NIS2 och CER – vanliga frågor och svar

NIS2 är ett EU-direktiv som ställer krav på cybersäkerhet för verksamheter som är viktiga för samhället. Kraven avses gälla hela verksamheten inte bara den samhällsviktiga tjänsten.

Verksamheter delas in i två kategorier:

• Väsentliga verksamhetsutövare
• Viktiga verksamhetsutövare

För att veta om din verksamhet omfattas, se vägledning och självskattning.

Självutvärdering

Exempel från energisektorn:

Om din verksamhet finns med i bilaga 1 till NIS2-direktivet och har:

• Fler än 50 sysselsatta eller
• Mer än 10 miljoner euro i omsättning

... så omfattas ni. Även mindre verksamheter kan komma att omfattas om de är särskilt kritiska och det kommer i så fall att framgå av föreskrifter. Partner- och anknutna företag påverkar hur storleken ska beräknas, se bilagans artikel 2 och 3 i EUR-Lex - 32003H0361 - SV.

EUR-Lex - 32003H0361 - SV (eur-lex.europa.eu)

Det ska dock finnas möjlighet att, under särskilda förutsättningar, undanta partnerföretag eller anknutna företag (se ex. s. 125-126 i SOU 2024:18).

Om ni omfattas av NIS2 ska ni:

• Anmäla er som viktig eller väsentlig verksamhetsutövare
• Bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete
• Vidta tekniska, organisatoriska och driftsrelaterade åtgärder och åtminstone avse punkterna nedan.
• Säkerställa utbildning för ledningen och i förekommande fall berörd personal
• Rapportera betydande incidenter

Säkerhetsåtgärderna ska enligt lagrådsremissen inkludera:

1. strategier för riskanalys och för nätverks- och informationssystemens säkerhet
2. incidenthantering
3. kontinuitetshantering och krishantering,
4. säkerhet i leveranskedjan,
5. säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem,
6. strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna,
7. grundläggande praxis för cyberhygien och utbildning i cybersäkerhet,
8. strategier och förfaranden för användning av kryptografi samt, vid behov, kryptering,
9. personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning,
10. och vid behov användning av lösningar för autentisering, säkrade kommunikationer och säkrade nödkommunikationssystem.

EU har en användarhandledning för definition av SME-företag.

Användarhandledning om definitionen av SMF-företag - Publications Office of the EU (europa.eu)

Om ni ligger precis på gränsen till SME, avgörs det enligt värden som kvarstår under två på varandra följande år.

Ja, även fastighetsbolag eller andra verksamheter som inte tillhör en NIS2-sektor men som:

• Uppfyller storlekskravet
• Producerar el via solpaneler

...kan omfattas. Det är dock ännu osäkert exakt hur detta kommer att regleras i svensk lag. Energimyndigheten har lyft frågan i sitt remissvar och uppdaterar informationen om den ändras.

Fjärrvärme definieras enligt NIS2 som “Operatörer av fjärrvärme eller fjärrkyla enligt definitionen i artikel 2.19 i Europaparlamentets och rådets direktiv (EU) 2018/2001”. Definitionen i artikel 2.19 är i sin tur: “fjärrvärme eller fjärrkyla: distribution av värmeenergi i form av ånga, hetvatten eller kylda vätskor från centrala eller decentraliserade produktionskällor, via ett nät, till flera byggnader eller anläggningar i syfte att värma eller kyla ner utrymmen eller processer.”.

Inte direkt, men ni kan påverkas indirekt. Verksamhetsutövare som omfattas av NIS2 måste:

• Analysera risker i leveranskedjan
• Vidta riskhanteringsåtgärder avseende säkerhetsaspekter som rör sina förbindelser med direkta leverantörer/tjänsteleverantörer

Utredningen föreslår att tillsynsmyndigheterna ska kunna förtydliga kraven om riskhanteringsåtgärder i föreskrifter, däribland kravet om säkerhet i leveranskedjan.

Lagrådsremissen publicerades under juni 2025 och regeringens proposition väntas efter sommaren. Lagrådsremissen föreslår att den nya lagen ska träda i kraft 15 januari 2026. Vi håller er uppdaterade här på energimyndigheten.se så snart vi vet mer.

Se Energimyndighetens remissvar till Utredningen: 

Remiss för SOU 2024:18 (regeringen.se)

Det är ännu inte klart hur anmälan ska gå till. Vi inväntar regeringens proposition och håller er uppdaterade längs vägen.

Prenumerera gärna på vårt nyhetsbrev för att hålla er uppdaterade.

Nyhetsbrev

Cyberhot: Något som kan skada eller störa cybersäkerheten. En potentiell omständighet, händelse eller handling som kan skada eller störa nätverks- och informationssystem, systemanvändare och andra personer.

Incident: Något som påverkat cybersäkerheten. En händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller erbjudna tjänster.

Tillbud: Något som kunde ha påverkat cybersäkerheten, men stoppades i tid. En händelse som kunde ha undergrävt tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller erbjudna tjänster, men som framgångsrikt hindrades från att utvecklas eller uppstå.

CER står för Critical Entities Resilience och kompletterar NIS2. Medan NIS2 fokuserar på cybersäkerhet, handlar CER om motståndskraft såsom fysisk säkerhet och personalsäkerhet. Det bygger på samma principer som NIS-regleringen:

• Systematiskt riskanalysarbete
• Åtgärdsplanering
• Incidentrapportering

Utredningen har föreslagit en ny lag om motståndskraft hos kritiska verksamhetsutövare med tillhörande förordning och föreskriftsbemyndigande för att implementera CER-direktivet.

Verksamheter som identifierats som kritiska ska enligt utredningens förslag:

1. Göra en riskbedömning
   · Omfatta alla relevanta risker
   · Uppdateras vid behov, minst vart fjärde år
   
   
2. Vidta åtgärder baserat på riskbedömningen:
   · Förhindra incidenter
   · Reagera på och begränsa konsekvenserna från incidenter
   · Skydda lokaler och kritisk infrastruktur
   · Säkerställa ändamålsenlig personalsäkerhet
   · Öka kunskapen om motståndskraft inom organisationen
   
   
3. Upprätta och tillämpa plan för dessa åtgärder
   
   
4. Rapportera incidenter som kan medföra betydande störningar

Till skillnad från NIS2 finns ingen regel satt utifrån företagets storlek. En verksamhet ska identifieras som kritisk och därmed omfattas av lagen om den:

• Tillhandahåller en samhällsviktig tjänst i eller till Sverige genom att ingå i någon av sektorerna i CER-bilagan
• Har kritisk infrastruktur i Sverige
• Riskerar att orsaka betydande störningar vid incident

• Utredningen föreslår att lagen ska träda i kraft 1 augusti 2025
• Och att tillsynsmyndigheterna senast 17 juli 2026 ska identifiera vilka som omfattas

Om en verksamhetsutövare meddelats att de utgör en kritisk verksamhetsutövare enligt CER gäller:

• 9 månader för att genomföra riskbedömning
• 10 månader för att uppfylla övriga krav

Därefter kan Energimyndigheten utöva tillsyn.

Om ni omfattas av CER, omfattas ni automatiskt även av NIS2.