NIS2-lagen i praktiken – vad svenska SME-företag faktiskt måste göra

NIS2-lagen i praktiken – vad svenska SME-företag faktiskt måste göra

NIS2-lagen i praktiken – vad svenska SME-företag faktiskt måste göra

Cybersäkerhetslagen (2025:1506) – den svenska implementationen av EU:s NIS2-direktiv – gäller sedan 15 januari 2026. Den berör uppskattningsvis 8 000 svenska organisationer i 18 sektorer och ger tillsynsmyndigheter befogenhet att utdöma sanktionsavgifter på upp till 2% av global omsättning eller 10 miljoner euro. Den här guiden svarar på tre frågor: gäller lagen er, vad måste ni konkret göra, och var börjar ni?

Gäller NIS2 för ert företag?

Lagen gäller er om ni uppfyller båda dessa villkor:

  1. Ni är ett medelstort eller större företag – minst 50 anställda eller minst 10 miljoner euro i omsättning.
  2. Ni är verksamma i en av de 18 utpekade sektorerna.

De 18 sektorerna: energi (el, olja, gas, fjärrvärme), transport (flyg, järnväg, sjöfart, väg), bank och finans, hälso- och sjukvård, dricksvatten och avlopp, IT och digital infrastruktur (molntjänster, datacenter, webbhotell), post och bud, avfallshantering, kemikalier, livsmedel, tillverkning av kritisk utrustning, digitala plattformar (e-handel, sökmotorer, sociala medier) samt forskning och utbildning.

Lagen delar in berörda organisationer i två grupper med olika tillsynsnivå. Väsentliga verksamhetsutövare – stora energibolag, banker, sjukhus, teleoperatörer – kontrolleras proaktivt och kan få regelbundna säkerhetsrevisioner. Viktiga verksamhetsutövare kontrolleras i regel bara när tillsynsmyndigheten har konkret anledning att tro att reglerna inte följs.

Undantag för mindre bolag: Lagen kan ändå gälla om ni är den enda leverantören av en samhällskritisk tjänst, eller om ni arbetar med betrodda tjänster som digitala certifikat och elektroniska signaturer.

Indirekt påverkan via leverantörskedjan: Även om ert bolag faller under trösklarna bör ni räkna med att kunder i reglerade sektorer börjar ställa NIS2-liknande krav via sina leverantörsavtal under 2026. Cybersäkerhet är på väg att bli en handelsmässig hygienstandard – precis som GDPR-efterlevnad blev det under 2018–2020.

De sju konkreta kraven i Cybersäkerhetslagen

Lagen ställer upp sju kravområden. De är teknikneutrala – lagen anger inte vilka specifika verktyg ni ska använda, bara att skyddet ska vara "lämpligt" i förhållande till era risker.

  1. Riskanalys och säkerhetspolicy. Ni ska systematiskt identifiera hot mot era system och ha en dokumenterad säkerhetspolicy.
  2. Incidenthantering. Ni ska ha processer för att upptäcka, begränsa och rapportera säkerhetsincidenter. Tidsgränserna för rapportering behandlas i nästa avsnitt.
  3. Kontinuitet och backup. Ni ska kunna säkerhetskopiera data och återställa system vid ett angrepp – dokumenterat och testat, inte bara påstått.
  4. Leverantörssäkerhet. Ni ska bedöma era IT-leverantörers säkerhetsnivå och kunna visa att ni ställt krav på dem.
  5. Kryptering och behörighetskontroll. Känslig data ska krypteras och åtkomst begränsas efter faktiskt behov.
  6. Multifaktorautentisering (MFA). Stark inloggning krävs för alla system med tillgång till kritisk data eller infrastruktur.
  7. Utbildning. Personal och – viktigt – ledning ska utbildas i cybersäkerhet. Ledningens utbildningsplikt är ett nytt inslag jämfört med föregångaren NIS1.

Incidentrapportering – tre deadlines att komma ihåg

Om er verksamhet drabbas av en allvarlig incident – ett intrång, ett ransomware-angrepp eller en systemstörning som påverkar er förmåga att leverera – gäller dessa tidsgränser:

  • Inom 24 timmar: Första varning till tillsynsmyndigheten. Ni behöver inte ha full klarhet, men ni ska ha identifierat att en incident pågår.
  • Inom 72 timmar: Fullständig incidentrapport med preliminär bedömning av påverkan, orsak och vidtagna åtgärder.
  • Inom 1 månad: Slutrapport om händelseförlopp, åtgärder och lärdomar.

En incident räknas som allvarlig om den orsakar väsentliga störningar i er verksamhet, leder till avsevärda kostnader, eller påverkar era kunder eller samhällsviktiga funktioner. Ni ska dessutom informera berörda kunder om incidenten påverkar dem.

Vid osäkerhet – rapportera. Det är bättre att rapportera en incident som visade sig vara lindrig än att missa ett rapporteringskrav och därmed riskera en sanktionsavgift.

Ledningsansvaret – det nya som chefer missar

NIS2 för med sig ett ansvar som många VD:ar och styrelseledamöter ännu inte är förberedda på: ledningen är personligen ansvarig för att organisationen lever upp till lagen.

