Home / Products & services / Bygg motståndskraft genom säker kommunikation

Women in hallway talking on her phone

Industry reflection

Bygg motståndskraft genom säker kommunikation

EU:s nya cybersäkerhetslagstiftningen, NIS2-direktivet och Cyber Resilience Act (CRA), håller på att omforma förväntningarna på organisatorisk resiliens och ansvar. Med Sectras långa erfarenhet av säker kommunikation tittar vi på hur dessa regler kan driva meningsfulla förbättringar. Artikeln vänder sig särskilt till beslutsfattare och säkerhetsexperter som navigerar implementeringen av NIS2 och CRA i Sverige i dagsläget (mars 2026).

I och med införandet av NIS2-direktivet och den nyligen antagna CRA står organisationer inom Europeiska unionen (EU) – särskilt de som bedriver samhällsviktig verksamhet – inför nya krav, ansvarsområden och möjligheter. Dessa regelverk förändrar hur organisationer arbetar med cybersäkerhet, riskhantering och leverantörsrelationer, och gör resiliens till ett gemensamt ansvar.

Motståndskraft genom regelefterlevnad

NIS2-direktivet är EU:s uppdaterade cybersäkerhetsdirektiv med fokus på processer, riskhantering och incidentrapportering. Det handlar om att säkerställa att organisationer som samhället är beroende av kan fortsätta leverera även när något går fel. Som direktiv anger NIS2 mål som varje medlemsstat måste omsätta i nationell lagstiftning. Nationell tillsyn och vägledning har rullats ut i samband med att lagarna trädde i kraft i januari 2026.

Cyber Resilience Act reglerar produkter med digitala komponenter (hårdvara och mjukvara) som säljs inom EU. Däremot omfattar den inte mjukvara som enbart tillhandahålls som tjänst (SaaS). Den sätter gemensamma regler för hur produkter får säljas på EU-marknaden samt bindande krav på säker design och utveckling, hantering av sårbarheter, uppdateringar anpassade till förväntad användning och transparens genom hela produktens livscykel.

Till skillnad från ett direktiv gäller en förordning som CRA direkt och enhetligt i alla EU:s medlemsstater utan nationellt införlivande. CRA trädde i kraft 2024, och tillverkare ska tillämpa reglerna 36 månader efter ikraftträdandet.

Tillsammans adresserar dessa både de operativa och tekniska aspekterna av cybersäkerhet och syftar till att säkerställa att organisationer är motståndskraftiga och att de produkter och tjänster de förlitar sig på är säkra genom design. Det leder i sin tur till ett mer robust och harmoniserat cybersäkerhetsekosystem inom EU.

Till skillnad från ett direktiv gäller en förordning som CRA direkt och enhetligt i alla EU:s medlemsstater utan nationellt införlivande.

Spårbarhet är inte förhandlingsbar

NIS2 erkänner att incidenter är oundvikliga. Även om direktivet inte eliminerar alla incidenter innebär riskhanteringsåtgärder och rapporteringskrav i praktiken att organisationer måste kunna förklara i detalj vad som hänt och dra lärdom av det. Bristande spårbarhet kan få allvarliga juridiska och operativa konsekvenser.

Organisationer måste ha bra loggning och övervakning för att kunna spåra vad som hänt och visa ansvarstagande. I vissa branscher kan lagar kräva att relevant data sparas i tio år eller mer. Dessutom förväntas de följa nationella regler för incidentrapportering: vanligtvis en tidig varning inom 24 timmar, en mer utförlig rapport inom 72 timmar samt en slutrapport inom en månad. Exakta tröskelvärden och rutiner bestäms av tillsynsmyndigheten.

Riskbaserad och proportionerlig säkerhet

Det har ibland sagts att NIS2 inte ger några detaljerade checklistor för säkerhetskontroller. Men det är just poängen: organisationerna förväntas analysera och förstå sina risker och hantera dem proportionerligt. Det innebär att resurser ska läggas där de gör störst nytta, snarare än att tillämpa generella lösningar överallt.

