}

Blogginlägg

Vad är NIS2 och vilka organisationer omfattas av det?  

Medarbetare jobbar med att implementera NIS 2 på sin laptop

NIS2 är ett EU-direktiv som höjer kraven på cybersäkerhet i samhällsviktiga och verksamhetskritiska verksamheter. Syftet är att stärka motståndskraften mot cyberhot - inte bara genom tekniska åtgärder, utan genom tydligare styrning, riskhantering och uppföljning i hela organisationen.

Den 15 januari 2026 blev NIS2 verklighet i praktiken i Sverige genom cybersäkerhetslagen. Det innebär att fler verksamheter än tidigare omfattas och att kraven på ledningsansvar, incidentberedskap och leverantörskedja skärps. 

NIS2 i korthet

  • NIS2 är ett EU-direktiv som syftar till att stärka cybersäkerhet och robusthet.
  • Fokus ligger på styrning, ansvar, riskhantering och uppföljning – inte enstaka punktinsatser.
  • Fler organisationer omfattas jämfört med tidigare NIS-reglering.
  • Kraven berör även leverantörskedjan och hur ni hanterar tredjepartsrisker.
  • Efterlevnad handlar i praktiken om att kunna visa spårbarhet över tid: risker, åtgärder, uppföljning.

Vad är NIS2? 

NIS2 är en uppdatering av EU:s tidigare NIS-direktiv. Det nya direktivet ställer högre krav på hur organisationer arbetar med cybersäkerhet och hur de hanterar incidenter, risker och leverantörer.

Den stora skillnaden är att NIS2 tydligare flyttar cybersäkerhet från att vara en “IT-fråga” till att bli en styrnings- och verksamhetsfråga. Det handlar alltså om både struktur och förmåga, att bygga ett arbetssätt som fungerar över tid.

Här kan du läsa mer om svenska tillämpningen? Läs mer i vår artikel Cybersäkerhetslagen - fem saker att hålla koll på

Vilka omfattas av NIS2? 

NIS2 omfattar alla organisationer som är involverade i samhällsviktiga tjänster, oavsett om de är offentliga eller privata. Det inkluderar allt från stora energibolag och banker till mindre sjukhus och transportföretag. För att avgöra om en organisation omfattas av NIS2 behöver man bedöma verksamhetens betydelse för samhällets funktioner.

Lästips: Så påverkar NIS2-direktivet svensk offentlig sektor

Vad kräver NIS2 i praktiken? 

  • Styrning och ansvar: tydliga roller, mandat och ledningsuppföljning.
  • Riskhantering: identifiera och prioritera risker, samt följa upp åtgärder.
  • Incidentberedskap: etablerade processer för att hantera och rapportera incidenter.
  • Kontroller och uppföljning: rutiner som går att testa och förbättra över tid.
  • Leverantörskedja: kravställning, uppföljning och hantering av tredjepartsrisker.
  • Dokumentation och spårbarhet: kunna visa vad som är beslutat, gjort och uppföljt.

Ladda ner vår checklista för NIS2

Vad betyder NIS2 för ledning och verksamhet?

En viktig konsekvens av NIS2 är att cybersäkerhet behöver bli en del av ordinarie styrning. För många organisationer innebär det att man behöver:

  • Skapa gemensam samsyn om riskbilden
  • Tydliggöra ansvar och uppföljning
  • Etablera strukturer för att kunna visa status, åtgärder och förbättring över tid

Det gör ofta att arbetet behöver samordnas över flera funktioner: IT, informationssäkerhet, compliance, juridik, inköp och verksamhet.

Var börjar man?

Om ni är osäkra på om ni omfattas eller hur ni ska komma igång är en bra start:
  • Klargör omfattning: gäller det här oss direkt eller indirekt?
  • Skapa nulägesbild: risker, styrning och största gap.
  • Prioritera: börja där risk och påverkan är störst.
  • Skapa plan: en roadmap med ansvar och uppföljning.

Smarta prioriteringar för att lyckas med NIS2

nis2 offentlig sektor

Så hjälper Stratsys er med efterlevnad av NIS2

Att styra en komplex organisation och samtidigt hålla jämn takt med ökade regulatoriska krav är ofta en ensam och utmanande uppgift. Med Stratsys får du ett effektivt stöd för att integrera och samordna arbetet i hela organisationen. Upptäck hur Stratsys kan stötta er i arbetet med att uppfylla NIS2-kraven.