NIS2 och DORA: Compliance-boomen som driver efterfrågan på säkerhetskonsulter 2026

Säkerhet är den hetaste kompetensen på den svenska IT-konsultmarknaden just nu. Med 1 587 aktiva uppdrag som inkluderar säkerhetskrav är det den snabbast växande kategorin — och drivkraften bakom tillväxten är två EU-regelverk som nu kommit i full kraft: NIS2 och DORA. För konsulter med rätt certifieringar och erfarenhet är detta ett av de mest lönsamma spåren på marknaden.

Vad NIS2 innebär för svenska IT-konsulter

NIS2 (Network and Information Security Directive 2) trädde i kraft i Sverige den 18 oktober 2024 och ersätter det äldre NIS-direktivet. Regelverket breddar kretsen av verksamheter som måste uppfylla strikta krav på cybersäkerhet, incidentrapportering och riskhantering dramatiskt.

Vilka omfattas?

NIS2 delar in verksamheter i två kategorier: väsentliga entiteter (essential entities) och viktiga entiteter (important entities). Väsentliga entiteter inkluderar:

• Energisektorn (el, gas, olja, fjärrvärme)
• Transport (järnväg, flyg, hamnar, kollektivtrafik)
• Hälso- och sjukvård
• Dricksvatten och avloppshantering
• Digital infrastruktur (molntjänster, datacenter, CDN-leverantörer, DNS)
• Offentlig förvaltning (centrala myndigheter)
• Rymdsektorn

Viktiga entiteter täcker dessutom post- och budtjänster, avfallshantering, kemikalieindustri, livsmedelsindustri och tillverkning av kritiska produkter.

Kraven är skarpa. Organisationer måste implementera riskbaserade säkerhetsåtgärder, ha incidentresponseprocesser på plats, rapportera allvarliga incidenter till NCSC inom 24 timmar (och fullständig rapport inom 72 timmar), säkra leverantörskedjor och genomföra regelbundna säkerhetstester. Ledningsansvar är en central del — styrelse och VD kan hållas personligt ansvariga vid allvarliga brister.

Vad detta innebär för konsultmarknaden: Tusentals svenska företag behöver nu bygga upp eller förstärka sin säkerhetsfunktion. De flesta har inte rätt kompetens internt och vänder sig till konsulter för att genomföra gap-analyser, implementera ramverk och bygga incident response-kapacitet.

Vad DORA innebär (finanssektorn, i kraft januari 2025)

DORA (Digital Operational Resilience Act) gäller specifikt finanssektorn och trädde i full kraft den 17 januari 2025. Regelverket täcker banker, försäkringsbolag, värdepappersföretag, pensionsförvaltare, betalningsinstitut och — kritiskt — deras kritiska IT-leverantörer och tredjepartsleverantörer av molntjänster.

DORA ställer krav inom fem huvudområden:

• ICT Risk Management — Formellt ramverk för hantering av IT-risker med tydlig styrning
• ICT Incident Management — Klassificering och rapportering av allvarliga incidenter till Finansinspektionen
• Digital Operational Resilience Testing — Regelbundna tester inklusive avancerade TLPT (Threat-Led Penetration Testing)
• ICT Third-Party Risk — Granskning och kontraktuella krav på alla kritiska IT-leverantörer
• Information Sharing — Delning av hotinformation med branschen

TLPT-kravet är särskilt intressant för konsultmarknaden. Det kräver att certifierade pen-testare genomför avancerade tester som simulerar riktiga hotaktörer mot finansiella institutioners kritiska system — ett område där det råder brist på kompetent personal.

Svenska företag som berörs direkt

De regulatoriska kraven berör ett brett spektrum av svenska storföretag och myndigheter. Här är några av de mest aktiva aktörerna på konsultmarknaden just nu:

Energi och infrastruktur (NIS2):

• Vattenfall — Täcker el, värme och vindkraft i Sverige och Europa; NIS2-scope är omfattande
• E.ON Sverige — Elnät och energidistribution; strikta krav på OT-säkerhet
• Vattenfall Eldistribution — Separat entitet med eget NIS2-ansvar för elnätsinfrastruktur

Telekommunikation (NIS2):

• Telia — Digital infrastruktur och elektronisk kommunikation; dubbel exponering som leverantör till andra NIS2-entiteter
• Telenor Sverige och Tre — Liknande scope

Finanssektorn (DORA):

• SEB — En av de mest aktiva köparna av DORA-kompetens på marknaden
• Swedbank — Stor compliance-organisation med löpande behov av externa specialister
• Handelsbanken — Konservativ organisation som nu tvingas modernisera sitt riskramverk
• Folksam — Försäkring; täcks av DORA och arbetar med ICT third-party risk
• If Skadeförsäkring — Stor nordisk försäkringsaktör med behov av DORA-stöd
• Länsförsäkringar — Kombinerat bank- och försäkringsbolag med brett DORA-scope

Försvar och kritisk tillverkning (NIS2):

• Saab — Försvarsindustri med krav på både NIS2 och NATO-relaterade säkerhetsramverk
• BAE Systems Sverige — Liknande profil

Offentlig sektor:

• Försäkringskassan, Skatteverket, MSB och regionerna arbetar alla med NIS2-implementation.

