Det här är NIS2-direktivet

NIS2-direktivet syftar till att uppnå en hög gemensam cybersäkerhetsnivå i hela unionen. Jämfört med NIS ställs tydligare krav på bland annat riskanalyser och olika säkerhetsåtgärder. Många fler organisationer kommer också att omfattas. NIS2-direktivet kommer att genomföras i Sverige genom en lag som väntas börja gälla 15 januari 2026.

Information

Den 20-21 oktober hölls Cybersäkerhetskonferensen 2025 med fokus på cybersäkerhet, NIS2-direktivet och aktuell lagstiftning, resiliens, teknikfördjupning, cybersäkerhetsförmåga samt på forskning och innovation. Snart publiceras videor från msb.se

Under hösten och vintern kommer Förslag till nya föreskrifter enligt ny cybersäkerhetslag att publiceras. Mer information om detta finns längre ned på denna sida.

Aktuella webbinarier hittas i kalendern

Tidigare webbinarium

NIS2 ställer tydligare krav på bland annat riskanalyser och olika säkerhetsåtgärder. Direktivet ställer även ökade krav på ledningens deltagande i organisationens cybersäkerhetsarbete. NIS2 innebär också att betydligt fler sektorer omfattas av lagstiftningen jämfört med NIS. Av den anledningen tillkommer fler tillsynsmyndigheter. Sanktionsavgifterna blir även högre än idag i det fall kraven inte efterlevs.

Grundpresentation om NIS2

MSB har tagit fram en presentation som exempelvis du som arbetar i en NIS-verksamhet kan använda när du pratar om NIS2 i din organisation, med bilder och talmanus. Innehållet är fritt att använda och du får gärna lägga till dina egna bilder eller bara använda ett urval av dem, men vi vill inte att du ändrar i själva bilderna.

Viktigt att notera är att presentationen baseras på vad vi vet i juni 2025.

Grundpresentation NIS2 (ppt)

Vad är NIS2?

NIS2-direktivet beslutades av EU i december 2022 och ersätter det NIS-direktiv som började gälla 2018 genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS).

NIS2-direktivet ska införas i svensk lagstiftning genom en ny cybersäkerhetslag. Regeringen har lagt fram en proposition till riksdagen och beslut väntas i december 2025. Lagen föreslås träda i kraft den 15 januari 2026.

Proposition: Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag

En statlig utredning, SOU 2024:18, har lämnat förslag på hur regleringen ska utformas, berörda aktörer har också fått möjlighet att lämna synpunkter på förslaget genom en remiss.

SOU 2024:18

Ansvarsfördelning för NIS2

Den som omfattas av NIS2 kallas verksamhetsutövare. Verksamhetsutövarna finns i 18 olika sektorer. De exakta kriterierna för vilka som ska omfattas i Sverige är inte klara ännu.

För varje sektor ansvarar en eller flera tillsynsmyndigheter för vägledning och tillsyn. Tillsynsmyndigheterna har också rätt att utfärda föreskrifter som reglerar kraven i respektive sektor.

MSB har ett samordningsansvar, på nationell nivå i Sverige gentemot tillsynsmyndigheter och verksamhetsutövare, och på EU-nivå som kontaktpunkt för samarbete med andra medlemsstater. MSB har också i uppdrag att utfärda föreskrifter när det gäller vissa gemensamma aspekter av kravställningen för dem som omfattas. Enligt utredningens förslag kommer MSB att ha en liknande roll för NIS2.

Uppgifter om ni omfattas av NIS2

Den som är verksamhetsutövare enligt NIS2 har i huvudsak följande uppgifter:

  • Identifiera att man omfattas och anmäla sig.
  • Etablera/upprätthålla ett systematiskt arbete med informationssäkerhet, införa lämpliga säkerhetsåtgärder och utbilda ledning såväl som personal.
  • Rapportera in incidenter som medför eller kan medföra betydande störningar.

Verksamhetsutövaren berörs också av tillsyn från tillsynsmyndigheten för den sektor eller de sektorer där man omfattas.

Läs mer om NIS2 för verksamheter

Läs mer om Omfattas verksamheten av NIS2

Läs mer om Att anmäla en verksamhet enligt NIS2

Frågor och svar om NIS-regleringen

EU-direktivet

Förslag till nya föreskrifter

Under hösten och vintern kommer Förslag till nya föreskrifter enligt ny cybersäkerhetslag att publiceras. Alla är välkomna att lämna synpunkter på förslag till nya föreskrifter. Remissen syftar till att förankra och kvalitetssäkra föreskrifterna.

Aktuella remisser

Tidigare under hösten har Förslag till nya föreskrifter om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare enligt ny cybersäkerhetslag varit ute för remiss. Remissperioden är nu slut.

Förslag till nya föreskrifter om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare

CER

Samtidigt som beslutet om NIS2-direktivet kom fattades även beslut om CER-direktivet, båda är två kontinuitetsdirektiv. CER-direktivet ställer krav på all annan verksamhet som måste kunna upprätthållas vid olika typer av störningar för att skapa motståndskraft i samhällsviktig verksamhet. Det kan handla om skydd av fysisk säkerhet som exempelvis lokaler och anläggningar och att rätt personer har åtkomst till dessa.

Läs mer på MSB:s sida om CER-direktivet

Kontakt

Har du frågor till MSB om NIS2 är du välkommen att kontakta vår Cybersäkerhetsrådgivning nedan.

Cybersäkerhetsrådgivning

Vid frågor om CER-direktiven mejla gärna till NIS2-CER@msb.se

Logga med texten Medfinansieras av Europeiska unionen samt loggan för ECCC

Relaterade länkar

Senast granskad: 20 november 2025

Till toppen av sidan