NIS2 och CER – vanliga frågor och svar

NIS2 är ett EU-direktiv som ställer krav på cybersäkerhet för verksamheter som är viktiga för samhället. Kraven avses gälla hela verksamheten, inte bara den samhällsviktiga tjänsten.

Verksamheter delas in i två kategorier:

• väsentliga verksamhetsutövare
• viktiga verksamhetsutövare.

För att veta om er verksamhet omfattas, se vägledning om cybersäkerhetslagen och svara på frågorna i självutvärderingen.

Vägledning om cybersäkerhetslagen

Självutvärdering

Exempel från energisektorn:

Om er verksamhet finns med i bilaga 1 till NIS2-direktivet och har:

• minst 50 sysselsatta eller
• minst 10 miljoner euro i omsättning

... så omfattas ni. Även mindre verksamheter kan komma att omfattas om de är särskilt kritiska, det kommer i så fall att framgå av föreskrifterna. Notera att partner- och anknutna företag påverkar hur storleken ska beräknas, se bilagans artikel 2 och 3 i EUR-Lex - 32003H0361.

EUR-Lex - 32003H0361 - SV (eur-lex.europa.eu)

Det ska dock finnas möjlighet att, under särskilda förutsättningar, undanta partnerföretag eller anknutna företag (se till exempel s. 125-126 i SOU 2024:18).

Nya regler om cybersäkerhet SOU 2024:18 (regeringen.se)

Om ni omfattas av NIS2 ska ni:

• anmäla er som viktig eller väsentlig verksamhetsutövare
• bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete
• vidta tekniska, organisatoriska och driftsrelaterade åtgärder och åtminstone avse punkterna nedan.
• säkerställa utbildning för ledningen och i förekommande fall berörd personal
• rapportera betydande incidenter.

Säkerhetsåtgärderna ska inkludera:

1. strategier för riskanalys och för nätverks- och informationssystemens säkerhet
2. incidenthantering
3. kontinuitetshantering och krishantering
4. säkerhet i leveranskedjan
5. säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem
6. strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna
7. grundläggande praxis för cyberhygien och utbildning i cybersäkerhet
8. strategier och förfaranden för användning av kryptografi samt, vid behov, kryptering
9. personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning
10. och vid behov användning av lösningar för autentisering, säkrade kommunikationer och säkrade nödkommunikationssystem.

För att räkna ut verksamhetens storlek måste ni ta hänsyn till anknutna företag och partnerföretag. Det kan till exempel ha att göra med om ni tillhör en koncern, eller om det finns förbindelse mellan ert bolag och ett annat.

I EU:s rekommendation 2003/361/EG finns det fler aspekter att ta hänsyn till för att bedöma om det finns anknutna företag eller partnerföretag. 

Vi rekommenderar att ta hjälp av EU:s Användarhandledning om definitionen av SMF-företag av Vinnova.

EU:s rekommendation 2003/361/EG (eur-lex.europa.eu)

Användarhandledning om definitionen av SMF-företag (vinnova.se)

När det gäller elladning omfattas verksamhetsutövare av definitionen om ni tillhandahåller en laddningstjänst till slutanvändare, har ansvar för förvaltning och drift samt uppfyller storlekskravet.

Avsikten i NIS2 har ansetts vara att de verksamhetsutövare vars huvudverksamhet är den som räknas upp i bilagorna till direktivet ska omfattas. Det är alltså verksamheter vars primära verksamhet är elproduktion som har avsetts att träffas.

Slutkunder och mindre produktion för eget bruk bedöms därför kunna undantas från direktivets omfattning. Exakt hur detta kommer genomföras i svensk rätt är inte klart men en dialog förs med MSB och förhoppningen är att myndigheternas ställning i frågan kommer framgå i kommande vägledning.

Ja, även fastighetsbolag eller andra verksamheter som inte tillhör en NIS2-sektor men som:

• uppfyller storlekskravet
• producerar el via solpaneler

...kan omfattas. Det är dock ännu osäkert exakt hur detta kommer att regleras i svensk lag. Energimyndigheten har lyft frågan i sitt remissvar och uppdaterar informationen om den ändras.

Enligt propositionen (2025/26:28) syftar utbildningskravet till att ledningen ska få tillräcklig kompetens för att kunna identifiera risker och bedöma vilka säkerhetsåtgärder som bör vidtas i verksamheten.

Exakt hur utbildningen kommer utformas ska framgå av föreskrifter. Myndigheten för samhällsskydd och beredskap (MSB) har fått i uppdrag av regeringen att ta fram föreskrifter som ska förtydliga detta.

Verksamhet som redan omfattas

Om er verksamhet redan omfattas av NIS i någon del, så fortsätt utveckla arbetet där och titta på hur ni kan dra nytta av det i andra delar av organisationen.

Verksamhet som inte omfattas idag

Om er verksamhet inte omfattas av NIS idag, sätt er in i tillämpliga föreskrifter:

• MSBFS 2020:6 föreskrifter om informationssäkerhet för statliga myndigheter (msb.se)
• MSBFS 2018:8 föreskrifter och allmänna råd om informationssäkerhet för leverantörer av samhällsviktiga tjänster (msb.se)
• MSBFS 2018:9 föreskrifter om incidentrapportering (msb.se)
• övriga organisationer: fortsätt utveckla ert systematiska informationssäkerhetsarbete och säkerhetsåtgärder, utgå gärna ifrån nuvarande NIS-reglering.

