Cyberförsäkring · NIS2
NIS2 och cyberförsäkring — vad din verksamhet faktiskt behöver göra
NIS2 är EU-direktivet för cybersäkerhet som via cybersäkerhetslagen implementeras i Sverige. Så avgör du om ni omfattas, vilka krav som gäller och hur cyberförsäkring spelar in.
- NIS2 är ett EU-direktiv om cybersäkerhet för "väsentliga" och "viktiga" enheter. Svensk implementation sker via cybersäkerhetslagen.
- Omfattas ni? Räkna med krav på säkerhetsåtgärder, incidentrapportering inom 24/72 timmar, och styrelseansvar för efterlevnad.
- Cyberförsäkring ersätter inte NIS2-efterlevnad — den täcker konsekvenserna när något går fel trots era åtgärder.
Kort: vad är NIS2?
NIS2 är EU:s andra generation av nätverks- och informationssäkerhetsdirektivet, som trädde i kraft 2024. Det ersätter det ursprungliga NIS-direktivet från 2016 och utökar både vilka bolag som omfattas och vilka krav som ställs.
Svensk implementation sker via **cybersäkerhetslagen**, som togs i kraft efter EU:s implementationsdeadline. Kontrollera mot aktuell regeringstext eller MSB:s vägledning för att bekräfta dagens regeringsstatus för just ditt bolag — det här området har förändrats under implementationsfasen.
NIS2 delar in omfattade bolag i två nivåer. "Väsentliga enheter" är störst och har strängast krav (proaktiv tillsyn, högst böter). "Viktiga enheter" är mindre men omfattas av liknande säkerhetskrav, med reaktiv tillsyn (tillsyn efter incident).
Vilka branscher omfattas?
NIS2 täcker betydligt fler sektorer än föregångaren. Omfattning beror på bransch + storlek (oftast ≥50 anställda eller ≥10 M€ omsättning):
- Energi, transport, bank, hälso- och sjukvård (alltid väsentliga).
- Digital infrastruktur: DNS, molntjänster, datacenter, IXPs.
- IKT-tjänsteleverantörer: managed services, managed security services.
- Offentlig förvaltning (delvis, beroende på implementation).
- Livsmedelsproduktion och distribution.
- Tillverkning av medicintekniska produkter, fordon, maskiner.
- Digitala tjänster: onlinemarknadsplatser, sökmotorer, sociala nätverk.
- Post- och budtjänster, avfallshantering, kemikaliehantering.
Vad NIS2 konkret kräver
Fyra kategorier av krav, i grova drag (exakt detaljeringsnivå varierar mellan väsentliga och viktiga enheter):
**1. Säkerhetsåtgärder.** Riskbedömning, åtkomstkontroll, kryptering, säkerhetsutbildning, backuper, incident response-rutiner, leverantörsgranskning. Inte bara "ha något" — dokumenterat och löpande uppdaterat.
**2. Incidentrapportering.** Tidig varning inom 24 timmar från upptäckt, detaljerad anmälan inom 72 timmar, slutrapport inom en månad. Målmyndigheten i Sverige är MSB (Myndigheten för samhällsskydd och beredskap); specifika sektorer har egna tillsynsmyndigheter (t.ex. Finansinspektionen för finansbranschen).
**3. Styrelseansvar.** NIS2 lägger uttryckligt ansvar på ledningen för efterlevnad. Styrelseledamöter kan vara personligt ansvariga — detta är en viktig koppling till styrelseansvarsförsäkring (D&O).
**4. Leverantörskontroll.** Ni måste utvärdera och hantera cybersäkerhet i leverantörskedjan. En incident hos er SaaS-leverantör kan bli er incident att rapportera.
Hur cyberförsäkring kopplar till NIS2
Viktigt att förstå: cyberförsäkring ersätter INTE NIS2-efterlevnad. Lagen kräver åtgärder; försäkringen täcker konsekvenserna när något går fel trots åtgärderna. De fungerar tillsammans, inte som alternativ.
