NIS2 är här –
och det handlar om mer än du tror

Vad är Nis2?

NIS2 (Network and Information Systems Directive 2) är EU:s uppdaterade lagstiftning för cybersäkerhet. Den ersätter det tidigare NIS-direktivet från 2016 och höjer ambitionsnivån avsevärt med bredare tillämpning, striktare krav och kraftfullare tillsyn.

I Sverige har NIS2 implementerats genom den nya Cybersäkerhetslagen (2025:1506) och tillhörande Cybersäkerhetsförordning (2025:1507). Lagen ersätter den tidigare informationssäkerhetslagen och innebär ett grundläggande skifte i hur Sverige reglerar cybersäkerhet.

De viktigaste förändringarna:

• Bredare omfattning – utöking till att täcka 18 sektorer
• Whole Entity-princip – om en del av verksamheten omfattas gäller lagen för hela organisationen
• Ledningsansvar – ledningen måste godkänna och följa upp cybersäkerhetsåtgärder. Vid allvarliga brister kan styrelse och VD förbjudas att fortsätta i sina roller.
• Sanktioner – Upp till 10 MEUR eller 2% av global omsättning
• Snabb rapportering vid cybersäkerhetsincidenter – En tidig varning inom 24 timmar, incidentrapport inom 72 timmar och en fullständig redogörelse av incidenten inom en månad.

I praktiken innebär det att organisationer måste ha förberedda processer och rutiner för incidenthantering — ni kan inte börja fundera på vem ni ska kontakta och vad ni ska rapportera när det redan brinner. Det ställer krav på tydliga roller, dokumenterade eskaleringsvägar och teknisk förmåga att snabbt identifiera vad som hänt och vilka system som påverkats.

Vilka bolag berörs?

NIS2 omfattar medelstora och stora organisationer  – 50+ anställda eller 10+ miljoner euro i omsättning – inom 18 sektorer. Organisationerna klassificeras som väsentliga eller viktiga entiteter, med olika grader av tillsyn och sanktioner.

Sektorer med hög kritikalitet

• Energi – El, fjärrvärme, olja, gas, vätgas
• Transport – Flyg, järnväg, väg, sjöfart
• Bankverksamhet – Kreditinstitut
• Finansmarknad – Handelsplatser, centrala motparter
• Hälso- och sjukvård – Sjukhus, vårdgivar, laboratorier, läkemedel
• Dricksvatten – Leverantörer och distributörer
• Avloppsvatten – Insamling, behandling, utsläpp
• Digital Infrastruktur – DNS, TLD, datacenter, molntjänster, CDN
• ICT tjänster (B2B) – Managed Services, Managed Security
• Offentlig förvaltning – Central och regional nivå
• Rymden – Markbaserad infrastruktur

Övriga kritiska sektorer

• Post och kurir – Postoperatörer och kurirtjänster
• Avfallshantering – Insamling, transport, behandling
• Kemikalier – Produktion och distrubution
• Livsmedel – Produktion, förädling, distrubution
• Tillverkning – Medicintekniska produkter, fordon, elektronik, m.m.
• Digitala Leverantörer – Marknadsplatser, sökmotorer, sociala plattformar
• Forskning – forskningsinstutitioner

Viktigt: Även mindre bolag kan omfattas om de agerar som leverantörer av kritiska tjänster eller ingår i leveranskedjan till organisationer under NIS2. Direktivet ställer uttryckliga krav på att bedöma säkerheten i hela leverantörskedjan.

Vad NIS2 betyder för er data

Här kommer vi till kärnan. NIS2 handlar inte bara om brandväggar och incidentrapportering — det handlar om att säkerställa att ni kan återhämta er när (inte om) något händer. Verksamhetskontinuitet och backup är ett av de fyra kärnområdena i direktivet.

BACKUP-KRAV UNDER NIS2

NIS2 kräver att organisationer utvecklar och underhåller planer för verksamhetskontinuitet och katastrofåterställning. Det inkluderar uttryckligen backup-hantering och återställningsprocedurer:

Uppdaterade och testade backuper
Det räcker inte att ha backuper – de måste vara aktuella och regelbundet verifierade. Organisationer måste periodvis testa återställning för att säkerställa att data faktiskt kan återställas inom uppsatta mål.

Definierade återställningstider
Acceptabel återställningstid måste vara definierad. Hur snabbt måste ni vara uppe och rulla igen? Det måste finnas ett tydligt svar, inte en förhoppning.

