Cyberförsäkring · NIS2
NIS2 och cyberförsäkring, vad din verksamhet faktiskt behöver göra
NIS2 är EU-direktivet som via cybersäkerhetslagen implementeras i Sverige. Avgör om ni omfattas, vilka krav som gäller, hur cyberförsäkring spelar in.
- NIS2 är ett EU-direktiv om cybersäkerhet för "väsentliga" och "viktiga" enheter. Svensk implementation sker via cybersäkerhetslagen.
- Omfattas ni? Räkna med krav på säkerhetsåtgärder, incidentrapportering inom 24/72 timmar, och styrelseansvar för efterlevnad.
- Cyberförsäkring ersätter inte NIS2-efterlevnad, den täcker konsekvenserna när något går fel trots era åtgärder.
Kort: vad är NIS2?
NIS2 är EU:s andra direktiv om nät- och informationssäkerhet, och ersätter det ursprungliga NIS-direktivet (2016). Direktivet trädde i kraft 16 januari 2023, med implementationsdeadline för medlemsländerna 17 oktober 2024. NIS2 utökar både vilka bolag som omfattas och vilka krav som ställs.
Svensk implementation sker via **cybersäkerhetslagen (SFS 2025:1506)**, som trädde i kraft 15 januari 2026 — drygt 15 månader efter EU-fristen. Cybersäkerhetsförordningen (2025:1507) följde samma datum. MSB är samordningsmyndighet; sektorspecifika tillsynsmyndigheter ansvarar för sina respektive områden (Finansinspektionen för finans, Transportstyrelsen för transport, m.fl.).
NIS2 delar in omfattade bolag i två nivåer. "Väsentliga enheter" är störst och har strängast krav (proaktiv tillsyn, högst böter). "Viktiga enheter" är mindre men omfattas av liknande säkerhetskrav, med reaktiv tillsyn (tillsyn efter incident).
Vilka branscher omfattas?
NIS2 täcker betydligt fler sektorer än föregångaren. Omfattning beror på bransch + storlek (oftast ≥50 anställda eller ≥10 M€ omsättning):
- Energi, transport, bank, hälso- och sjukvård (alltid väsentliga).
- Digital infrastruktur: DNS, molntjänster, datacenter, IXPs.
- IKT-tjänsteleverantörer: managed services, managed security services.
- Offentlig förvaltning (delvis, beroende på implementation).
- Livsmedelsproduktion och distribution.
- Tillverkning av medicintekniska produkter, fordon, maskiner.
- Digitala tjänster: onlinemarknadsplatser, sökmotorer, sociala nätverk.
- Post- och budtjänster, avfallshantering, kemikaliehantering.
Vad NIS2 konkret kräver
Fyra kategorier av krav, i grova drag (exakt detaljeringsnivå varierar mellan väsentliga och viktiga enheter):
**1. Säkerhetsåtgärder.** Riskbedömning, åtkomstkontroll, kryptering, säkerhetsutbildning, backuper, incident response-rutiner, leverantörsgranskning. Inte bara "ha något", dokumenterat och löpande uppdaterat.
**2. Incidentrapportering.** Tidig varning inom 24 timmar från upptäckt, detaljerad anmälan inom 72 timmar, slutrapport inom en månad. Målmyndigheten i Sverige är MSB (Myndigheten för samhällsskydd och beredskap); specifika sektorer har egna tillsynsmyndigheter (t.ex. Finansinspektionen för finansbranschen).
**3. Styrelseansvar.** NIS2 lägger uttryckligt ansvar på ledningen för efterlevnad. Styrelseledamöter kan vara personligt ansvariga, detta är en viktig koppling till styrelseansvarsförsäkring (D&O).
**4. Leverantörskontroll.** Ni måste utvärdera och hantera cybersäkerhet i leverantörskedjan. En incident hos er SaaS-leverantör kan bli er incident att rapportera.
Hur cyberförsäkring kopplar till NIS2
Viktigt att förstå: cyberförsäkring ersätter INTE NIS2-efterlevnad. Lagen kräver åtgärder; försäkringen täcker konsekvenserna när något går fel trots åtgärderna. De fungerar tillsammans, inte som alternativ.
**Var försäkringen hjälper:**
- **Incidenthantering.** När en incident inträffar aktiverar försäkringen IT-forensik, juridisk hjälp och kriskommunikation. Det är precis det ni behöver för att hantera NIS2-rapporteringen i tid.
