Cybersäkerhetslagens (NIS2) påverkan på offentlig upphandling
NIS2 är ett EU-direktiv som bygger vidare på det tidigare NIS-direktivet och syftar till att höja den gemensamma säkerhetsnivån för nätverks- och informationssystem inom hela unionen. Direktivet är infört i svensk lagstiftning genom Cybersäkerhetslagen. Det nya direktivet omfattar fler aktörer och upphandlande organisationer än tidigare.
Innehåll på denna sida
Direktivet ställer bland annat tydligare krav på riskanalyser och olika incident- och säkerhetsåtgärder. Det ställer även ökade krav på ledningens delaktighet i organisationens cybersäkerhetsarbete. NIS2-direktivet har implementerats genom Cybersäkerhetslagen (2025:1506), som trädde i kraft den 15 januari 2026.
Till skillnad från tidigare lagstiftning omfattas nu betydligt fler aktörer av direktivet. Antalet sektorer där verksamheter är skyldiga att vidta säkerhetsåtgärder enligt lag ökar från sju till arton, vilket innebär att många fler aktörer, privata likväl offentliga, nu omfattas av NIS2.
Aktörer, däribland upphandlande organisationer, som omfattas av NIS2-direktivet är skyldiga att vidta omfattande åtgärder för att uppfylla direktivets krav. Mot denna bakgrund kan även aktörer som normalt inte omfattas av NIS2, till exempel vissa privata aktörer, genom en upphandling bli skyldiga att uppfylla krav som följer av direktivet.
Med andra ord kan även leverantörer i en upphandling, som vanligtvis inte direkt omfattas av regelverket, behöva förhålla sig till NIS2-direktivet och förbereda sig på att vidta nödvändiga åtgärder med anledning av de krav som ställs i en upphandling.
Läs mer
Om Cybersäkerhetslagen och NIS2-direktivet (Myndigheten för civilt försvar (MCF:s) webbplats)