Tillbaka till nyheter
Post date 9 januari 2026

Nu träder NIS2 och CER ikraft

Informationssäkerhet
Profilbild
David Börjesson
VD & verksamhetskonsult

NIS2-direktivet har som mål att säkerställa en hög och enhetlig nivå av cybersäkerhet inom hela Europeiska unionen. Jämfört med det tidigare NIS-direktivet införs mer långtgående och tydligt definierade krav, bland annat avseende riskanalyser, säkerhetsåtgärder och styrning. Direktivet omfattar dessutom ett betydligt större antal organisationer än tidigare.

I Sverige kommer NIS2 att införas genom en ny cybersäkerhetslag som träder i kraft den 15 januari 2026.

Vad är NIS2?
NIS2-direktivet antogs av EU i december 2022 och ersätter det tidigare NIS-direktivet, som infördes 2018 genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

Genomförandet i svensk rätt sker via en ny cybersäkerhetslag som börjar gälla den 15 januari 2026. Beslut om lag och tillhörande förordning fattades i december 2025.

Ansvarsfördelning enligt NIS2
Organisationer som omfattas av NIS2 benämns verksamhetsutövare. Dessa återfinns inom 18 olika sektorer. De exakta kriterierna för vilka verksamheter som ska omfattas i Sverige är ännu inte fullt fastställda.

Varje sektor kommer att omfattas av tillsyn från en eller flera tillsynsmyndigheter, som ansvarar för både vägledning och tillsyn. Dessa myndigheter har även befogenhet att utfärda sektorsspecifika föreskrifter som preciserar kraven enligt NIS2.

Myndigheten för civilt försvar har ett övergripande samordningsansvar. Detta omfattar samordning på nationell nivå gentemot tillsynsmyndigheter och verksamhetsutövare, samt rollen som nationell kontaktpunkt gentemot EU och andra medlemsstater. Myndigheten har även i uppdrag att utfärda föreskrifter för vissa gemensamma delar av kravställningen. Enligt utredningens förslag kommer denna roll att kvarstå även inom ramen för NIS2.

Vad innebär det att omfattas av NIS2?
En verksamhetsutövare enligt NIS2 har i huvudsak följande skyldigheter:
Identifiera att verksamheten omfattas av regelverket och genomföra anmälan.
Etablera och upprätthålla ett systematiskt informationssäkerhetsarbete, inklusive införande av lämpliga säkerhetsåtgärder samt utbildning av både ledning och personal.
Rapportera incidenter som har medfört, eller kan medföra, betydande störningar i verksamheten.

Verksamhetsutövaren omfattas även av tillsyn från relevant tillsynsmyndighet inom den eller de sektorer där verksamheten är verksam.

Anmälan enligt NIS2
NIS2 innebär att samtliga verksamhetsutövare ska anmäla sin verksamhet. I samband med att lagen träder i kraft kommer en särskild anmälningstjänst att lanseras i en ny portal.

En förenklad version av anmälningstjänsten planeras att lanseras efter lagens ikraftträdande den 15 januari 2026 och i samband med att föreskrifterna publiceras, tidigast vid månadsskiftet januari–februari.

Ingen anmälan ska göras innan lagen trätt i kraft och anmälningstjänsten är tillgänglig.

CER-direktivet
Samtidigt som NIS2-direktivet antogs fattades även beslut om CER-direktivet. Båda direktiven är så kallade kontinuitetsdirektiv. Medan NIS2 fokuserar på cybersäkerhet, ställer CER-direktivet krav på motståndskraft i annan samhällsviktig verksamhet som måste kunna upprätthållas vid olika typer av störningar.

CER kan exempelvis omfatta krav på fysisk säkerhet, såsom skydd av lokaler och anläggningar, samt kontroll av behörighet och tillträde.

Enligt CER-direktivet ska medlemsstaterna säkerställa att samhällsviktig verksamhet har förmåga att förebygga, motstå och hantera störningar och avbrott – oavsett om dessa orsakas av exempelvis naturkatastrofer, terroristattacker, pandemier eller andra allvarliga händelser.

Direktivet omfattar samhällsviktig verksamhet inom följande sektorer:
– Energiförsörjning
– Finansiella tjänster
– Hälsa, vård och omsorg
– Livsmedelsförsörjning och dricksvatten
– Transport

Samt vissa delar av:
– Offentlig förvaltning
– Industri
– Forskning

Vad är CER-direktivet?
CER-direktivet (Directive on the Resilience of Critical Entities) syftar till att stärka motståndskraften hos kritiska samhällsaktörer. Med samhällsviktig verksamhet avses verksamhet, tjänster eller infrastruktur som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet.

Dessa verksamheter bedrivs av både offentliga och privata aktörer. EU:s ministerråd har genom direktivet beslutat om ett gemensamt ramverk för att minska sårbarheter inom samhällsviktig verksamhet, vilket är avgörande för både samhällets och ekonomins funktion.

I Sverige kommer en statlig offentlig utredning (SOU) att tillsättas för att genomföra CER-direktivet i nationell lagstiftning. Direktivet är ett minimidirektiv, vilket innebär att medlemsstaterna har möjlighet att inkludera ytterligare sektorer och samhällsfunktioner i den nationella regleringen.

CER- och NIS-direktiven kompletterar varandra. NIS2 reglerar det systematiska informationssäkerhetsarbetet, även inom samhällsviktig verksamhet som identifieras enligt CER-direktivet.

Här finner Ni mer information.

Informationen kommer från MCF.

För frågor eller information, kontakta Altea AB.

Vi är Altea

Altea AB är ett konsultföretag som arbetar med internationella standarder, bland annat ISO 14001, 9001, 27001 och 45001.
Vi har även tagit fram den internationellt erkända och varumärkesskyddade metoden Hackeforsmodellen.

Vi kombinerar expertkunskap med smarta digitala lösningar för att hjälpa er växa, förbättras och ligga steget före i att nå mål och uppfylla krav. 

Namn är obligatoriskt
Efternamn är obligatoriskt
Företag är obligatoriskt
Vänligen ange ett meddelande