**Var försäkringen hjälper:**
- **Incidenthantering.** När en incident inträffar aktiverar försäkringen IT-forensik, juridisk hjälp och kriskommunikation. Det är precis det ni behöver för att hantera NIS2-rapporteringen i tid.
- **Juridiska kostnader vid tillsyn.** Om MSB eller annan tillsynsmyndighet öppnar utredning efter incident — advokatkostnader täcks.
- **Styrelseansvar.** Om styrelsen stäms eller myndigheter utreder personligt ansvar är D&O-försäkringen central. Kontrollera att NIS2-relaterade krav är explicit inkluderade.
**Var försäkringen INTE hjälper:**
- **Böter från myndigheter.** NIS2 tillåter höga sanktionsavgifter (upp till 10 M€ eller 2 % av global omsättning för väsentliga enheter). Sanktionsavgifter är oftast inte försäkringsbara — det skulle motverka lagens avskräckande syfte.
- **Underlåtenhet att följa säkerhetskraven.** Om ni inte har de grundläggande åtgärderna på plats kan försäkringsbolaget avslå utbetalning — "due diligence-undantaget" blir aktuellt.
Checklista — kommer ni att klara NIS2?
Använd som snabb egen screening; inte en ersättning för juridisk rådgivning:
- Har ni dokumenterad riskbedömning som uppdateras minst årligen?
- Har ni en incident response-plan med tydliga rapporteringsrutiner?
- Har alla anställda genomgått grundläggande säkerhetsutbildning senaste året?
- Finns säkerhetskrav i leverantörsavtal med era kritiska leverantörer?
- Har styrelsen fått genomgång om deras personliga ansvar under NIS2?
- Är backuper testade (inte bara gjorda) senaste 6 månaderna?
- Har ni MFA på alla system med åtkomst till kunddata eller kritiska tjänster?
FAQ
Vanliga frågor
EU-direktivet trädde i kraft 2024 med implementationsdeadline 17 oktober 2024. Sverige missade deadline; cybersäkerhetslagen, som implementerar NIS2 i svensk rätt, trädde i kraft efter EU-fristen. Kontrollera aktuell status mot regeringens och MSB:s senaste information eftersom implementationen har varit i rörelse.
Oftast men inte alltid. Storleksundantaget (≥50 anställda eller ≥10 M€) gäller huvuddelen av sektorerna, men vissa (DNS, TLD-registrerare, viss kritisk infrastruktur) omfattas oavsett storlek. Och: era kunder kan kontraktsmässigt kräva NIS2-motsvarande säkerhetsnivå om ni är kritiska leverantörer till dem. Ni kan bli tvingade via avtal även om inte via lag.
Tre lager av konsekvens: (1) sanktionsavgift upp till 10 M€ eller 2 % av global omsättning (väsentliga) eller 7 M€/1,4 % (viktiga); (2) personligt ansvar för ledningen, upp till tillfälligt avstängningsförbud från ledande roller; (3) direkta kundförluster eftersom era NIS2-omfattade kunder inte kan anlita er utan efterlevnad.
Nej, oftast inte. Sanktionsavgifter från myndigheter är typiskt undantagna i både cyberförsäkring och styrelseansvar — det skulle motverka lagens syfte. Men advokatkostnader vid utredning, kostnader för att hantera incidenten, och kostnader för att notifiera drabbade kan vara täckta. Läs villkoret noggrant.
NIS2 kräver löpande uppdatering, men minst årligen som bas. Oftare i praktiken: vid betydande teknikförändring (ny SaaS, ny arkitektur), vid incident, vid ägarförändring, vid expansion till ny marknad, och vid stora personalförändringar. Dokumentera varje översyn — tillsynsmyndigheter kommer att fråga om processen.
**MSB (Myndigheten för samhällsskydd och beredskap)** är huvudaktör för NIS2-tillsyn i Sverige, med sektorspecifik tillsyn hos respektive myndighet (Finansinspektionen för finans, Läkemedelsverket för läkemedel, etc.). MSB publicerar löpande vägledningar — deras webbplats är första källan om ni är osäkra på status eller krav.
Klar att jämföra?
Tre offerter — från utvalda bolag med rätt produkt för din bransch.