Offline- och offsite-backuper
Backuper ska finnas på säkra platser utanför huvudnätverket, isolerade från den primära miljön. 3-2-1-regeln rekommenderas: tre kopior, på två olika medier, varav en offsite.

Krypterade och åtkomstkontrollerade backuper
Känslig data ska vara krypterad både i transit och i vila. Tillgången till backup-kopior ska vara strikt kontrollerad — en komprometterad backup är inte en backup.

LAGEN ÄR INTE PÅ VÄG – DEN GÄLLER REDAN

Cybersäkerhetslagen trädde i kraft den 15 januari 2026. Om ni omfattas och inte har agerat, ligger ni redan efter. Många organisationer har fortfarande en backup-strategi som utformades för en annan era – före molntjänster, före SaaS-plattformar, före den explosionsartade ökningen av data utanför det traditionella datacentret.

Man kanske har backup av servrar och databaser, men frågar sig sällan:

• Har vi backup av vår Qlik Cloud-miljö – applikationer, automationer, bokmärken m.m.?
• Kan vi återställa en enskild Qlik-applikation utan att ta ner hela miljön?
• Vem ansvarar för backup av det som körs i molnet — vi eller leverantören?
• Hur lång tid tar det faktiskt att återställa efter en incident? Har vi testat det?
• Är våra backuper skyddade mot ransomware — eller ligger de i samma miljö som hotas?
• Kan vi visa en revisor att vi testar våra backuper regelbundet?

Om svaret på någon av dessa frågor är ”vet inte” eller ”nej” — då har ni en lucka som NIS2 kräver att ni täpper till. Och sanktionerna för att inte göra det är kännbara: upp till 10 miljoner euro eller 2 % av global omsättning, plus risken att ledningspersoner förbjuds utöva sin roll.

Så kan Climber hjälpa er

På Climber har vi lång erfarenhet av att hjälpa organisationer hantera sin data — och vi förstår att backup och säkerhet inte är en engångsinsats. Det är ett löpande arbete som kräver rätt verktyg, rätt processer och en partner som håller koll.

Förutom att säkerställa att backuper faktiskt existerar ställer NIS2 krav på dokumenterade rutiner och processer för hur ni återställer förlorad data. Vi paketerar därför vår backup-lösning tillsammans med ett supportavtal, så att ni vet exakt när ni kan få hjälp och hur ni går tillväga för att återställa er data — oavsett om det handlar om en enskild app eller en hel miljö. Avtalet är designat för att möta de krav som NIS2 ställer:

Automatiserade backuper av er Qlik Cloud-miljö
Vi tar löpande backup på applikationer, automationer, bokmärken, ark och mer — så att er information går att återställa om olyckan skulle vara framme.

Granulär återställning
Behöver ni återställa en enskild applikation, bokmärke eller ett ark efter en oavsiktlig radering? En specifik version av en rapport efter en felaktig uppdatering? Ni ska inte behöva återställa allt för att rädda en del.

Er data – i ert moln
Vår backup-tjänst kräver inga ytterligare molntjänster. Alla backuper lagras i ert privata Azure-moln, så att ni alltid behåller kontrollen över er data.

Verifiering
Vi säkerställer att era backuper inte bara finns utan faktiskt fungerar — vi övervakar löpande att backuper har tagits och att datan finns tillgänglig när ni behöver den.

Ni får trygghet och regelefterlevnad — utan att behöva bygga upp kompetensen internt.

NÄSTA STEG

NIS2 är inte ett framtida problem — det är ett nutida krav. Organisationer som agerar proaktivt bygger inte bara regelefterlevnad utan också genuin motståndskraft. De som väntar riskerar sanktioner, men framför allt riskerar de att stå utan fungerande data när det verkligen gäller.

Boka ett kostnadsfritt samtal med oss för att gå igenom er nuvarande situation.

Referenser:

Riksdagen — Cybersäkerhetslag (2025:1506): https://www.riksdagen.se/sv/dokument-och-lagar/dokument/svensk-forfattningssamling/cybersakerhetslag-20251506_sfs-2025-1506/

MCF (f.d. MSB) — Det här är cybersäkerhetslagen: https://www.mcf.se/sv/amnesomraden/informationssakerhet-och-cybersakerhet/krav-och-regler-inom-informationssakerhet-och-cybersakerhet/nis-direktivet/cybersakerhetslagen-nis2/det-har-ar-cybersakerhetslagen/

EU — NIS2 Directive: Securing network and information systems: https://digital-strategy.ec.europa.eu/en/policies/nis2-directive