- **Juridiska kostnader vid tillsyn.** Om MSB eller annan tillsynsmyndighet öppnar utredning efter incident, advokatkostnader täcks.
- **Styrelseansvar.** Om styrelsen stäms eller myndigheter utreder personligt ansvar är D&O-försäkringen central. Kontrollera att NIS2-relaterade krav är explicit inkluderade.
**Var försäkringen INTE hjälper:**
- **Böter från myndigheter.** NIS2 tillåter höga sanktionsavgifter (upp till 10 M€ eller 2 % av total global årsomsättning för väsentliga enheter, det högsta av de två). Finansinspektionen har tagit ställning att försäkring av sådana sanktionsavgifter strider mot god försäkringssed — auktoriserade svenska försäkringsgivare erbjuder det inte.
- **Underlåtenhet att följa säkerhetskraven.** Om ni inte har de grundläggande åtgärderna på plats kan försäkringsbolaget avslå utbetalning — undantaget för "bristande aktsamhet" (engelska: "due diligence") blir aktuellt.
Checklista, kommer ni att klara NIS2?
Använd som snabb egen screening; inte en ersättning för juridisk rådgivning:
- Har ni dokumenterad riskbedömning som uppdateras minst årligen?
- Har ni en incident response-plan med tydliga rapporteringsrutiner?
- Har alla anställda genomgått grundläggande säkerhetsutbildning senaste året?
- Finns säkerhetskrav i leverantörsavtal med era kritiska leverantörer?
- Har styrelsen fått genomgång om deras personliga ansvar under NIS2?
- Är backuper testade (inte bara gjorda) senaste 6 månaderna?
- Har ni MFA på alla system med åtkomst till kunddata eller kritiska tjänster?
FAQ
Vanliga frågor
EU-direktivet trädde i kraft 16 januari 2023, med implementationsdeadline för medlemsländerna 17 oktober 2024. Sverige missade deadlinen; cybersäkerhetslagen (SFS 2025:1506), som implementerar NIS2 i svensk rätt, trädde i kraft 15 januari 2026 — drygt 15 månader efter EU-fristen. För sektorspecifika krav, kolla MSB:s vägledningar samt er tillsynsmyndighet (t.ex. Finansinspektionen för finans, Transportstyrelsen för transport).
Oftast men inte alltid. Storleksundantaget (≥50 anställda eller ≥10 M€) gäller huvuddelen av sektorerna, men vissa (DNS, TLD-registrerare, viss kritisk infrastruktur) omfattas oavsett storlek. Och: era kunder kan kontraktsmässigt kräva NIS2-motsvarande säkerhetsnivå om ni är kritiska leverantörer till dem. Ni kan bli tvingade via avtal även om inte via lag.
Tre lager av konsekvens: (1) sanktionsavgift upp till 10 M€ eller 2 % av global omsättning (väsentliga) eller 7 M€/1,4 % (viktiga); (2) personligt ansvar för ledningen, upp till tillfälligt avstängningsförbud från ledande roller; (3) direkta kundförluster eftersom era NIS2-omfattade kunder inte kan anlita er utan efterlevnad.
Nej, inte i Sverige. Finansinspektionen har tagit ställning att försäkring av rena NIS2- eller GDPR-sanktionsavgifter strider mot god försäkringssed, och auktoriserade svenska försäkringsgivare erbjuder det inte — varken i cyber- eller styrelseansvarsförsäkring. Däremot kan advokatkostnader vid tillsynsutredning, kostnader för att hantera incidenten, forensik och notifiering av drabbade vara täckta. Läs villkoret noggrant.
NIS2 kräver löpande uppdatering, men minst årligen som bas. Oftare i praktiken: vid betydande teknikförändring (ny SaaS, ny arkitektur), vid incident, vid ägarförändring, vid expansion till ny marknad, och vid stora personalförändringar. Dokumentera varje översyn, tillsynsmyndigheter kommer att fråga om processen.
**MSB (Myndigheten för samhällsskydd och beredskap)** är huvudaktör för NIS2-tillsyn i Sverige, med sektorspecifik tillsyn hos respektive myndighet (Finansinspektionen för finans, Läkemedelsverket för läkemedel, etc.). MSB publicerar löpande vägledningar, deras webbplats är första källan om ni är osäkra på status eller krav.
Vill du gå djupare?
Premiekalkylatorn ger ett indikativt prisintervall — och jämförelsen visar var bolagen faktiskt skiljer sig.