Introduktion
EU:s nya cybersäkerhetsdirektiv, NIS2, trädde i kraft i oktober 2024 och ersätter det tidigare NIS-direktivet från 2016. Syftet med NIS2 är att stärka cybersäkerheten i hela EU genom att införa skärpta krav på säkerhet och incidentrapportering för verksamheter som anses vara kritiska för samhällets funktion – inklusive aktörer som hanterar känsliga hälsodata.
Direktivet omfattar både större företag och utvalda små- och medelstora företag (SMF), beroende på verksamhetens natur och samhällsbetydelse. För många aktörer inom hälsoområdet innebär det nya krav på säkerhetsrutiner, riskhantering och rapportering vid incidenter.
Vilka företag omfattas?
Du omfattas av NIS2-direktivet om ditt företag uppfyller något av följande kriterier:
✅ Hanterar elektroniska hälsojournaler, medicinsk diagnostikdata eller patientinformation, särskilt om tjänsterna tillhandahålls digitalt.
✅ Erbjuder tjänster inom hälso- och sjukvård eller digital infrastruktur för hälsodata (t.ex. datalagring, kommunikation, e-recept eller patientportaler).
✅ Klassas som en viktig eller väsentlig aktör enligt NIS2 – detta kan även gälla små företag beroende på verksamhetens betydelse eller om du levererar tjänster till offentliga aktörer.
Det är inte bara företag med säte i EU som berörs. Även företag som levererar digitala tjänster till EU-marknaden omfattas av direktivet
Vad kräver NIS2?
NIS2-direktivet ställer krav på:
🔐 Informationssäkerhet
Företaget måste vidta lämpliga tekniska och organisatoriska åtgärder för att förebygga, identifiera och hantera IT-incidenter – till exempel brandväggar, antivirus, kryptering, och säkra autentiseringslösningar.
📋 Riskhantering och styrning
Ledningen måste ta ansvar för säkerhetsstyrning. Det innebär att ha policys, riskbedömningar och ansvarsfördelning för cybersäkerhet – dokumenterat och integrerat i verksamheten.
🚨 Incidentrapportering
Allvarliga säkerhetsincidenter måste rapporteras till nationell tillsynsmyndighet (i Sverige: MSB eller sektorsspecifik myndighet) inom 24 timmar. Detta gäller även tillfälliga driftstörningar som påverkar tillgänglighet eller integritet i hälsodata.
📚 Tillsyn och sanktioner
Överträdelser kan leda till kännbara sanktioner – för väsentliga enheter upp till 10 miljoner euro eller 2 % av den globala årsomsättningen. Även icke-ekonomiska aktörer (t.ex. vårdorganisationer) kan omfattas.
Vad bör företag göra?
✔ Kartlägg om din verksamhet faller inom NIS2:s tillämpningsområde.
✔ Inför grundläggande cybersäkerhetsåtgärder, till exempel säker backup, uppdateringsrutiner och tillgångskontroll.
✔ Skapa en beredskapsplan för hantering av incidenter, inklusive rapporteringsflöde.
✔ Utbilda personal i säkerhetsmedvetenhet, särskilt om ni hanterar hälsodata.
✔ Dokumentera ert säkerhetsarbete – det är avgörande vid tillsyn.
Även om du inte direkt omfattas av NIS2 kan det ändå vara klokt att inspireras av dess krav, särskilt om du hanterar känslig data eller samarbetar med vårdgivare.
Tillsyn i Sverige
Myndigheten för samhällsskydd och beredskap (MSB) ansvarar för det övergripande genomförandet av NIS2 i Sverige. Inom hälsosektorn förväntas även Socialstyrelsen och Inspektionen för vård och omsorg (IVO) få tillsynsansvar. Tillsynen fokuserar inte bara på efterlevnad utan även på stöd och vägledning.
Implementeringen av reglerna i NIS2 i svensk lagstiftning är försenad, men ska ske genom en ny cybersäkerhetslag som förväntas träda i kraft i slutet av 2025.