NIS2-direktivet och cybersäkerhetslagen – så påverkas du
Vad innebär NIS2 och den nya cybersäkerhetslagen?
NIS-direktiven syftar till att skapa en hög gemensam säkerhet avseende informations- och it-säkerhet inom EU. Det första direktivet antogs 2016. Sedan dess har informations- och nätverkssystem blivit än mer centrala och nödvändiga för att såväl människors vardagsliv, näringsliv och grundläggande samhällsfunktioner ska fungera. Samtidigt har också hotbilden mot dessa system höjts, och incidenter har både ökat och blivit mer omfattande och sofistikerade. Genom att fastställa tydliga regler och krav för cybersäkerhet bidrar NIS2-direktivet till att skydda kritisk infrastruktur och främja en trygg digital miljö för företag och medborgare i EU.
Cybersäkerhetslagen gäller från och med 15 januari 2026
NIS2-direktivet har nu implementerats som svensk lag genom cybersäkerhetslagen (CSL), som trädde i kraft 15 januari, 2026. Föreskrifterna om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare gäller från och med den 2 februari 2026. Ytterligare föreskrifter väntas under våren 2026.
NIS2 medför ett antal viktiga förändringar inom cybersäkerhet. Kraven på organisationers riskhantering skärps, och sanktioner kan tillämpas inom hela EU för aktörer som inte uppfyller regelverket.
Direktivet omfattar dessutom fler sektorer än tidigare. Organisationer som nu inkluderas behöver säkerställa att de har ändamålsenliga processer och tekniska säkerhetsåtgärder på plats, exempelvis inom hantering av cyberrisker, penetrationstestning och incidenthantering. Organisationer som inte följer kraven riskerar betydande ekonomiska påföljder baserade på global omsättning.
Cybersäkerhetslagen (NIS2) – vad gäller nu?
PwC:s experter Henrik Petré, ansvarig för Cyber Security, och Charlotte Arnell, rådgivare inom digitaliseringsjuridik, ger en aktuell uppdatering om cybersäkerhetslagen (NIS2). De går igenom vad som gäller nu när lagen är på plats, vilka verksamheter som omfattas och vad organisationer konkret behöver göra för att stärka sin cybersäkerhet och möta de nya kraven.
Vill du ha hjälp med regelverket cybersäkerhetslagen (NIS2)?
Vår rekommendation är att se NIS2-direktivet och cybersäkerhetslagen som en möjlighet att stärka och utveckla ert cybersäkerhetsarbete, oavsett nuvarande mognadsnivå inom digital och operativ motståndskraft.
Så arbetar du vidare med NIS2-direktivet och den svenska cybersäkerhetslagen (CSL)
Bedöm om du kommer att omfattas av NIS2-direktivet och cybersäkerhetslagen
Identifiera luckor i förhållande till direktivets krav
Utforma ett starkt ramverk för cybersäkerhet som inkluderar organisatoriska och tekniska åtgärder
Implementera både organisatoriska och tekniska åtgärder i din organisation
Ha övervakningsmekanismer på plats för att kontinuerligt bedöma dina åtgärder
Kontakta oss
Kontakta oss så hjälper vi dig ta reda på nästa steg.
Cybersäkerhetslagen skärper kraven på cybersäkerhet
Cybersäkerhetslagen påverkar företags och myndigheters policies, processer och strategier för cyber- och informationssäkerhet. Lagen innebär skärpta krav på säkerhetsarbete och syftar till en mer enhetlig och högre säkerhetsnivå inom EU. Organisationer som omfattas behöver arbeta strukturerat med riskhantering, intern kontroll, övervakning och incidenthantering för att uppfylla de krav som nu gäller.
Cybersäkerhetslagen och NIS2-direktivet påverkar fler företag och samhällsfunktioner
Lagen innebär att fler företag och samhällsfunktioner än tidigare omfattas av krav på cyber‑ och informationssäkerhet. EU:s ambition är att säkerställa att organisationer som fyller viktiga samhällsfunktioner uppfyller en gemensam säkerhetsnivå. Det innebär att regelverket även omfattar sektorer som livsmedelsproduktion, avfallshantering och andra delar av försörjningskedjan.
Fokus ligger på cyberincidenter som kan innebära risker för organisationer eller påverka samhällsviktiga funktioner. Därför sträcker sig omfattningen längre än traditionellt definierad kritisk infrastruktur.
Exempelvis inom energisektorn, begränsades tillämplighetsområdet enligt NIS till företag som producerade eller levererade el‑ och naturgas. Med NIS2 omfattas nu även delar av leveranskedjan, exempelvis tillverkare av vindkraftskomponenter och operatörer av laddinfrastruktur för elfordon.
Läs mer om PwC:s techallianser och partnerskap
Läs mer om cybersäkerhet
Väsentliga sektorer och viktiga sektorer
Cybersäkerhetslagen och NIS2-direktivet skiljer mellan väsentliga sektorer och viktiga sektorer (se alla sektorer i tabellen nedan). Den största skillnaden mellan de två är att aktörer inom viktiga sektorer riskerar lägre ekonomiska påföljder och i huvudsak kommer att omfattas av reaktiv tillsyn, medan aktörer inom väsentliga sektorer kan drabbas av högre ekonomiska påföljder och omfattas av proaktiv tillsyn från tillsynsmyndigheterna.
Vilka omfattas av cybersäkerhetslagen (NIS2)?
Företag eller organisationer som sysselsätter fler än 49 personer
Företag eller organisationer med omsättning eller balansomslutning som överstiger 10 miljoner euro per år och tillhör någon av sektorerna som listas nedan.
De allra flesta statliga myndigheter, regioner och kommuner (oavsett storlek).
PwC-podden: Cybersäkerhet och NIS2
Hur påverkas ditt företag eller organisation av NIS2? Vilka förändringar kan du behöva göra? Våra gästande experter, Marie Strömberg och Henrik Petré, reder ut begreppen.
