Hoppa till innehåll

2 januari 2024

NIS2 i Sverige: Vad bank- och finanssektorn behöver veta

NIS2 i Sverige: Vad bank- och finanssektorn behöver veta

NIS2-direktivet är en omfattande uppdatering av EU:s cybersäkerhetsstrategi och är avsett att stärka skyddet av kritisk infrastruktur från cyberhot. Direktivet skärper kraven på riskhantering, incidentrapportering och ledningsansvar – och bank- och finanssektorn är en av de sektorer som pekas ut som särskilt viktig.

I den här artikeln går vi igenom vad NIS2 innebär i praktiken, vilka som omfattas i Sverige, och vad bank- och finansbolag behöver fokusera på för att vara compliant.

Vad är NIS2?

NIS2 (Directive (EU) 2022/2555) är efterföljaren till det ursprungliga NIS-direktivet från 2016. Det formella ikraftträdandet i EU skedde i januari 2023, och medlemsstaterna skulle ha implementerat direktivet i nationell lag senast den 17 oktober 2024.

Jämfört med det ursprungliga NIS-direktivet är NIS2 betydligt bredare i sin omfattning. Fler sektorer omfattas, fler verksamheter klassificeras som "väsentliga" eller "viktiga", och kraven på säkerhetsåtgärder, rapportering och tillsyn är tydligare och mer enhetliga över EU.

Implementering i Sverige

Sverige missade EU:s deadline den 17 oktober 2024 för att införa direktivet i nationell lag. Genomförandet behandlades i prop. 2024/25:39 "Genomförande av NIS2- och CER-direktiven", och den nya cybersäkerhetslagen samt lagen om motståndskraft hos kritiska entiteter har beslutats av riksdagen.

Det innebär att de tidigare diskussionerna om "kommande lagstiftning" nu är inaktuella – ramverket finns på plats. Det finansiella tillsynsansvaret ligger hos Finansinspektionen, som också är tillsynsmyndighet enligt DORA (Digital Operational Resilience Act) som gäller parallellt för finanssektorn.

Vad NIS2 innebär för bank- och finanssektorn

Bank- och finanssektorn är pekad ut som en sektor av "hög kritikalitet" enligt direktivet. För banker, betalningsinstitut, värdepappersbolag och andra finansiella aktörer innebär det krav inom följande områden:

  • Riskhantering. Verksamheten ska ha en dokumenterad, riskbaserad cybersäkerhetsstrategi som täcker bland annat åtkomstkontroll, kryptering, backup, incidenthantering och leverantörsrisker.
  • Incidentrapportering. Allvarliga incidenter ska rapporteras till tillsynsmyndigheten i flera steg – en första anmälan inom 24 timmar, en mer detaljerad rapport inom 72 timmar, och en slutrapport inom en månad.
  • Ledningsansvar. Styrelse och ledning är personligen ansvariga för att godkänna och övervaka cybersäkerhetsåtgärderna. Ledningen ska också genomgå utbildning i cybersäkerhet.
  • Leverantörskedjan. Krav ställs på att riskhanteringen även omfattar tredjepartsleverantörer och hela leverantörskedjan – vilket är extra viktigt för finansiella aktörer som ofta är beroende av molntjänster och fintech-leverantörer.
  • Sanktioner. Vid bristande efterlevnad kan tillsynsmyndigheten utfärda viten på upp till 10 miljoner euro eller 2 % av den globala årsomsättningen, beroende på vilket som är högst.

Hur DORA och NIS2 hänger ihop

För finanssektorn gäller också DORA – EU:s förordning om digital operativ motståndskraft – sedan 17 januari 2025. DORA är lex specialis gentemot NIS2 för finansiella entiteter, vilket innebär att DORA:s mer detaljerade krav tar över på de områden där förordningarna överlappar.

I praktiken betyder det att de flesta banker och finansbolag rapporterar och hanterar IKT-risker enligt DORA, medan NIS2:s bredare ramverk fyller ut där DORA inte ger specifika krav. Båda regelverken kräver i grunden samma sak: dokumenterad riskhantering, tydligt ledningsansvar och strukturerad incidentrapportering.

Vad bör finansbolag göra nu?

Många mindre och medelstora finansbolag har fortfarande arbete kvar med att vara fullt compliant. Konkreta nästa steg:

  1. Gör en gapanalys. Vilka av NIS2:s och DORA:s krav uppfyller ni redan, och vad saknas?
  2. Klassificera era leverantörer. Vilka är kritiska? Finns det avtalsklausuler för säkerhet, incidentrapportering och granskning?
  3. Säkerställ rapporteringsförmågan. Kan ni leverera en första incidentrapport inom 24 timmar? Vem ansvarar?
  4. Förankra i ledningen. Säkerställ att styrelse och ledning förstår sitt personliga ansvar och har genomgått relevant utbildning.

Keeros roll

På Keeros följer vi utvecklingen kring NIS2 och DORA noga och anpassar löpande vår plattform för att möta de krav som ställs på finansiella aktörer. Vi arbetar aktivt med våra kunder för att säkerställa att vår plattform stödjer dem i deras compliance-arbete – från åtkomstkontroll och loggning till incidenthantering och leverantörsdokumentation.

För den som vill läsa mer rekommenderar vi ENISA:s officiella resurser på enisa.europa.eu.

Läs mer

Regeringens beslut om konsumentkrediter – en ny era för kreditmarknaden
Regeringens beslut om konsumentkrediter – en ny era för kreditmarknaden

6 juni 2025

Keeros deltog på Financial Fraud Forum 2024 – En dag fylld av insikter och lärdomar
Keeros deltog på Financial Fraud Forum 2024 – En dag fylld av insikter och lärdomar

30 september 2024

Hur digitaliseringen förändrar EU:s finanslandskap
Hur digitaliseringen förändrar EU:s finanslandskap

21 september 2023