EU:s nya cybersäkerhetsdirektiv NIS2 har nu implementerats i Sverige genom den nya cybersäkerhetslagen. För många svenska företag innebär det skärpta krav på hur de arbetar med informations- och nätverkssäkerhet. Samtidigt omfattas betydligt fler organisationer än tidigare.

En av de viktigaste förändringarna är att fler branscher inkluderas. Antalet sektorer som omfattas har ökat från sju till arton, bland annat tillverkningsindustri, livsmedelsproduktion, digitala tjänsteleverantörer och offentlig sektor. Företag med minst 50 anställda eller en omsättning över 10 miljoner euro kan omfattas av reglerna.

För företagen handlar NIS2 inte bara om teknik. Direktivet kräver ett systematiskt arbete med riskhantering, incidentrapportering och kontinuerlig förbättring av cybersäkerheten. Organisationer måste kunna identifiera risker i sina IT-system, dokumentera säkerhetsarbetet och snabbt rapportera allvarliga incidenter till ansvariga myndigheter.

En annan central förändring är att ledningen får ett tydligare ansvar. Företagsledningar förväntas vara aktivt involverade i cybersäkerhetsarbetet och kan hållas ansvariga om organisationen inte lever upp till kraven.

För svenska företag innebär NIS2 därför mer än en juridisk skyldighet – det är också en strategisk fråga. De organisationer som börjar arbetet tidigt med styrning, rutiner och säkerhetskultur står bättre rustade mot både cyberhot och framtida regulatoriska krav.