När den nya cybersäkerhetslagen nu träder i kraft riskerar NIS2 att reduceras till ännu ett regelverk att bocka av. Det vore ett allvarligt misstag. Direktivet handlar i grunden inte om juridik, utan om att bygga verklig cybersäkerhetsförmåga i ett samhälle där digitaliseringen gått snabbt och hoten blivit både fler och mer komplexa. Frågan är inte om organisationer följer kraven på papper – utan om de står pall när det verkligen gäller, skriver Pernilla Rönn, head of cybersecurity på HiQ.
Linda Kante
Uppdaterad: 29 januari 2026Publicerad: 29 januari 2026
Pernilla Rönn, HiQ
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
När Sveriges nya cybersäkerhetslag nu träder i kraft är det lätt att fastna i diskussioner om paragrafer, föreskrifter och juridik. Men NIS2 handlar i grunden om något annat: att steg för steg höja cybersäkerhetsförmågan i ett samhälle där digitaliseringen gått snabbt och hotbilden förändrats i grunden. Det viktigaste är inte att checka av krav, utan att bygga en förmåga som faktiskt håller när något händer.
Bakgrunden till direktivet är tydlig. Samhällsviktiga verksamheter är i dag starkt digitaliserade och tätt sammankopplade. Det har skapat effektivitet, men också nya sårbarheter. I kombination med ett förändrat säkerhetspolitiskt läge har behovet av en gemensam europeisk lägstanivå för cybersäkerhet blivit allt mer uppenbart. NIS2 är EU:s sätt att möta detta, med fokus på motståndskraft snarare än regelefterlevnad för regelefterlevnadens skull.
Ett bra tillfälle att ta nästa steg
ANNONS
I Sverige har den nationella lagstiftningen dröjt, vilket skapat osäkerhet kring hur och när kraven ska tillämpas. I många organisationer har det lett till att arbetet avvaktat i väntan på tydligare besked. Det är i grunden förståeligt. Samtidigt har riktningen varit tydlig länge: cybersäkerhet behöver hanteras mer systematiskt och ansvar behöver tydliggöras på ledningsnivå. När lagen nu trätt i kraft finns ett tydligt tillfälle att ta nästa steg – utifrån sin utgångspunkt och med kontinuerlig förbättring som mål.
Riktning och tempo – inte perfektion
Mycket av diskussionen har handlat om föreskrifterna och deras detaljeringsgrad. Kritiken mot omfattande dokumentationskrav och kostnadsdrivande inslag är viktig att ta på allvar. Samtidigt befinner sig verksamheter på väldigt olika nivåer av mognad i sitt säkerhetsarbete. Poängen med NIS2 är att ge struktur för ett långsiktigt, systematiskt förbättringsarbete – det kräver inte perfektion direkt, men det kräver riktning och tempo. Föreskrifterna bör därför ses som en vägledning som hjälper organisationer att prioritera och öka sin förmåga och motståndskraft, inte som ett kravpaket som måste “prickas av” på en gång.
Ett exempel där det blir tydligt är i kraven på incidentrapportering. För att kunna rapportera krävs faktisk förmåga: att kunna upptäcka incidenter, förstå vad som är kritiskt och agera strukturerat när något händer. Det är inget som byggs över en natt. Samtidigt är syftet större än den enskilda organisationen. Genom rapportering
skapas förutsättningar för gemensamt lärande, snabbare informationsdelning, möjlighet till extern hjälp och en starkare samlad lägesbild.
Samverkan blir avgörande
Här blir också kompetens- och samverkansfrågan central. Bristen på cybersäkerhetskompetens är redan påtaglig och kommer inte att lösas av enskilda organisationer var för sig. För att lyckas krävs samarbete, erfarenhetsutbyte och gemensamma arbetssätt – både inom och mellan sektorer och regioner.
I slutändan är NIS2 en lag som måste följas. Men målet är större än compliance: att stärka den faktiska förmågan att hantera cyberhot. Med rätt prioriteringar och samverkan kan NIS2 bli startpunkten för ett mer robust och motståndskraftigt digitalt samhälle.
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
Manage Consent
To provide the best experiences, we use technologies like cookies to store and/or access device information. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Functional Alltid aktiv
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