Enskilda verksamhetsutövare som bedriver säkerhetskänslig verksamhet eller brottsbekämpning omfattas av NIS2 i den delen av verksamheten som inte är säkerhetskänslig eller avser brottsbekämpning. Är ni en verksamhetsutövare som har säkerhetskänslig verksamhet, kan ni alltså behöva anmäla er till oss. 

Bedriver ni däremot enbart säkerhetskänslig verksamhet eller brottsbekämpning eller erbjuder ni enbart tjänster till statliga myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet så kan ni falla utanför NIS2. I sådana fall ska ni inte anmäla er enligt NIS2.

Fjärrvärme definieras enligt EU:s definition som:

"fjärrvärme eller fjärrkyla: distribution av värmeenergi i form av ånga, hetvatten eller kylda vätskor från centrala eller decentraliserade produktionskällor, via ett nät, till flera byggnader eller anläggningar i syfte att värma eller kyla ner utrymmen eller processer."

Inte direkt, men ni kan påverkas indirekt. Verksamhetsutövare som omfattas av NIS2 måste bland annat:

• vidta säkerhetsåtgärder som avser säkerhet i leveranskedjan.

Utredningen föreslår att tillsynsmyndigheterna ska kunna förtydliga kraven om säkerhetsåtgärder i föreskrifter, däribland kravet om säkerhet i leveranskedjan.

Regeringens proposition "Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag" publicerades den 14 oktober 2025.

Preliminärt kommer riksdagen att besluta om den nya cybersäkerhetslagen i december 2025. Regeringen väntas även att besluta om den nya cybersäkerhetsförordningen i december 2025. Den nya lagen och övriga lagändringar föreslås att träda i kraft den 15 januari 2026.  Vi uppdaterar informationen löpande.

Energimyndighetens remissvar till utredningen, remiss för SOU 2024:18 (regeringen.se)

Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag, regeringens proposition 2025/26:28 (regeringen.se)

Tidsplan för NIS2-införandet i Sverige (msb.se)

Det är ännu inte klart hur anmälan ska gå till. Vi återkommer med information så snart vi vet mer.

Prenumerera gärna på vårt nyhetsbrev för att hålla er uppdaterade.

Nyhetsbrev

Cyberhot: Något som kan skada eller störa cybersäkerheten. En potentiell omständighet, händelse eller handling som kan skada eller störa nätverks- och informationssystem, systemanvändare och andra personer.

Incident: Något som påverkat cybersäkerheten. En händelse som undergräver tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller erbjudna tjänster.

Tillbud: Något som kunde ha påverkat cybersäkerheten, men stoppades i tid. En händelse som kunde ha undergrävt tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller erbjudna tjänster, men som framgångsrikt hindrades från att utvecklas eller uppstå.

CER står för Critical Entities Resilience och kompletterar NIS2. Medan NIS2 fokuserar på cybersäkerhet, handlar CER om motståndskraft såsom fysisk säkerhet och personalsäkerhet. Det bygger på samma principer som NIS-regleringen:

• systematiskt riskanalysarbete
• åtgärdsplanering
• incidentrapportering.

Utredningen har föreslagit en ny lag om motståndskraft hos kritiska verksamhetsutövare med tillhörande förordning och föreskriftsbemyndigande för att implementera CER-direktivet.

Verksamheter som identifierats som kritiska ska enligt utredningens förslag:

1. Göra en riskbedömning
   · omfatta alla relevanta risker
   · uppdatera vid behov, minst vart fjärde år
   
   
2. Vidta åtgärder baserat på riskbedömningen:
   · förhindra incidenter
   · reagera på och begränsa konsekvenserna från incidenter
   · skydda lokaler och kritisk infrastruktur
   · säkerställa ändamålsenlig personalsäkerhet
   · öka kunskapen om motståndskraft inom organisationen
   
   
3. Upprätta och tillämpa plan för dessa åtgärder
   
   
4. Rapportera incidenter som kan medföra betydande störningar

Till skillnad från NIS2 finns ingen regel satt utifrån företagets storlek. En verksamhet ska identifieras som kritisk och därmed omfattas av lagen om den:

• tillhandahåller en samhällsviktig tjänst i eller till Sverige genom att ingå i någon av sektorerna i CER-bilagan
• har kritisk infrastruktur i Sverige
• riskerar att orsaka betydande störningar vid incident.

• Utredningen föreslår att lagen ska träda i kraft 1 augusti 2026. 
• Och att tillsynsmyndigheterna senast 17 juli 2026 ska identifiera vilka som omfattas.

Om en verksamhetsutövare meddelats att de utgör en kritisk verksamhetsutövare enligt CER gäller:

• 9 månader för att genomföra riskbedömning
• 10 månader för att uppfylla övriga krav.

Därefter kan Energimyndigheten utöva tillsyn.

Om ni omfattas av CER, omfattas ni automatiskt även av NIS2.