Seadot Cybersecurity
EN

NIS-direktivet – grunderna i EU:s regelverk för nät- och informationssäkerhet

NIS var EU:s första gemensamma cybersäkerhetsregelverk (2016/1148) som skärpte krav på riskhantering, säkerhetsåtgärder och incidentrapportering för samhällsviktiga och vissa digitala tjänster. Det ersattes av NIS2 (trädde i kraft i EU 2023; NIS upphävdes 18 okt 2024). 

Vad är NIS-direktivet?

NIS (2016/1148) är EU:s första gemensamma lag för nät- och informationssäkerhet. Det antogs 6 juli 2016, publicerades 19 juli 2016, och skulle vara införlivat i nationell rätt senast 9 maj 2018. Syftet var att höja den gemensamma lägstanivån för cybersäkerhet inom EU. 

Vem omfattades av NIS?

Organisationer som tillhandahåller samhällsviktiga tjänster (t.ex. energi, transport, bank/finans, hälso- och sjukvård, digital infrastruktur) samt vissa digitala tjänster (moln, e-handel, sökmotorer). 

Centrala krav enligt NIS

  • Riskhantering: identifiera och hantera risker i nät- och informationssystem.
  • Säkerhetsåtgärder: både tekniska och organisatoriska (åtkomst, incidenthantering, kontinuitet).
  • Incidentrapportering: rapportera allvarliga incidenter inom tidsfrist.
  • Tillsyn: nationella myndigheter övervakar efterlevnad. 

NIS i Sverige – grunderna

I Sverige införlivades NIS via Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster och tillhörande förordning/föreskrifter. MSB har en central samordnings- och tillsynsroll tillsammans med sektorsmyndigheter. 

Begränsningar i NIS och vägen till NIS2

Erfarenheterna av NIS visade bl.a. varierande tolkningar mellan länder och otydlighet i krav. Därför antogs NIS2 (EU 2022/2555), som:

  • utökar omfattningen (fler sektorer/aktörer),
  • skärper styrnings- och rapporteringskrav,
  • stärker tillsyn och sanktionsmöjligheter,
  • harmoniserar krav inom EU.
    NIS2 trädde i kraft 16 jan 2023; medlemsstaterna skulle införliva senast 17 okt 2024; NIS upphävdes 18 okt 2024.

Läget i Sverige (NIS2)

Svensk NIS2-lagstiftning trädde i kraft 15 januari 2026

Vad betyder detta för företag konkret?

  1. Kartlägg om ni omfattas (sektor, storlek, tjänst).
  2. Gör en gap-analys mot NIS2-kraven och relevanta standarder (t.ex. ISO 27001).
  3. Stärk styrningen: ledningsansvar, roller, policyer, risk- och incidentprocesser.
  4. Höj teknisk nivå: identitet/MFA, loggning/övervakning, backup/återställning, sårbarhetshantering.
  5. Förbered rapportering och tillsyn: mätetal, bevis, incidentflöden, leverantörskrav.

Sammanfattning & nästa steg

NIS lade grunden för EU:s cybersäkerhetsarbete; NIS2 skärper och breddar kraven. Svenska verksamheter bör redan nu göra gap-analys, stärka styrning och teknik, samt förbereda bevis och processer inför svensk NIS2-lag. 

Vanliga frågor

Vad är NIS i enkla ord?

Ett EU-regelverk (2016/1148) som krävde riskhantering, säkerhetsåtgärder och incidentrapportering för samhällsviktiga och vissa digitala tjänster.

Vad är skillnaden mellan NIS och NIS2?

NIS2 har bredare omfattning, tydligare krav, starkare tillsyn/sanktioner och ersätter NIS från 18 okt 2024. 

När gäller NIS2 i Sverige?

Lag och förordning trädde i kraft 15 januari 2026.

Vilka branscher påverkas?

Energi, transport, bank/finans, hälso- och sjukvård, digital infrastruktur m.fl., samt vissa digitala tjänster (moln, e-handel, sök).

Redo att ta nästa steg?

Har du frågor eller vill veta mer om hur Seadot kan hjälpa er organisation? Vi är redo att stötta dig i arbetet med att stärka informationssäkerheten.

Kontakta oss

Email:
info@seadot.se
För generella förfrågningar

Emma Stewén, vice VD
emma@seadot.se
+46 76 601 15 10
För frågor om våra tjänster

Seadot Cybersecurity

Förstärkt digital motståndskraft – när det verkligen gäller

Säkerhetsområden

Våra tjänster

Kontakt

Drottninggatan 29, 111 51 Stockholm

Sidenvävargatan 17, 753 19 Uppsala

Honnörsgatan 14, 352 36 Växjö

+46 766011510

info@seadot.se

Org.nr 5591983977

Copyright 2025, Seadot. All Rights Reserved.