NIS 2 Status Schweden

NIS 2 Status in Schweden

Was die Richtlinie fordert, wie Schweden sie verspätet umgesetzt hat, und wo MCF und CERT-SE im Bild stehen.

Simon OrzelSimon Orzel·

Überblick

Die NIS 2 Richtlinie ist die EU Ebene. Sie bindet jeden Mitgliedstaat, auch Schweden, mit einem einheitlichen Mindestniveau für wesentliche und wichtige Einrichtungen. Schweden muss dieses Niveau in schwedisches Recht überführen und eine Aufsicht darunter führen.

Schweden hat die EU Umsetzungsfrist vom 17. Oktober 2024 verfehlt. Die Europäische Kommission hat am 7. Mai 2025 eine mit Gründen versehene Stellungnahme wegen fehlender vollständiger Notifizierung an Schweden gerichtet. Erst mit der Cybersäkerhetslagen (SFS 2025:1506), ausgefertigt am 11. Dezember 2025 und in Kraft seit dem 15. Januar 2026, ist die Umsetzung im Gesetzbuch verankert.

MCF (Myndigheten för civilt försvar, bis zum 31. Dezember 2025 unter dem Namen MSB tätig) ist die koordinierende Behörde und nationale Anlaufstelle nach NIS 2. CERT-SE bleibt das nationale CSIRT und ist bei MCF angesiedelt. Schweden setzt auf ein dezentrales Aufsichtsmodell: Sektorbehörden wie PTS, Energimyndigheten, Transportstyrelsen, Finansinspektionen, IVO und Livsmedelsverket beaufsichtigen ihre jeweiligen Sektoren.

Wo die Regeln stehen
Drei Ebenen, die jeder auseinanderhalten muss, der die schwedische NIS 2 Lage liest.

EU Richtlinie

Richtlinie (EU) 2022/2555 (NIS 2)

Die EU-weite Cybersicherheitsrichtlinie. Sie legt die Pflichten fest, die jeder Mitgliedstaat umzusetzen hat, einschließlich der Größen- und Sektorprüfung für wesentliche und wichtige Einrichtungen. Umsetzungsfrist war der 17. Oktober 2024.

EU Durchführung

Durchführungsverordnung (EU) 2024/2690

Technische und methodische Maßnahmen für Anbieter digitaler Infrastruktur. In Schweden unmittelbar anwendbar, ohne nationale Umsetzung.

Schwedische Umsetzung

Cybersäkerhetslagen (SFS 2025:1506), in Kraft seit dem 15. Januar 2026

Die schwedische NIS 2 Umsetzung. Ausgefertigt am 11. Dezember 2025 auf Basis der Proposition 2025/26:28 'Ett starkt skydd för nätverks- och informationssystem'. Begleitet von der Cybersäkerhetsförordningen sowie Vorschriften und Leitlinien der Sektorbehörden. Hebt die alte NIS 1 Umsetzung von 2018 auf, lässt sie aber für Sachverhalte vor dem 15. Januar 2026 weitergelten.

Drei Punkte, die man kennen muss
Was sich für Einrichtungen mit Aktivität in Schweden ändert.
Umsetzung

Cybersäkerhetslagen (SFS 2025:1506)

Bringt die NIS 2 Pflichten in schwedisches Recht. Die Kommission hatte am 7. Mai 2025 ein Vertragsverletzungsverfahren mit begründeter Stellungnahme eröffnet. Mit der Cybersäkerhetslagen, in Kraft seit dem 15. Januar 2026, ist Schweden formal umgesetzt. Begleitende Cybersäkerhetsförordning und Vorschriften der Sektorbehörden füllen den operativen Detailrahmen.

Aufsicht

MCF als Anlaufstelle, CERT-SE als CSIRT, Sektorbehörden als Aufsicht

Schweden setzt auf ein dezentrales Aufsichtsmodell. MCF (Myndigheten för civilt försvar, vormals MSB) ist nationaler Single Point of Contact und betreibt CERT-SE als nationales CSIRT. Die operative Aufsicht liegt jedoch bei den Sektorbehörden: PTS für digitale Infrastruktur und Telekommunikation, Energimyndigheten für Energie, Transportstyrelsen für Verkehr, Finansinspektionen für den Finanzsektor, IVO für Gesundheit, Livsmedelsverket für Trinkwasser.

