Sverige skjerper cyberkrav i offentlige innkjøp etter NIS2-innføring

Sveriges nye cybersikkerhetslov, som implementerer EU-direktivet NIS2, trådte i kraft 15. januar 2026 og får allerede merkbare konsekvenser for offentlige innkjøp. Upphandlingsmyndigheten advarer om at både oppdragsgivere og leverandører må tilpasse seg de nye kravene.

Fra 7 til 18 sektorer

Det mest påfallende med den nye loven er omfanget. Antallet sektorer der virksomheter er pålagt å iverksette sikkerhetstiltak øker fra syv til atten. Blant de nye sektorene er avfallshåndtering, matproduksjon, digital infrastruktur, offentlig forvaltning og romvirksomhet. I praksis betyr det at langt flere svenske myndigheter og kommuner nå er direkte omfattet av lovens krav.

Leverandører rammes indirekte

Den kanskje viktigste konsekvensen for anskaffelsesmarkedet er at private leverandører kan bli pålagt NIS2-krav gjennom kontraktsvilkår, selv om de ikke er direkte underlagt loven. Upphandlingsmyndigheten understreker at leverandører «behöver förhålla sig till NIS2-direktivet och förbereda sig på att vidta nödvändiga åtgärder» basert på de kravene oppdragsgivere stiller i sine anbud.

Konkret betyr dette at leverandører som vil delta i offentlige anbud i Sverige nå bør gjennomføre risikoanalyser, implementere hendelseshåndtering og dokumentere sine sikkerhetstiltak. Manglende oppfyllelse av slike krav kan få betydning for leverandørens mulighet til å vinne kontrakten, avhengig av hvordan kravene er utformet i konkurransen.

Ledelsen må involveres

Loven stiller også krav til at øverste ledelse hos virksomheter under NIS2 tar aktivt ansvar for cybersikkerhet. Det er ikke lenger tilstrekkelig å delegere sikkerhet til IT-avdelingen – styret og ledelsen må være involvert i risikovurderinger og beredskapsplanlegging.

Roberts analyse

Norge har ennå ikke implementert NIS2-direktivet i nasjonal rett, men det kommer. Når det skjer, vil norske innkjøpere måtte stille tilsvarende cybersikkerhetskrav i sine anbud. Svenske erfaringer de neste månedene vil gi verdifull læring for norske oppdragsgivere som vil ligge i forkant. Mitt råd til innkjøpere er å allerede nå begynne å vurdere hvordan cybersikkerhetskrav kan innarbeides i kravspesifikasjoner og kontraktsvilkår.

Kilde: Upphandlingsmyndigheten