NIS2 kräver beprövad cybersäkerhetsstyrning
Uppdaterad: 17 april 2026, 10:27 Publicerad: 7 april 2026, 07:00
Den nya cybersäkerhetslagen baserad på NIS2 höjer standarden avsevärt och gör det tydligt att ansvaret ligger hos företagsägare. Att utse en CISO som förlitar sig på tidigare prestationer och standarder är inte längre tillräckligt, säger Fredrik Lunden, chefsjurist, och Richard Engblom, senior associate på Harvest. Om befattningshavare inte kan bevisa att de har kontroll riskerar de betydande sanktioner mot organisationen och befattningshavarna själva. – Cybersäkerhet är inte längre bara en IT-avdelningsfråga, utan en organisationsövergripande fråga och i slutändan en ledningsfråga.
Många organisationer lutar sig fortfarande mot industristandarder. Harvests advokat, Fredrik Lunden, säger att det är en bra grund, men inte tillräckligt.
– Det sägs ofta att NIS2 inte betyder något nytt i sig, men det är sant i den meningen att skyddsåtgärderna redan är inbyggda i etablerade ramverk som ISO, NIST och SOC2. Det som faktiskt har blivit hårdare är kravet på att man kan bevisa att det faktiskt fungerar. Samtidigt menar han att NIS2 behöver förstås i ett bredare sammanhang, inklusive ytterligare föreskrifter från MCF och PTS 2026, samt kompletterande EU-förordningar med mer detaljerade krav.
Betoning på verifierbar efterlevnad
Gemensamt för denna utveckling är att verifierbar efterlevnad håller på att bli en central del av regelverket. Richard Engblom, senior associate på Harvest, säger att organisationer måste kunna visa i konkret, spårbar dokumentation hur risker identifieras, prioriteras och hanteras över hela organisationen.
– Arbetet ska delas upp i två delar. Det ena är att vara följsamt och det andra är att kunna visa det. Båda är nödvändiga, säger han, men det är den senare delen som många organisationer saknar, trots dess betydelse för ledningens ansvarighet.
Dokumentation blir viktig
Detta kommer med betydligt ökade dokumentationskrav. Styrdokument är inte längre bara generiska eller principiella, de måste vara operativa och specifika. Du måste tydligt ange vad, när, hur, av vem och hur du ska följa upp. Vidare behöver avvikelser från regelverket som kan motiveras utifrån proportionalitetsprinciper noggrant dokumenteras.
För att detta ska bli framgångsrikt behöver IT-avdelningar, som tidigare ofta fått ett helhetsansvar för sitt område, stöd, rätt kompetens och aktiva insatser från hela organisationen. Fredrik Lunden betonade samtidigt att tillsynen har förstärkts. Myndigheterna har vidsträckta befogenheter, inklusive att begära information, genomföra platsbesök och genomföra revisioner.
– Sanktioner kan uppgå till 2 % av den globala försäljningen, eller 10 miljoner euro, och i vissa fall kan det leda till att åtgärder vidtas mot enskilda chefer. Detta är ett verkligt ansvarsskifte. Styrelser och ledningsgrupper måste kunna visa att de förstår och kontrollerar riskerna, säger han.
– Medlemsstaterna har varit långsamma med att implementera NIS2 och det finns inga villkor för tillsynsmyndigheter att hålla operatörer ansvariga för brister innan allt är på plats. Detta är en anledning till att inga sanktioner har införts ännu. Klockan tickar, säger Richard Engblom. Tiden rinner iväg och våra rekommendationer är tydliga. Om ledningen inte har tagit detta på allvar än, är det dags nu.
Det är därför viktigt att ha rätt kompetens för jobbet, tillägger Fredrik Lunden. Harvest har lång erfarenhet av att stötta intressenter inom området och har deltagit i ett flertal projekt relaterade till implementeringen av DORA, finansbranschens motsvarighet till NIS2. Detta inkluderar att säkerställa att styrning och dokumentation är tillräcklig och att ledningen agerar i enlighet med sitt ansvar enligt gällande regelverk.
Om Harvest Law Office
Harvest Law Firm tillhandahåller omfattande juridisk rådgivning till företag i reglerade branscher. Byrån arbetar med kunder inom bland annat finanssektorn, teknik, informationssäkerhet och andra verksamheter som omfattas av svenska och internationella myndighetskrav.
Extern länk: Klicka här för mer information
Denna artikel är producerad av Brand Studio i samarbete med Harvest advokatbyrå och är inte en artikel av Dagens industri.