Fristen

Registrierung und Meldung

MCF betreibt das nationale Anmeldeportal nach der Cybersäkerhetslagen. Pflichtige Einrichtungen müssen sich unverzüglich nach Inkrafttreten registrieren. Erhebliche Sicherheitsvorfälle folgen der Richtlinie: Frühwarnung in 24 Stunden, Meldung in 72 Stunden, Abschlussbericht in einem Monat. Für Vertrauensdienste verkürzt sich die Hauptmeldung auf 24 Stunden.

Zwei Prinzipien, die jeden Grenzfall klären
Vor jedem schwedischen Kommentar zu NIS 2 lesen.

In Schweden gilt schwedisches Recht

Aktivitäten auf schwedischem Staatsgebiet folgen der schwedischen Umsetzung. Ein deutscher Geschäftsführer mit schwedischer Tochter liest für diese Tochter die Cybersäkerhetslagen (SFS 2025:1506), nicht das BSIG. Die Richtlinienpflichten sind identisch. Verfahren, Anmeldestelle und Sanktionen stehen aber im schwedischen Recht.

Schweden darf nicht unter das EU Niveau fallen

Die Richtlinie ist eine Mindestharmonisierung. Schweden darf strenger werden und hat in einigen Punkten von der Spielraumklausel Gebrauch gemacht, etwa beim 'whole-entity' Ansatz, der die gesamte Einrichtung erfasst, nicht nur den dienstebenden Teil. Schweden darf aber nicht unter die Richtlinie fallen, weder bei den Pflichten für wesentliche und wichtige Einrichtungen, noch bei Meldefristen, noch bei der Verantwortung des Leitungsorgans.

Wer macht was in Schweden
Drei Institutionen, die in fast jeder NIS 2 Frage auftauchen.
SE

MCF (vormals MSB)

Myndigheten för civilt försvar, seit dem 1. Januar 2026 unter diesem Namen, davor Myndigheten för samhällsskydd och beredskap (MSB). Nationaler Single Point of Contact für NIS 2 und Träger von CERT-SE. Betreibt das Anmeldeportal nach der Cybersäkerhetslagen. Die operative Sektoraufsicht liegt nicht bei MCF, sondern bei den jeweiligen Sektorbehörden.

SE

CERT-SE

Das nationale CSIRT für Schweden, organisatorisch bei MCF. Nimmt erhebliche Sicherheitsvorfälle nach NIS 2 entgegen, unterstützt Einrichtungen 24/7 und tauscht Informationen im EU CSIRT Netzwerk aus. Erreichbar unter cert@cert.se. Im Sommer 2026 soll ein Teil der operativen und strategischen Cyberaufgaben von MCF zur Försvarets radioanstalt (FRA) übergehen, CERT-SE bleibt zunächst nationale Meldestelle.

EU

ENISA

Die EU Cybersicherheitsagentur. Veröffentlicht Leitlinien, betreibt die europäische Schwachstellendatenbank und koordiniert grenzüberschreitend. Keine Aufsicht für schwedische Einrichtungen. Die liegt bei MCF und den Sektorbehörden.

Fallstricke
Fehler, die wir sehen, wenn schwedische Einrichtungen NIS 2 zum ersten Mal lesen.

  • Schweden und Deutschland regeln das gleich.

    Die Pflichten aus der Richtlinie sind identisch, die Strukturen nicht. Deutschland setzt mit BSI auf eine zentrale Aufsicht über das BSIG. Schweden trennt: MCF ist nationale Anlaufstelle und CERT-SE Träger, die operative Aufsicht liegt bei einer Reihe von Sektorbehörden. Eine deutsche Mutter mit schwedischer Tochter braucht für die Tochter den Sektorregulator als Aufsichtsadresse, nicht MCF.