Även om direktivet anger övergripande mål, hindrar det inte medlemsstater och i synnerhet deras tillsynsmyndigheter från att införa mer detaljerade krav. På så sätt kombineras gemensamma EU-mål med möjlighet till nationell anpassning.

NIS2 gäller i första hand medelstora och stora företag inom samhällsviktiga sektorer som energi, transport, bank, hälso- och sjukvård, digital infrastruktur och offentlig förvaltning. Även mindre aktörer kan omfattas om de har en särskilt viktig roll, till exempel som enda leverantör i ett område. Reglerna skiljer mellan väsentliga och viktiga verksamheter: de väsentliga övervakas mer systematiskt och kan få högre böter än de viktiga. Vid allvarliga brister kan väsentliga aktörer få administrativa sanktionsavgifter på upp till 10 miljoner euro eller 2 % av sin globala omsättning, medan viktiga aktörer kan bötfällas upp till 7 miljoner euro eller 1,4 % av omsättningen.

€10 miljoner eller 2 % av sin globala omsättning
€7 miljoner eller 1,4 % av omsättningen

I stället för att ge en detaljerad checklista beskriver NIS2 tio övergripande områden som varje berörd organisation ska adressera. Detaljerna i genomförandet överlåts till respektive organisation.

De tio områdena är:

  1. Policyer för riskanalys och informationssystemssäkerhet
  2. Incidenthantering
  3. Kontinuitetsplanering, katastrofåterställning och krishantering
  4. Säker leveranskedja, inklusive säkerhetsaspekter hos leverantörer och tjänsteleverantörer
  5. Säkerhet vid anskaffning, utveckling och underhåll, inkl. hur sårbarheter hanteras och offentliggörs
  6. Utvärdering av säkerhetsåtgärder
  7. Grundläggande cyberhygien och utbildning
  8. Policyer och rutiner för användning av kryptografi och, där det är lämpligt, kryptering
  9. Personalsäkerhet och åtkomstkontroll, inklusive hantering av behörigheter och tillgångar
  10. Användning av multifaktor- eller kontinuerlig autentisering; säkrad röst-, video- och textkommunikation samt vid behov säkrade nödkommunikationssystem

Denna flexibilitet gör det möjligt för organisationer att anpassa åtgärder efter sin unika riskbild, men kräver samtidigt ett moget arbetssätt kring riskbedömning, prioritering och dokumentation. NIS2-direktivet uppmuntrar även samordnad sårbarhetsrapportering så att upptäckta brister hanteras och kommuniceras på ett ansvarsfullt sätt.

Leverantörseffekten

NIS2 gör att säkerhet blir en konkurrensfråga. Ska man leverera till en NIS2-reglerad kund måste man följa deras säkerhetskrav, även när det gäller underleverantörer. Kunderna kan dock tolka och kontrollera kraven olika, och man är fortfarande ansvarig för risker som kommer via den egna leverantörskedjan. Därför kan även företag som inte omfattas direkt av NIS2 behöva skärpa sina rutiner för att kunna vara attraktiva leverantörer. Ett bra arbete med leverantörsstyrning och tydliga avtal är avgörande för att både följa reglerna och säkerställa kontinuitet.

Mät det som är viktigt

NIS2 förutsätter att processer finns på plats men också att deras effektivitet mäts över tid. Regelbundna genomgångar, revisioner, tester och uppdateringar krävs för att möta föränderliga hot och tillsynsförväntningar. Denna kontinuerliga cykel av utvärdering och förbättring är central för att bygga långsiktig resiliens. Artikel 21 kräver uttryckligen policyer och rutiner för att bedöma effektiviteten i åtgärderna, och artikel 20 gör ledningen ansvarig för att godkänna och övervaka dem.

CRA höjer ribban

CRA är EU:s första horisontella förordning som kräver cybersäkerhet för alla produkter med digitala komponenter – från konsument-IoT till industriell mjukvara. Medan NIS2 fokuserar på organisatorisk riskhantering och rapportering säkerställer CRA att produkter och komponenter är säkra genom design och som standard.

