap behöver hanteras nu.

Att göra NIS2 till en ren IT-fråga

Cybersäkerhetslagen kräver styrning, ansvar och uppföljning. IT är viktigt. Men juridik, inköp, ledning och verksamhet behöver också vara med.

Att sakna leverantörsperspektiv

Många incidenter påverkas av leverantörer. NIS2-arbetet bör därför omfatta outsourcing, molntjänster och andra viktiga beroenden.

Att inte samordna med GDPR

En cybersäkerhetsincident kan också vara en personuppgiftsincident. Ni behöver veta när GDPR-processen och NIS2-processen ska löpa parallellt.

Rekommenderade nästa steg

Svenska verksamheter bör nu prioritera tre saker. Avgör om lagen gäller för er. Skapa en tydlig åtgärdsplan. Se till att ledningen får rätt underlag. Därefter bör ni testa incidentprocessen och granska leverantörerna.

Evertrust kan hjälpa till med juridisk rådgivning inom dataskydd och cybersäkerhet. Det kan till exempel gälla omfattningsbedömning, gap-analys, styrdokument, incidentrutiner och ledningsunderlag.

FAQ

Gäller NIS2 redan i Sverige?

Ja. NIS2 genomförs i Sverige genom cybersäkerhetslagen. Den gäller sedan den 15 januari 2026. Den praktiska frågan är om lagen gäller för er verksamhet.

Måste alla incidenter rapporteras?

Nej. Verksamheter ska rapportera betydande incidenter. Bedömningen ska göras utifrån cybersäkerhetslagen och aktuella föreskrifter.

Vad behöver ledningen göra?

Ledningen behöver styra arbetet. Den ska besluta om resurser och ansvar. Den ska också följa upp risker och åtgärder. Beslut bör dokumenteras.

Är NIS2 samma sak som GDPR?

Nej. NIS2 och GDPR har olika syften. NIS2 handlar om cybersäkerhet. GDPR skyddar personuppgifter. Samma incident kan ändå beröra båda regelverken.

Hur visar man att verksamheten följer cybersäkerhetslagen?

Genom dokumenterad bedömning, riskanalys, beslutade åtgärder, tydliga roller, incidentprocesser, leverantörskontroll, utbildning och uppföljning.

Glöm inte att hålla kontakten

Chatta med oss
Chatta direkt med vår trevliga VD Jesper. Klicka på Jesper längst till höger i ditt webbläsarfönster.
Maila

info@evertrust.se

Slå en signal

+46702 16 35 75

Ställ din fråga här så återkommer vi så snart vi kan.

You are currently viewing a placeholder content from HubSpot. To access the actual content, click the button below. Please note that doing so will share data with third-party providers.

Unblock content Accept required service and unblock content
More Information

Vi hjälper ditt företag att anpassa och implementera nya regelverk i syfte att skapa effektiva processer, regelefterlevnad och påtagliga affärsfördelar. GDPR, dataskyddsförordning, regelverk och efterlevnad. Vi gör det hela mer lättbegripligt.

Tjänster
Trustview
Expertis
Address
Kungsgatan 8, 111 43 Stockholm
Chat
Kontakta oss via chatten
Telefon

+46 702 16 35 75

E-post

info (@) evertrust.se

Linkedin Instagram
Copyright © 2026 Evertrust Consulting
Sök
Stäng denna sökruta.
Rulla till toppen

You are currently viewing a placeholder content from HubSpot. To access the actual content, click the button below. Please note that doing so will share data with third-party providers.

Unblock content Accept required service and unblock content
More Information

You are currently viewing a placeholder content from HubSpot. To access the actual content, click the button below. Please note that doing so will share data with third-party providers.

Unblock content Accept required service and unblock content
More Information

You are currently viewing a placeholder content from HubSpot. To access the actual content, click the button below. Please note that doing so will share data with third-party providers.

Unblock content Accept required service and unblock content
More Information