
Under andra halvan av 2025 förväntas en ny Cybersäkerhetslag träda i kraft i Sverige. Det är NIS2-direktivet som ska införas. Vad innebär det för fastighetsbolagen och hur kan vi förbereda oss?
NIS2-direktivet är EU:s senaste lagstiftningsinitiativ för att höja cybersäkerheten inom både samhällskritiska och viktiga sektorer. När detta direktiv införlivas i svensk lag genom den kommande Cybersäkerhetslagen, förväntas effekterna sträcka sig långt bortom de direkt reglerade sektorerna.
Fastighetsbranschen, som hanterar tekniskt komplexa miljöer och ofta har kopplingar till samhällsviktig infrastruktur, står inför ett ökat krav på digitalt säkerhetsansvar – även om man inte formellt omfattas av lagen.
Digitaliseringen av fastigheter innebär att fler system kopplas upp, vilket skapar nya angreppspunkter för cyberhot. Det gör informationssäkerhet till en nyckelfråga även för verksamheter som tidigare inte setts som IT-intensiva.
Vad är NIS2?
NIS2 (Network and Information Systems Directive 2) ersätter det tidigare NIS-direktivet från 2016. Syftet är att möta det ökade hotet mot digital infrastruktur inom EU och skapa en hög, gemensam säkerhetsnivå. Direktivet ställer krav på bland annat styrning, riskhantering, incidentrapportering och ledningsansvar för cybersäkerhet.
Sverige kommer att genomföra NIS2 genom Cybersäkerhetslagen, som förväntas träda i kraft under andra halvåret 2025.
Parallellt med NIS2 införs även CER-förordningen, som fokuserar på fysisk säkerhet i samhällsviktig infrastruktur – och tillsammans förstärker de kraven på både digitalt och fysiskt skydd, något som kan påverka fastighetsägare med känsliga objekt eller offentliga uppdrag.
Omfattas fastighetsbolag?
Formellt omfattas inte fastighetsförvaltning av NIS2, men många bolag påverkas indirekt:
- Förvaltar ni fastigheter där samhällsviktig verksamhet bedrivs (sjukhus, kollektivtrafik, myndigheter)?
- Ansvarar ni för tekniska system som el, vatten, ventilation, passerkontroll eller larm?
- Levererar ni tjänster till organisationer som själva omfattas av NIS2?
Då kommer ni att behöva uppfylla liknande krav, eftersom säkerhetsansvaret sprids i hela leverantörskedjan.
Konkreta krav – vad innebär det?
Cybersäkerhetsarbetet måste systematiseras och centraliseras. För fastighetsbolag innebär det:
- Tydligt ledningsansvar för cybersäkerhet
- Utpekad säkerhetsansvarig inom organisationen
- Systematiska riskanalyser
- Rutiner för incidenthantering och rapportering
- Säkerhetsgranskning av leverantörer
Det handlar inte bara om teknik – det handlar om ledarskap, styrning och processer. Säkerhetsåtgärder ska både fungera praktiskt och kunna dokumenteras.
Så förbereder ni er
- Kartlägg beroenden
Identifiera tekniska system, fastigheter och leverantörer som är kritiska för er egen eller kundens drift. - Genomför riskanalys
Kartlägg känslig information och system. Identifiera sårbarheter samt planera åtgärder. - Uppdatera rutiner och policys
Inrätta eller justera styrdokument för IT-säkerhet, incidenthantering och leverantörskontroll. - Förankra i organisationen
Säkerhetsarbetet måste förankras i ledningen och vara en naturlig del av verksamhetsstyrningen. Utbilda chefer, tekniker och administrativ personal i roller, ansvar och säkerhetsmedvetenhet. - Hantera leverantörsledet
Var beredda att visa upp ert eget säkerhetsarbete – och ställ motsvarande krav på era partners.
En ny verklighet för fastighetsbranschen
Cybersäkerhet är inte längre en teknisk fråga i bakgrunden – det är en affärskritisk fråga som kräver styrelseförankring och långsiktig planering. Fastighetsförvaltare som redan nu påbörjar arbetet med att förstå och anpassa sig till NIS2 står bättre rustade för framtidens regelverk – och för att vinna kunders och samarbetspartners förtroende.
Kimmy Nordqvist
Senior rådgivare Informationssäkerhet – PocketSafe