EU:s NIS2-direktiv skulle vara infört i alla medlemsländer i oktober 2024.
Men Sverige hör till de 19 länder som fått en ”reasoned opinion” från EU-kommissionen för fördröjd implementering.
Pernilla Rönn, cybersäkerhetsexpert, HiQ
Bara ungefär hälften av EU-länderna har hittills genomfört direktivet fullt ut. En ny svensk cybersäkerhetslag, som ska omsätta NIS2, väntas nu träda i kraft 15 januari 2026, över ett år efter transpositionsdeadlinen 17 oktober 2024. Den innebär nya krav på riskhantering, rapportering och styrning för samhällskritiska verksamheter och deras leverantörer.
HiQ:s cybersäkerhetsexperter följer utvecklingen nära och stöttar organisationer i arbetet med att tolka kraven och förbereda sig inför den kommande svenska lagen.
– NIS2 handlar inte bara om nya krav. Det är ett tydligt skifte i hur Europa vill se att cybersäkerhet styrs och prioriteras. Många av våra grannländer är redan igång och det är nödvändigt för svenska verksamheter att på allvar börja se över sin efterlevnad även om den svenska cybersäkerhetslagen inte är på plats ännu, säger Pernilla Rönn, affärsområdesansvarig för cybersäkerhet på HiQ.
Sveriges försening beror på en utdragen lagstiftningsprocess. Samtidigt har länder som Danmark och Finland redan infört sina motsvarigheter och kräver full efterlevnad av NIS2.
Inför ikraftträdandet bör svenska verksamheter bland annat göra en nulägesanalys mot NIS2-kraven, stärka IT-styrning och incidenthantering, utbilda styrelse och ledning samt ställa tydligare krav på leverantörer.
En viktig del av NIS2 är dessutom ledningens ansvar. Direktivet kräver att styrelse och ledning godkänner och övervakar säkerhetsåtgärderna och kan hållas ansvariga vid allvarliga brister och riskerar administrativa sanktioner vid grova överträdelser, till exempel tillfälliga förbud att ha ledningsuppdrag.
NIS2 anger också höga sanktionsnivåer för bolag. För ”essential entities”, den mest väsentliga kategorin som träffas av lagen, ska medlemsstater kunna utdöma avgifter på minst 10 miljoner euro eller 2 procent av global omsättning, och för stora bolag kan det innebära betydligt större belopp.
– Vi ser ett tydligare fokus på ansvar, kompetens och beslutsförmåga i ledningen samtidigt som finansiella incitament blir rejält åtskruvade. Allt detta innebär att cybersäkerhet behöver vara en strategisk ledningsfråga, det blir ännu tydligare med NIS2, avslutar Pernilla Rönn.
