Genom NIS 2-direktivet inrättas en enhetlig rättslig ram för att upprätthålla cybersäkerheten i 18 kritiska sektorer i hela EU. Medlemsstaterna uppmanas också att fastställa nationella strategier för cybersäkerhet och samarbeta med EU för gränsöverskridande insatser och verkställighet.
Cybersäkerhet innebär att skydda nätverks- och informationssystem (NIS), deras användare och andra berörda personer från cyberincidenter och cyberhot. För att bemöta Europas ökade exponering för cyberhot ersatte direktiv 2022/2555, även kallat NIS2, sin föregångare, direktiv 2016/1148 eller NIS1. NIS2 höjer EU:s gemensamma ambitionsnivå när det gäller it-säkerhet genom ett bredare tillämpningsområde, tydligare regler och starkare tillsynsverktyg. Det kräver att medlemsstaterna förbättrar sin cybersäkerhetskapacitet, samtidigt som de inför riskhanteringsåtgärder och rapporteringskrav för entiteter från fler sektorer och fastställer regler för samarbete, informationsutbyte, tillsyn och efterlevnad av cybersäkerhetsåtgärder.
Enligt direktivet ska varje medlemsstat anta en nationell strategi för cybersäkerhet, som omfattar strategier för säkerhet i leveranskedjan, sårbarhetshantering samt utbildning och medvetenhet om cybersäkerhet. Medlemsstaterna måste också upprätta och regelbundet uppdatera en förteckning över leverantörer av samhällsviktiga tjänster för att säkerställa att dessa entiteter uppfyller direktivets krav.
Utöver de sektorer som redan omfattas av NIS 1 – energi, transport, hälso- och sjukvård, finans, vattenförvaltning och digital infrastruktur – gäller de nya reglerna även leverantörer av offentlig elektronisk kommunikation, fler digitala tjänster (t.ex. sociala plattformar), hantering av avfall och avloppsvatten, tillverkning av kritiska produkter, post- och budtjänster och offentlig förvaltning på både central och regional nivå samt rymdsektorn. I regel måste medelstora och stora entiteter inom dessa kritiska sektorer vidta lämpliga riskhanteringsåtgärder för cybersäkerhet och underrätta relevanta nationella myndigheter om betydande incidenter. Detta är incidenter som kan orsaka betydande störningar eller skador.
Direktivet innehåller också bestämmelser om tillsyn, efterlevnadskontroll och frivillig inbördes utvärdering för att öka det ömsesidiga förtroendet och cybersäkerhetskapaciteten i hela EU. Det inför också ansvarsskyldighet för den högsta ledningen för bristande efterlevnad av riskhanteringsåtgärder för cybersäkerhet, vilket gör styrelserummet uppmärksamt på cybersäkerhet.
Genom direktivet inrättas ett nätverk av enheter för hantering av it-säkerhetsincidenter (CSIRT-enheter) som ska utbyta information om cyberhot och reagera på incidenter. Dessa team är avgörande för att upprätthålla situationsmedvetenhet och erbjuda hjälp. För att hantera storskaliga cybersäkerhetsincidenter eller cybersäkerhetskriser inrättas genom direktivet det europeiska kontaktnätverket för cyberkriser (EU-CyCLONe). Detta nätverk stöder samordnad förvaltning och säkerställer regelbundet informationsutbyte mellan medlemsstaterna och EU-institutionerna i händelse av storskaliga incidenter och kriser.
Samarbetsgruppen för nät- och informationssäkerhet är samtidigt en plattform som inrättats genom direktivet om nät- och informationssäkerhet för att underlätta strategiskt samarbete och informationsutbyte mellan EU:s medlemsstater, Europeiska kommissionen och EU:s cybersäkerhetsbyrå (Enisa). Gruppen offentliggör icke-bindande riktlinjer och rekommendationer för att stödja genomförandet av NIS-direktivet.
Den 20 januari 2026 föreslog kommissionen, som en del av ett nytt cybersäkerhetspaket, riktade ändringar av NIS 2-direktivet för att öka den rättsliga klarheten. Ändringarna kommer att förenkla efterlevnaden av EU:s cybersäkerhetsregler och riskhanteringskrav för företag som är verksamma i EU. De kommer att underlätta efterlevnaden för 28 700 företag, inklusive 6 200 mikroföretag och små företag.
Bakgrund
NIS 1 (direktiv 2016/1148) var den första övergripande EU-lagstiftningen som syftade till att öka cybersäkerheten i nätverks- och informationssystem för att skydda viktiga tjänster för EU:s ekonomi och samhälle. I december 2020 föreslog kommissionen en översyn av NIS 1, vilket ledde till antagandet av NIS 2, som trädde i kraft i januari 2023. Medlemsstaterna hade till och med den 17 oktober 2024 på sig att införliva NIS 2-direktivet i nationell lagstiftning. NIS 2 upphävde NIS 1 från och med den 18 oktober 2024.
Senaste nytt

Kommissionen har tillsammans med de deltagande medlemsstaterna lanserat koalitionen för cybersäkerhetskompetens inom det europeiska konsortiet för digital infrastruktur (CSC-Edic) för att påskynda införandet och fördjupningen av kritisk cybersäkerhetskompetens som behövs i den europeiska arbetskraften.

Verkställande vice ordförande Henna Virkkunen har delat ut European Digital Skills Awards vid EU-dagarna om digital kompetens till projekt som syftar till att stärka enskilda personer med viktig kompetens inom digital teknik.

Europeiska kommissionen kommer att bevilja 5,8 miljoner euro för att inrätta de två första regionala kabelnav i Östersjön och Medelhavet. EU har också inlett en ansökningsomgång på 40 miljoner euro för att öka EU:s kapacitet att reparera kommunikationskablar under vatten.

Europeiska kommissionen offentliggjorde den fjärde lägesrapporten om det digitala decenniet, som visar att Europa har gjort framsteg med sina mål för den digitala omställningen fram till 2030, såsom säker och hållbar digital infrastruktur och digitalisering av offentliga tjänster – men utmaningen är nu att leverera resultat i stor skala, hastighet och konsekvens.
Läs mer
Översikt
Fördjupning
-

Samarbetsgruppen för nät- och informationssystem inrättades genom direktivet om nät- och...
-

Tillsammans med Europeiska unionens byrå för nät- och informationssäkerhet har kommissionen ett nära...