  • Solange ich nicht angeschrieben werde, bin ich nicht im Scope.

    Schweden arbeitet wie die meisten Mitgliedstaaten mit einer Selbsteinstufung. Wer die Größen- und Sektorprüfung der Richtlinie erfüllt, ist Pflichtige Einrichtung, unabhängig davon, ob MCF eine Liste herausgibt. MCF betreibt das nationale Anmeldeportal und Einrichtungen mussten sich unverzüglich nach Inkrafttreten registrieren. Eine fehlende Aufforderung schützt nicht vor Sanktionen.

  • Wir reden nur mit unserer Sektorbehörde.

    Die Sektorbehörde ist die Aufsicht, MCF ist die Anmeldestelle und CERT-SE die Vorfallannahme. In der Praxis berühren NIS 2 Themen oft alle drei: Anmeldung über das MCF Portal, laufende Aufsicht durch PTS, Energimyndigheten, Finansinspektionen oder andere, und Vorfallmeldung an CERT-SE. Wer nur einen Adressaten kennt, hat die schwedische Architektur halb gelesen.

Aus der Praxis

Die meisten schwedischen Mittelstandsbetreiber, die uns begegnen, haben das gesamte Jahr 2025 in der Schwebe verbracht. Bis Mitte Dezember 2025 stand die Cybersäkerhetslagen nur als Proposition 2025/26:28 im Riksdag. Die Folge: viele Geschäftsführer haben die NIS 2 Vorbereitung pausiert und mussten dann kurz nach dem 15. Januar 2026 Anmeldung und Erstdokumentation parallel erledigen.

Der praktische Schritt ist der gleiche wie überall in der EU: Anwendbarkeit gegen die Richtlinie prüfen, über das nationale Portal (hier MCF) anmelden, die vier Dauerpflichten aufsetzen (Registrierungsdaten pflegen, Vorfallmeldung, Lieferkettenrisiko, Aufsicht durch das Leitungsorgan) und das Minimum dokumentieren. Die Sektorbehörde bleibt Aufsichtsadresse, MCF und CERT-SE die operativen Kanäle.

Was die Plattform liefert

Wir bauen das NIS 2 Pflichtenregister auf der EU Ebene, nicht auf einer einzelnen nationalen Umsetzung. Die gleiche Checkliste passt für eine schwedische Tochter unter Cybersäkerhetslagen, eine deutsche Mutter unter BSIG und eine niederländische Schwester unter dem Cyberbeveiligingswet. Die Artikelverweise wechseln pro Land, die Pflichten in der Sache nicht.

Für den schwedischen Scope startet man mit der Anwendbarkeitsprüfung, dann Anmeldung bei MCF, Meldetakt über CERT-SE, Lieferkettenklauseln und Freigabe durch das Leitungsorgan. Wo PTS, Energimyndigheten oder Finansinspektionen Sektorvorschriften erlassen, verlinken wir sie. Wir kopieren sie nicht.

Quellen
  • Richtlinie (EU) 2022/2555 (NIS 2) — EUR-Lex
  • Durchführungsverordnung (EU) 2024/2690
  • Cybersäkerhetslagen (SFS 2025:1506) — Sveriges riksdag
  • Proposition 2025/26:28 'Ett starkt skydd för nätverks- och informationssystem' — Sveriges riksdag
  • MCF (Myndigheten för civilt försvar, vormals MSB) — offizielle Seite
  • CERT-SE — nationales schwedisches CSIRT (bei MCF)
  • Europäische Kommission — NIS2 Directive implementation in Sweden (digital-strategy.ec.europa.eu)
  • PTS, Energimyndigheten, Transportstyrelsen, Finansinspektionen, IVO, Livsmedelsverket — Sektoraufsichten
Schwedischen Scope in unter fünf Minuten klären
Die Anwendbarkeitsprüfung wendet den Größen- und Sektorentest der Richtlinie an. Wenn die schwedische Tochter im Scope ist, ist der nächste Schritt das MCF Anmeldeportal.
Anwendbarkeitsprüfung starten