EN VÄGLEDNING FÖR SAMHÄLLSVIKTIG VERKSAMHET | 2026
Cybersäkerhet har gått från att vara en teknisk sidofråga till att bli en central del av samhällets infrastruktur. Inom vård, energi, offentlig förvaltning och transport är det numera vardag med larm om cyberattacker, driftstörningar och avbrott i leveranskedjor. Och sedan den 15 januari 2026 finns det en lag som ställer tydliga krav på vad du faktiskt måste göra åt det.
Vad är NIS2? Och vad har hänt sen sist?
NIS står för Network and Information Systems, och NIS2 är den uppdaterade versionen av det EU-direktiv som togs fram 2013. Syftet är tydligt: att stärka cybersäkerheten inom samhällsviktig verksamhet i hela unionen.
När vi på Sopra Steria senast diskuterade NIS2 var direktivet fortfarande på väg in i svensk lagstiftning. Nu är det verklighet. Cybersäkerhetslagen (CSL) (2025:1506) trädde i kraft den 15 januari 2026 och ersätter den tidigare NIS-lagen från 2018. Antalet berörda sektorer har gått från sju till arton. Ledningsgrupper har nu ett formellt och lagstadgat ansvar att förstå och driva cybersäkerhetsfrågorna. Det handlar inte längre om att "IT fixar det där", det är en omställning för hela organisationen med personligt ansvar för dem som sitter i ledningen.
Läget nu: fokus har förflyttats från förberedelse till efterlevnad.
Hotbilden är inte teoretisk - och den skalerar
Vi ser hur sårbarheter snabbt kan få samhällspåverkan. Attacken mot Sophiahemmet 2024, där patientdata hamnade till försäljning på darknet. Privata vårdcentraler i Västra Götaland som tvingades stänga efter en attack mot en IT-leverantör. En hacktivist-grupp med ryskt ursprung som tog sig in i kontrollpanelen på en vattendamm i Bremanger – via ett svagt lösenord.
Det räcker inte att säkra de egna systemen. Man måste förstå hela sin leveranskedja.
I vår rapport State of Cyber Security 2026 , som bygger på verkliga incidenter och observationer från Sopra Sterias egna kunder i privat och offentlig sektor, är bilden tydlig: angripare bryter sig inte in längre. De loggar in. Under 2025 var 44,4 procent av alla säkerhetsincidenter i vår skandinaviska SOC phishing-relaterade. Våra kunder tog emot mer än 635 miljoner e-postmeddelanden under året, med i snitt 5,5 URL:er per mail. Det är den attackyta som dina medarbetare navigerar varje dag.
Sverige rankas som det nionde mest utsatta landet i Europa. Inom EU är offentlig förvaltning det mest angripna området och stod för 38 procent av alla rapporterade incidenter. Hälso- och sjukvård är ett primärt mål. Inte för att den är dålig på säkerhet, utan för att en organisation inom vården helt enkelt inte kan acceptera långa driftstopp. Det gör den attraktiv för ransomware- och leakware-grupperingar.
Till det kommer en ny dimension som snabbt förändrar spelplanen: AI som angreppsverktyg. Vi observerar hur angripare använder generativ AI för att automatisera attacker, skala upp phishing-kampanjer och skapa deepfakes med en precision och ett tempo som tidigare var omöjligt. Samtidigt skapar den snabba spridningen av AI-verktyg i organisationer nya ingångar när styrning saknas eller är otillräcklig.
Vi brukar skämta om den "regulatoriska lasagnen" – lag på lag på lag som organisationer måste hantera. GDPR, MDR, NIS2, CER, säkerhetsskyddslagen… Det är lätt att bli överväldigad. Men det finns en väg ur regelverksdjungeln: jobba utefter ett ramverk.
Ett ramverk, som t.ex. NIST Cybersecurity Framework (CSF) eller ISO 27001 ger en mycket bra grund att stå på. De är baserade på befintlig lagstiftning i olika delar av världen och kan hjälpa till att på ett praktiskt sätt sammanställa och implementera krav. När det sedan tillkommer nya krav, som t.ex. CSL behöver bara gapet mot ramverket analyseras, inte alla krav i lagstiftningen.
Det är också precis vad revisorer och tillsynsmyndigheter tittar på: ett systematiskt, riskbaserat och dokumenterat säkerhetsarbete – inte lappa och laga.
Viktiga lärdomar och framgångsfaktorer
Det som skiljer de organisationer som klarar CSL/NIS2 från de som kämpar är inte teknologin. Det är strukturen och kulturen. Några saker jag ser gör skillnad:
Säkerhet är en ledningsfråga - och nu även enligt lag. Ledningen måste vara engagerad, utbildad och beredd att fatta beslut. Tillsynsmyndigheten kan ingripa om ledningsutbildning inte genomförs, och vid allvarliga brister kan enskilda ledningspersoner förbjudas att inneha ledningsfunktioner.
Alla ska med - säkerhetsarbetet måste integreras i hela organisationen. Det är inte en IT-fråga. HR, juridik, inköp och verksamhetsstyrning är alla berörda.
Struktur ger hållbarhet - utan tydliga processer, roller och dokumentation riskerar initiativen att bli papperstigrar som inte håller vid en revision.
Jobba riskbaserat och proportionellt - det är vad lagen kräver, och det är det smartaste sättet att prioritera resurser.
Var transparent med risker och brister - att dölja dem är farligare än att erkänna dem. Tillsynsmyndigheter tittar på om ni har kontroll, inte om ni är perfekta.
Dokumentation är avgörande - för revision, för intern styrning, och för att kunna visa att ni faktiskt gör det ni säger att ni gör.
Är det enkelt?
Nej, men det är görbart. Det är komplext men inte omöjligt. Med rätt verktyg, rätt metodik och ett strukturerat angreppssätt kan organisationer inte bara uppnå lagefterlevnad utan de kan faktiskt höja sin reella säkerhetsnivå. Det handlar om att bygga motståndskraft, inte om att fylla i formulär.
För de organisationer som ännu inte kommit igång är budskapet tydligt: börja nu. Tillsynen är aktiv, cybersäkerhetslagen är på plats och kraven gäller från dag ett.
Sopra Steria hjälper organisationer att navigera NIS2 och cybersäkerhetslagen från tillämpningsanalys och riskbedömning till implementation och ledningsutbildning. Kontakta oss för att diskutera hur er verksamhet påverkas.
