GDPR och NIS2 - vad är skillnaden och vad gäller vem?

Skrivet av Charlotte Brännström
GDPR och NIS2 - vem behöver följa vad?

Bild från Unsplash

När man börjar försöka få sig en överblick över vad man har som företag som företag och vad man behöver göra för att följa lagen så kan det kännas som att det finns mycket att hålla koll på er. GDPR-Hjälpen finns här hela tiden och är tacksam för möjligheten att hjälpa små och stora företag på resan mot ett starkare företag. En vanlig fråga vi får kan vara: Vad är GDPR och vad är NIS2, vad är skillnaden och vem gäller respektive lag?

Båda är EU-lagstiftningar och båda rör informationssäkerhet. De finns för att komplettera varandra, ibland behöver företag bara följa den ena lagstiftningen och ibland behöver man följa båda.

GDPR är en lag som gäller för alla verksamheter och organisationer som behandlar personuppgifter, det spelar ingen roll vilken företagsform man har (även en enskild firma behöver följa GDPR) eller om man tjänar några pengar i bolaget. Faktum är att nästan alla företag, föreningar, myndigheter och verksamheter idag behöver följa den här lagen. GDPR fokuserar på att skydda individers rättigheter genom att skydda deras personuppgifter och ge dem kontrollen över dem. Det är ett regelverk som finns för att försäkra att personlig data, alltså information som kan identifiera en individ, behandlas korrekt och transparent.

NIS2 reglerar däremot cybersäkerhet och skydd av kritisk infrastruktur. NIS2-direktivet träder i kraft i Sverige genom cybersäkerhetslagen som gäller från den 15 januari 2026. Huruvida man omfattas av cybersäkerhetslagen (NIS2) eller inte beror på typen av verksamhet man bedriver. Om man har en verksamhet inom någon av följande sektorer så kan man omfattas:

  • Energi

  • Transporter

  • Bankverksamhet

  • Finansmarknadsinfrastruktur

  • Hälso- och sjukvård

  • Dricksvatten

  • Avloppsvatten

  • Digital infrastruktur

  • Förvaltning av IKT-tjänster (mellan företag)

  • Offentlig förvaltning

  • Rymden

  • Post- och budtjänster

  • Avfallshantering

  • Tillverkning, produktion och distribution av kemikalier

  • Produktion, bearbetning och distribution av livsmedel

  • Tillverkning av vissa slag

  • Digitala leverantörer

  • Forskning

Faller man under någon av ovan kategorier ska man sedan ha en viss storlek och falla under en viss jurisdiktion. Först då vet man att verksamheten behöver följa NIS2, som i Sverige innebär cybersäkerhetslagen.

Det innebär alltså att långt fler företag faller under GDPR jämfört med NIS2 och även om man faller under NIS2 så behöver man följa GDPR. Helt enkelt, alla företag faller under GDPR men bara vissa företag faller under NIS2.

Behöver ditt företag få hjälp med GDPR? Testa här .

Charlotte Brännström
Nästa

Vad är personuppgifter? En enkel guide för företag som vill följa GDPR