Energimyndigheten Energiberedskap Informations- och cybersäkerhet Säkerhet i nätverk och informationssystem (NIS) NIS2 – vägledning om cybersäkerhetslagen

NIS2 – vägledning om cybersäkerhetslagen

NIS2-direktivet är snart implementerat i svensk lagstiftning. Direktivet sätter minimiregler för cybersäkerhet inom unionen och för samarbete mellan medlemsländerna. 

Vad är NIS?

NIS är en förkortning för "the directive on security of network and information systems", vilket på svenska kan översättas till Nätverks- och informationssystemsdirektivet. Det syftar till att säkerställa en hög och enhetlig nivå av cybersäkerhet inom EU. I Sverige började direktivet gälla i augusti 2018 genom lagen (2018:1174) men kommer att upphävas när NIS2 träder i kraft.

NIS2 är en uppdatering av direktivet och behöver implementeras i svensk lagstiftning innan det börjar gälla. NIS2 förväntas träda i kraft 15 januari 2026 genom en ny cybersäkerhetslag (CSL).

Prenumerera på nyhetsbrev NIS

Vilka omfattas av NIS2?

Om din verksamhet omfattas av NIS2 beror på följande kriterier:

  • Verksamheten ska tillhandahålla eller bedriva verksamhet i Sverige inom de 18 sektorer som specificeras i NIS2.
  • Verksamheten ska även uppfylla ett storlekskrav.

Sektorerna är uppdelade i högkritiska och andra kritiska sektorer. Inom sektorn energi omfattas även delsektorerna elektricitet, fjärrvärme eller fjärrkyla, olja, gas och vätgas.

Väsentliga och viktiga verksamhetsutövare 

För att räknas som väsentlig eller viktig verksamhetsutövare behöver ni uppfylla storlekskravet och storleksmässigt motsvara eller vara större än ett medelstort företag.

Väsentliga verksamhetsutövare

Väsentliga verksamhetsutövare är de som tillhör någon av de högkritiska sektorerna och som överstiger tröskeln för ett medelstort företag. Det innebär att verksamhetsutövaren

  • sysselsätter fler än 250 personer eller
  • har en omsättning som överstiger 50 miljoner euro eller en balansomslutning som överstiger 43 miljoner euro per år.

Viktiga verksamhetsutövare

Viktiga verksamhetsutövare är de som tillhör de högkritiska sektorerna och som är ett medelstort företag. Det innebär att verksamhetsutövaren

  • sysselsätter fler än 50 personer eller
  • har en omsättning eller balansomslutning som överstiger 10 miljoner euro per år.

För att beräkna er verksamhets storlek eller se om verksamheten omfattas av NIS2, använd självutvärderingsverktyget. 

 

Observera

Det vi har beskrivit är huvudregeln. Även verksamhetsutövare som inte uppfyller kraven för ett medelstort företag eller tillhör en viss sektor kan komma att omfattas antingen genom NIS2-föreskrifter eller CER-lagstiftningen.

Verksamhetsutövarens skyldigheter

Det finns ett antal skyldigheter för er som verksamhetsutövare kopplat till NIS2. 

+

Anmäl er till tillsynsmyndigheten

Ni som verksamhetsutövare ska själva identifiera och anmäla er till tillsynsmyndigheten. 

OBS! Det går ännu inte att anmäla sig för NIS2.

+

Vidta säkerhetsåtgärder

Ni ska vidta lämpliga och proportionella säkerhetsåtgärder. Säkerhetsåtgärderna ska minst avse 

  1. strategier för riskanalys och för nätverks- och informationssystemens säkerhet 
  2. incidenthantering 
  3. kontinuitetshantering och krishantering 
  4. säkerhet i leveranskedjan
  5. säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem
  6. strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna
  7. grundläggande praxis för cyberhygien och utbildning i cybersäkerhet
  8. strategier och förfaranden för användning av kryptografi samt, vid behov, kryptering 
  9. personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning 
  10. och vid behov användning av lösningar för autentisering, säkrade kommunikationer och säkrade nödkommunikationssystem.
+

Utbilda

Ledningen ska utbildas inom säkerhetsåtgärder. MSB meddelar föreskrifter om utbildningen.

+

Incidentrapportering och informationsskyldighet

Vid en betydande incident ska ni rapportera till Myndigheten för samhällsskydd och beredskap (MSB):

  • en varning inom 24 timmar
  • en incidentanmälan inom 72 timmar
  • en slutrapport inom en månad
  • en lägesrapport inom en månad om incidenten är pågående. Därefter en slutrapport när incidenten hanterats.

Energimyndigheten är tillsynsmyndighet

Energimyndigheten är tillsynsmyndighet och utövar tillsyn över NIS2 och att föreskrifterna följs. Energimyndigheten får

  • meddela förelägganden
  • ansöka om förbud att inneha ledningsfunktion
  • utfärda sanktioner.

Sanktioner

Om en verksamhetsutövare brister i att följa skyldigheterna får Energimyndigheten besluta att ta ut en sanktionsavgift. Sanktionsavgiften ska uppgå till lägst 5000 kronor för både viktiga och väsentliga verksamhetsutövare.

+

För väsentliga verksamhetsutövare

Sanktioner på upp till 2 % av den totala globala årsomsättningen närmast föregående räkenskapsår eller 10 miljoner euro (det som blir högst).

+

För viktiga verksamhetsutövare

Sanktioner på upp till 1,4 % av den totala globala årsomsättningen närmast föregående räkenskapsår eller 7 miljoner euro (det som blir högst).

Senast uppdaterad: 2025-11-05