Roller i efterfrågan — och vad de betalar

Compliance-boomen driver efterfrågan på ett antal specifika profiler. Dessa är de mest eftersökta just nu:

CISO-rådgivare / Interim CISO
Organisationer som saknar intern CISO-kompetens anlitar konsulter på deltid eller för avgränsade projekt. Rollen kräver bred erfarenhet av säkerhetsstyrning, förmåga att kommunicera med styrelse och ledning, och djup förståelse för NIS2/DORA-kraven.

GRC-konsult (Governance, Risk & Compliance)
Den mest efterfrågade profilen. GRC-konsulter genomför gap-analyser mot NIS2/DORA, implementerar riskramverk (ISO 27005, NIST CSF), utformar policies och säkerställer dokumentation för revisioner. Uppdragen är ofta 6–18 månader långa.

Säkerhetsrevisor / IT-revisor
Intern och extern revision av säkerhetskontroller, leverantörsgranskning enligt DORA art. 28–44, och förberedelse inför tillsynsmyndigheternas inspektioner (FI, IMY, NCSC).

Pen-testare med TLPT-kompetens
DORA kräver avancerade red team-övningar (Threat-Led Penetration Testing) utförda av certifierade aktörer. TIBER-EU-ramverket används som standard i Sverige. Det råder akut brist på konsulter med denna kompetens — arvodena är marknadens högsta.

Incident Response-specialist
Organisationer behöver öva och validera sin incidentresponsförmåga. IR-konsulter bygger playbooks, kör tabletop-övningar och stöder vid faktiska incidenter. NIS2:s 24-timmarskrav på rapportering skapar starkt incitament att ha detta på plats.

IT Risk Manager
Koordinerar det löpande arbetet med ICT-riskhantering, leverantörsgranskning och intern kontroll. Rollen är ofta en bridge mellan IT och compliance/legal.

Arvoden: vad marknaden betalar

Compliance-specialister befinner sig i den absoluta toppen av konsultmarknaden. Här är marknadens referenspunkter för 2026:

Roll	Timarvode (SEK)
GRC-konsult (NIS2/DORA)	1 100–1 400 kr/h
Säkerhetsrevisor / IT-revisor	1 100–1 350 kr/h
CISO-rådgivare / Interim CISO	1 300–1 800 kr/h
Incident Response-specialist	1 200–1 600 kr/h
Pen-testare (TLPT/red team)	1 300–1 800 kr/h
IT Risk Manager (DORA)	1 050–1 350 kr/h

Toppen av marknaden — TLPT-certifierade pen-testare och erfarna interim CISO:er — handlar om 1 600–1 800 kr/h. Det är ett av de högsta arvodena för enskilda konsulter inom något tekniskt område.

Hur du positionerar dig för compliance-konsulting

Att bygga en trovärdig compliance-profil kräver rätt kombination av certifieringar, praktisk erfarenhet och branschkännedom. Här är vad som faktiskt värderas:

Certifieringar med tyngd på marknaden:

• CISM (Certified Information Security Manager) — ISACA-certifiering som är standard för GRC och management-roller. Starkt igenkänd hos svenska kunder.
• CISSP (Certified Information Systems Security Professional) — Bred säkerhetscertifiering som signalerar djup teknisk och styrningsrelaterad kompetens. Krävs ofta i CISO-uppdrag.
• ISO 27001 Lead Auditor — Praktiskt inriktad certifiering som visar att du kan genomföra formella revisioner mot ISO 27001. Direkt tillämpbar i NIS2-arbete.
• ISO 27001 Lead Implementer — Komplement till Lead Auditor; visar förmåga att bygga ISMS från grunden.
• OSCP (Offensive Security Certified Professional) — Industristandard för pen-testare. Krav i de flesta TLPT-relaterade uppdrag. Kombineras gärna med CRTO (red team) för DORA-specifika uppdrag.
• CRISC (Certified in Risk and Information Systems Control) — ISACA-certifiering fokuserad på IT-riskhantering. Stark profil för DORA ICT Risk Management-uppdrag.

Positioneringsstrategi:

Kombinera teknisk trovärdighet med regulatorisk specialisering. Kunder köper inte generella säkerhetskonsulter — de letar efter någon som kan NIS2 eller DORA specifikt, och helst har gjort det förut i deras bransch. En konsult som kan säga "jag har genomfört NIS2 gap-analyser på tre energibolag det senaste året" vinner uppdraget framför den som enbart presenterar certifieringar.

Bygg djupkunskap i antingen NIS2 (energi, telecom, kritisk infrastruktur) eller DORA (finans, försäkring) snarare än att försöka täcka båda lika brett. Regulatorisk detaljkunskap är det som motiverar de högre arvodena.

Nätverket spelar stor roll. ISACA Sweden Chapter och (ISC)² Sweden arrangerar regelbundna events — närvaro där ger kontakter till inköpschefer på de svenska storbolagen som nu sitter med compliance-budgetar att spendera.

Sammanfattning

NIS2 och DORA har skapat ett strukturellt och varaktigt behov av säkerhetskompetens i Sverige. Det handlar inte om en tillfällig efterfrågetopp — regelverken kräver löpande arbete med riskhantering, revision och testning år efter år. För konsulter med rätt certifieringar och praktisk erfarenhet är detta ett av marknadens mest attraktiva och välbetalda spår 2026 och framåt.