NIS2: Ny cybersäkerhetslag skärper kraven på företag och organisationer

Den 12 juni 2025 presenterade regeringen en lagrådsremiss om en ny cybersäkerhetslag för att införliva NIS2-direktivet i Sverige. Lagrådsremissen utgör sista steget innan en proposition presenteras för riksdagen och om inget oförutsett inträffar träder lagen i kraft den 15 januari 2026.  Här redogör vi för vilka företag och organisationer som berörs, vilka krav som ställs och hur verksamheten i övrigt kan påverkas och behöva förändras som ett resultat av cybersäkerhetslagen.

NIS2 - vad är det? 

NIS2-direktivet beslutades av EU 2022 och är en vidareutveckling av det tidigare direktivet NIS. Med NIS2 vill EU stärka skyddet kring cybersäkerhet och medborgarnas förtroende för viktiga samhällsfunktioner i medlemsländerna och inför därmed ett antal förändringar för företag och organisationer som påverkar deras arbete med riskhantering och cybersäkerhet. 

Regeringens förslag för ökad cybersäkerhet: cybersäkerhetslagen 

Eftersom NIS2 är ett EU-direktiv gäller inte lagstiftningen på nationell nivå, utan kräver att varje medlemsland inkorporerar det i sin egen lagstiftning. För att förbereda sig för införlivandet av NIS2-direktivet i Sverige har en statlig utredning genomförts, SOU 2024:18. Den 12 juni 2025 presenterade regeringen nästa steg för implementeringen av NIS2-direktivet i Sverige, detta i form utav lagrådsremissen om en ny cybersäkerhetslag. Lagrådsremissen utgör sista steget innan en proposition presenteras för riksdagen och om inget oförutsett inträffar kan vi räkna med att lagen träder i kraft den 15 januari 2026.  

Vilka verksamheter berörs av NIS2 och cybersäkerhetslagen? 

NIS2 och cybersäkerhetslagen omfattar både privat, offentlig och ideell sektor. För offentlig sektor innebär det att både kommuner, regioner och de allra flesta statliga myndigheter omfattas av lagstiftningen.  

För privat sektor riktar sig NIS2 främst till medelstora och stora företag. Det innebär att huvudregeln är att bolag som har fler än 50 anställda eller 10 miljoner euro i årsomsättning omfattas. Viktigt att notera är dock att vid beräkning av volymerna ska generellt ett koncernperspektiv anläggas. Det innebär att ett bolag, som i sig själv inte når upp till tröskelvärdena, ändå kan omfattas av lagkraven på grund av en koncerntillhörighet. Modellen innebär att det många gånger är en komplex fråga att avgöra om ett bolag omfattas av NIS2 eller ej. Dessutom kan tillämpningen inom en koncern bli komplicerad. 

Direktivet gäller för branscher som energiförsörjning, tillverkningsindustrin, avfallshantering samt tillverkning av elektronik och maskiner, samt produktion och distribution av till exempel livsmedel och kemikalier. Digital infrastruktur är också en sektor som omfattas, vilket innebär att företag som levererar molntjänster, nätverk och olika typer av säkerhetstjänster kommer omfattas av cybersäkerhetslagen. Fokus i direktivet är dels på cyberincidenter som kan leda till en risk för organisationer, dels incidenter som kan skada eller hindra samhällsfunktioner. Därmed omfattas långt fler än traditionella kritiska infrastrukturorganisationer. 

NIS2 - strängare krav för en säkrare digital värld 

NIS2-direktivet medför betydande förändringar inom riskhantering och cybersäkerhetsåtgärder. Här är några exempel på krav som ställs: 

• Ett riskbaserat och systematiskt arbetssätt avseende informations- och cybersäkerhet generellt. Det innebär i praktiken att alla säkerhetsåtgärder behöver kunna motiveras utifrån en riskanalys och att åtgärderna behöver proportionerliga i förhållande till den identifierade risken.  
• Det systematiska arbetssättet ska kunna demonstreras och behöver därför dokumenteras. För detta är ett ledningssystem en central komponent, oavsett om det utgörs av exempelvis en standard, eller är specifikt för en särskild organisation. 
• För många organisationer kommer även en reell förmågehöjning krävas, exempelvis kopplat till teknisk säkerhet. 
• Systematisk riskhantering där det kan visas att risker kontinuerligt identifieras, analyseras, åtgärdas och följs upp.  
• Samtliga säkerhetsåtgärder ska vara avvägda i relation till bedömd risknivå. Det innebär krav på en medveten implementering av säkerhetsåtgärder. 
• Systematisk kontinuitetshantering för att klara av störningar kopplat till nätverk och informationssystem. 
• Kontroll på vilka som har åtkomst till företagets information och hur informationstillgångar får hanteras. 
• En säker leveranskedja och beredskap för störningar. 
• Krav på snabb rapportering av incidenter för att snabbt kunna agera och åtgärda eventuella intrång eller hot. 
• Personligt ansvar för styrelse och vissa ledningsfunktioner för att lagstiftningen efterlevs. 

Stöd för både regelefterlevnad och ökad motståndskraft 

På PwC har vi aktivt följt utvecklingen av NIS2-direktivet och stöttat våra kunder i deras efterlevnad mot den kommande cybersäkerhetslagen. Vi har bland annat övervakat direktivets utveckling, genomfört gap-analyser och mognadsbedömningar med anpassade åtgärdsplaner, samt stöttat och verifierat kunder i bedömningar om de omfattas av direktivet och kommande nationell lagstiftning eller inte. Allt detta i en mängd olika sektorer och branscher, och för både större och mindre bolag. 

Vi fortsätter att hjälpa våra kunder att navigera genom de komplexiteter som den nya cybersäkerhetslagen innebär och följer den fortsatta lagstiftningsprocessen med stort intresse. Har du frågor hur den nya lagen kan komma att påverka din verksamhet? Hör av dig till Henrik Friang, Jelena Minic och Charlotte Arnell på PwC.