BevakaUpphandlingar.se
← Alla artiklar

Cybersäkerhet och NIS2-krav i IT-upphandlingar

17 april 2026

Cybersäkerhet har blivit en central del av offentlig IT-upphandling. Med NIS2-direktivet och den svenska cybersäkerhetslagen (2025:74) ställs kraftigt skärpta krav på både myndigheter och deras leverantörer. För IT-leverantörer betyder det nya obligatoriska rutiner, dokumentationskrav och incidentrapporteringsskyldigheter. Den här artikeln förklarar vad som gäller och hur du förbereder ditt företag.

NIS2-direktivet – bakgrund

NIS2 (direktiv 2022/2555) antogs av EU i december 2022 och ersätter det ursprungliga NIS-direktivet från 2016. Huvudsyften:

  • Höja cybersäkerhetsnivån i samhällskritiska sektorer
  • Harmonisera krav inom EU
  • Utöka kretsen av verksamheter som omfattas
  • Skärpa sanktioner och ledningens ansvar

Direktivet implementerades i svensk rätt genom cybersäkerhetslagen (SFS 2025:74), i kraft 1 januari 2025. Tillsynsmyndigheter är bland andra MSB (Myndigheten för samhällsskydd och beredskap), PTS (Post- och telestyrelsen) och Finansinspektionen beroende på sektor.

Omfattning – vilka berörs?

NIS2 omfattar cirka 18 sektorer, indelade i två kategorier:

Väsentliga entiteter (Essential entities)

  • Energi (el, gas, olja, vätgas, fjärrvärme)
  • Transport (luft, sjö, järnväg, väg)
  • Bank och finansmarknad
  • Sjukvård och läkemedel
  • Dricksvatten och avloppsvatten
  • Digital infrastruktur (DNS, molntjänster, datacenter)
  • IKT-tjänstehantering
  • Offentlig förvaltning
  • Rymdsektorn

Viktiga entiteter (Important entities)

  • Post- och kurirtjänster
  • Avfallshantering
  • Tillverkning av kemikalier, livsmedel, läkemedel, fordon
  • Digital tjänsteleverantörer (plattformar, sökmotorer, marknadsplatser)
  • Forskning

Leverantörskedjan

Även om ditt företag inte direkt omfattas kan du påverkas indirekt – NIS2 kräver att omfattade verksamheter säkrar sin leverantörskedja. Det innebär att krav rullas ned till alla underleverantörer av IT, säkerhet, molntjänster etc.

Vad kräver NIS2 av berörda verksamheter?

Enligt artikel 21 i NIS2 ska verksamheter implementera tekniska, operativa och organisatoriska åtgärder, bland annat:

  • Riskhantering – systematisk analys och åtgärdsplan
  • Incidenthantering – procedurer för detektion, respons, återställning
  • Kontinuitetsplanering – backup, disaster recovery
  • Leverantörssäkerhet – kontroll av underleverantörer och leverantörskedja
  • Kryptografi – inklusive kryptering där relevant
  • Åtkomstkontroll – multifaktorautentisering, identitetshantering
  • Utbildning – medvetenhet för personal
  • Säker utveckling – SSDLC, kodgranskning, sårbarhetstestning

Incidentrapportering

Stora incidenter ska rapporteras till tillsynsmyndigheten:

  • Tidig varning: inom 24 timmar
  • Incidentrapport: inom 72 timmar
  • Slutrapport: inom en månad

Sanktioner

  • Väsentliga entiteter: upp till 10 miljoner euro eller 2 % av global omsättning
  • Viktiga entiteter: upp till 7 miljoner euro eller 1,4 % av global omsättning
  • Personligt ansvar för ledningen

Vanliga krav i upphandlingar efter NIS2

Svenska myndigheter ställer nu regelmässigt krav som:

Obligatoriska skall-krav

  • ISO/IEC 27001-certifiering eller likvärdigt informationssäkerhetssystem
  • Datalagring inom EU/EES – eller robust skydd mot tredje lands lagstiftning (t.ex. US CLOUD Act)
  • Kryptering av data – både i transit (TLS 1.2+) och i vila (AES-256)
  • Multifaktorautentisering (MFA) för administrativa gränssnitt
  • Incidenthanteringsplan – leverantörens egen och interaktion med myndighetens
  • Sårbarhetshantering – etablerade SLA:er för patchning
  • Loggning och revisionsspår som kan tillhandahållas vid incident

Vanliga utvärderingskriterier

  • Kvalitet i säkerhetsrutiner (dokumentation, penetrationstest)
  • Certifieringar utöver minimikraven (ISO 27017, 27018, SOC 2 Type II)
  • Redundans och återställningstid (RTO/RPO)
  • Säkerhetstestning (bug bounty, red team)
  • Transparens kring underleverantörer

Kompletterande regelverk

Säkerhetsskyddslagen

För verksamheter som hanterar säkerhetsskyddsklassificerade uppgifter gäller säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen. Krav inkluderar:

  • Säkerhetsprövning av personal (registerkontroll)
  • Säkerhetsskyddsavtal mellan myndighet och leverantör
  • Samråd med Säkerhetspolisen vid vissa upphandlingar

Offentlighets- och sekretesslagen

OSL (2009:400) styr hantering av sekretessbelagda uppgifter hos myndigheter och vilken information leverantörer får tillgång till.