Exempel på centrala krav

  • Secure-by-design och secure-by-default
  • Kostnadsfria säkerhetsuppdateringar under definierad supportperiod – minst fem år eller produktens förväntade livslängd – separerat från funktionsuppdateringar
  • Publicering av säkerhetsrådgivningar när åtgärder finns
  • Tydligt deklarerade supportperioder och teknisk dokumentation över tid
  • Hantering av sårbarheter, inklusive samordnad sårbarhetsrapportering
  • Ansvar för tredjepartskomponenter och ”remote data processing” som är integrerade i produkten
  • Obligatorisk rapportering till EU-myndigheter vid kännedom om incidenter eller aktivt utnyttjade sårbarheter (första notifiering inom 24 timmar, följt av uppdateringar)
  • Bedömning av överensstämmelse och CE-märkning för marknadstillträde – med krav på tredjepartsgranskning för vissa kritiska produkter beroende på klassificering

CRA gäller brett för produkter med digitala komponenter på EU-marknaden, med vissa undantag där sektorsspecifik lagstiftning gäller (t.ex. medicinteknik, flyg och fordon) samt för icke-kommersiell open-source-utveckling. Bristande efterlevnad kan leda till böter upp till 15 miljoner euro eller 2,5 % av global årsomsättning (det högsta av dessa).

Sectras perspektiv

På Sectra ser vi att vägen framåt handlar om transparens, partnerskap och kontinuerlig förbättring. Vi ser inte NIS2 och CRA enbart som regulatoriska hinder, utan som katalysatorer för att bygga motståndskraft genom säker kommunikation, robusta processer och en kultur av ansvarstagande. Genom att ta vara på förändringarna kan organisationer inte bara uppfylla nya regelkrav utan också stärka sin förmåga att stå emot och återhämta sig från cyberhot.

Ur ett perspektiv av säker kommunikation är Sectra Tiger/E Managed Service vårt svar på det växande behovet av säker samverkan i känsliga, men oklassificerade miljöer. Tjänsten kombinerar härdade Samsung Knox-enheter, möjlighet till att ha dubbla miljöer, där godkända applikationer kan köras parallellt med den säkra kommunikationsdomänen. Utöver kryptering i två lager – på enhetsnivå och som totalsträckskryptering på applikationsnivå – skyddas all trafik genom ett kvantresistent VPN.

Tjänsten driftas av en svensk organisation med uppdrag att skydda samhällets digitala ryggrad och plattformen för säker samverkan är utvecklad med ett säkerhetsfokuserat synsätt som kombinerar användbarhet med integritet. Sammantaget säkerställer tjänsten hög tillgänglighet, end-to-end-krypterad kommunikation, stark endpointsäkerhet och en infrastruktur utformad för nationell motståndskraft och regelefterlevnad.

Även om Sectra Tiger/E inte är avsedd för information som kräver signalskydd, bygger lösningen på Sectras långa erfarenhet av att utveckla produkter för kommunikation på säkerhetsnivåerna RESTRICTED, SECRET och TOP SECRET. Det har medfört att Sectra Tiger/E har utvecklats utifrån beprövade metoder för säkerhet och hotanalys samt standarder för dokumentation.

Vill du stärka din motståndskraft? Kontakta oss via formuläret nedan så återkommer vi till dig.

Vi värnar om och respekterar din integritet. Genom att skicka in detta formulär godkänner du vår Privacy policy >>

Relaterade produkter

The latest news

Sectra’s nine-month interim report 2025/2026: The industry’s most satisfied customers for the thirteenth consecutive year

2026-03-06
|
Financial Information

Sectra’s six-month interim report 2025/2026: Growth and increased profitability driven by customer satisfaction

2025-12-12
|
Financial Information

Sectra launches secure European mobile communication platform for sensitive but formally unclassified information

2025-11-10
|
Secure Communication Systems
Show more

Meet us next at

04
Jun
2026
to
05
Jun
2026
Midnight Sun CTF
Event | Secure Communication
Boka en demo
15
Jun
2026
to
19
Jun
2026
Eurosatory
Event | Secure Communication | Military and Defense
Book a meeting
22
Aug
2026
to
23
Aug
2026
Flygdagarna
Event | Secure Communication | Military and Defense
All events