DORA (för finanssektorn)

DORA (EU 2022/2554) om operationell motståndskraft inom finanssektorn gäller från januari 2025. Leverantörer till banker, försäkringsbolag och annan finansiell infrastruktur omfattas.

Cyber Resilience Act

Cyber Resilience Act (EU 2024/2847) reglerar säkerhetskrav på produkter med digitala element som säljs inom EU. Börjar gälla fullt ut 11 december 2027.

Certifieringar som stärker anbud

CertifieringTäckerKrav
ISO/IEC 27001InformationssäkerhetsledningMinst en verifiering per år
ISO/IEC 27017MolntjänstsäkerhetTilläggsstandard till 27001
ISO/IEC 27018Personuppgifter i molnetTilläggsstandard till 27001
ISO/IEC 27701IntegritetsskyddsledningTilläggsstandard, linje med GDPR
SOC 2 Type IISäkerhet, tillgänglighet, integritet6–12 månaders revision
PCI-DSSKortbetalningarOm ni hanterar betalningsdata
CSA STARMolnsäkerhetNivå 1–3

Leverantörskedjekrav – viktig fälla

Även små leverantörer blir indirekt omfattade av NIS2 när de levererar till NIS2-omfattade kunder. Typiska kedjekrav:

  • Rätt att revidera leverantörens säkerhet
  • Rapportering av egna incidenter till kund
  • Föregående samtycke vid byte av underleverantörer
  • Maximal återställningstid
  • Vitesklausuler vid säkerhetsbrister

Ignorerar du detta på upphandlingsstadiet kan du senare stå med kontraktsvillkor som är omöjliga att uppfylla.

Så förbereder du ditt företag

  1. Klassificera er själva – omfattas ni av NIS2 direkt? Vilka av era kunder gör det?
  2. Genomför gap-analys mot ISO 27001 och NIS2-kraven
  3. Prioritera certifiering – ISO 27001 är ofta en minimiförutsättning
  4. Etablera incidentprocess – inklusive rapportering till kunder och myndigheter
  5. Kartlägg leverantörskedjan – vilka underleverantörer har tillgång till känslig data?
  6. Teckna säkerhetsförsäkring – cyberförsäkring blir allt mer relevant
  7. Utbilda personalen – NIS2 kräver medvetenhetsträning

Vanliga misstag i anbud

  1. Vaga säkerhetspåståenden – “vi har hög säkerhet” räcker inte; evidens krävs
  2. Missade krav i leverantörskedjan – ni tar ansvar även för era underleverantörers säkerhet
  3. Cloud-val utan datasuveränitet – många krav på “EU-only”, AWS eu-west-1 är inte alltid tillräckligt
  4. Ingen incidenthanteringsplan – begärs ofta som bilaga
  5. Underskatta tiden för certifiering – ISO 27001 tar normalt 6–12 månader att uppnå

Myndigheter som driver cybersäkerhetskrav

Sammanfattning

NIS2 har fundamentalt höjt ribban för cybersäkerhet i offentlig upphandling. Leverantörer som inte redan har ISO 27001, dokumenterade incidentprocesser och robust leverantörskedjekontroll riskerar att uteslutas från en växande del av marknaden. Börja med gap-analys, prioritera certifiering och bygg in säkerhet som försäljningsargument. Läs också vår guide om IT-upphandling i Sverige, AI-upphandling och GDPR och personuppgiftsbiträdesavtal för angränsande områden.

Källor och vidare läsning

Läs också

Artikel

AI-upphandling i svensk offentlig sektor

Guide till upphandling av AI-lösningar i Sverige. Lär dig om EU:s AI-förordning, riskklassificering, krav som myndigheter ställer och hur du som leverantör lämnar ett konkurrenskraftigt AI-anbud.

Artikel

GDPR och personuppgiftsbiträdesavtal i offentlig upphandling

Guide till GDPR-krav i svensk offentlig upphandling. Lär dig om personuppgiftsbiträdesavtal (PUB), tredjelandsöverföring, Schrems II och hur du som leverantör möter dataskyddskraven i anbud.

Artikel

IT-upphandling i Sverige – guide för leverantörer

Allt om IT-upphandling i offentlig sektor. Lär dig hur svenska myndigheter upphandlar IT, vilka CPV-koder som används och hur du positionerar ditt IT-företag för att vinna anbud.