Det innebär konkret tre saker. Dels måste VD och styrelseledamöter genomgå utbildning i cybersäkerhet – det är inte valfritt och kan inte delegeras nedåt i organisationen. Dels kan ledningspersoner i allvarliga fall förbjudas att ta ledande uppdrag i 1–3 år, om de med uppsåt eller grov oaktsamhet orsakat en allvarlig överträdelse. Beslutet fattas av förvaltningsdomstol. Dels räcker det inte att "ha IT-avdelningen på det" – ledningen ska aktivt förstå risknivån och godkänna säkerhetsåtgärderna.

Det är ett tydligt skifte: cybersäkerhet är inte längre en teknisk IT-fråga utan en ledningsfråga med personliga konsekvenser.

Sanktioner och böter – vad händer om ni inte följer lagen

Tillsynsmyndighetens sanktionsavgifter är satta för att tas på allvar:

  • Väsentliga verksamhetsutövare: upp till 2% av global omsättning eller 10 miljoner euro – det högsta beloppet gäller.
  • Viktiga verksamhetsutövare: upp till 1,4% av global omsättning eller 7 miljoner euro.
  • Offentliga verksamhetsutövare: upp till 10 miljoner kronor.

En överträdelse betraktas som allvarlig om ni brutit mot reglerna upprepade gånger, inte rapporterat incidenter, inte åtgärdat ett känt problem, hindrat tillsynskontroller eller lämnat felaktiga uppgifter till myndigheten.

Tillsynsmyndigheten har dessutom befogenhet att begära in handlingar och svar, genomföra platsbesök och beställa säkerhetsrevisioner av väsentliga verksamhetsutövare. Kontrollen är alltså inte enbart reaktiv.

Leverantörskedjans krav – vad era kunder börjar ställa

Lagen kräver att NIS2-pliktiga bolag bedömer och ställer krav på sina leverantörers säkerhetsnivå. I praktiken innebär det att era kunder i reglerade sektorer – banker, energibolag, sjukvårdsaktörer, teleoperatörer – under 2026 börjar ställa frågor om er cybersäkerhet som del av upphandling och avtalsförnyelse:

  • Har ni en dokumenterad informationssäkerhetspolicy?
  • Hur hanterar ni incidenter och hur snabbt kommunicerar ni dem till kunder?
  • Använder ni MFA på system med tillgång till kundens data eller infrastruktur?
  • Har ni genomfört en riskbedömning av er IT-miljö det senaste året?

Bolag som inte kan besvara dessa frågor riskerar att sorteras bort i upphandlingar oavsett pris och kvalitet i kärnleveransen. Det är inte längre tillräckligt att "inte ha haft incidenter" – ni behöver kunna visa ett aktivt och dokumenterat säkerhetsarbete.

En praktisk startpunkt: nulägesanalys på en eftermiddag

Det som gör NIS2-krav överväldigande är inte att de är tekniskt svåra – det är att de verkar komplexa att ta grepp om. En enkel nulägesanalys på tre till fyra timmar ger er ett konkret läge att arbeta från. Gå igenom dessa sju punkter:

  1. Har ni en dokumenterad IT-säkerhetspolicy? (Ja / Nej / Delvis)
  2. Testas er backup regelbundet och finns det en dokumenterad återställningsplan?
  3. Finns det en process för att identifiera och rapportera en allvarlig IT-incident – inklusive vem som kontaktar tillsynsmyndigheten?
  4. Är MFA aktiverat på alla externa system och tjänster?
  5. Har leverantörer och tredjeparter getts åtkomst till system utan att deras säkerhetsnivå bedömts?
  6. Har chefer och ledning genomgått utbildning i grundläggande cybersäkerhet det senaste året?
  7. Är er verksamhet registrerad hos tillsynsmyndigheten?

Varje "nej" eller "delvis" är en konkret åtgärd. De flesta SME-bolag som gör den här analysen ärligt landar på 3–5 åtgärder som är hanterbara – inte en total IT-ombyggnad. Dokumentera allt ni gör: vid en tillsynskontroll måste ni kunna visa att ni tar säkerheten på allvar, inte bara hävda det.

Vanliga frågor om NIS2 och Cybersäkerhetslagen

Vilket datum gäller NIS2 i Sverige?

Cybersäkerhetslagen (2025:1506) trädde i kraft den 15 januari 2026. Organisationer som omfattas ska uppfylla kraven från detta datum.

Måste vi anmäla oss till en myndighet?

Ja. Ni ska registrera er verksamhet hos tillsynsmyndigheten. Om uppgifterna förändras – exempelvis att ni breddar verksamheten till en ny sektor – ska uppdatering göras inom 14 dagar.

Vilken myndighet är tillsynsmyndighet för NIS2?

Myndigheten för samhällsskydd och beredskap (MSB) är central samordnare. Beroende på sektor finns även sektorsspecifika tillsynsmyndigheter: Finansinspektionen för bank och finans, Socialstyrelsen för hälso- och sjukvård, Post- och telestyrelsen för elektroniska kommunikationer.

Vi faller under storlekströsklarna – men kunder ställer ändå NIS2-frågor. Vad gör vi?

Ni behöver inte formellt efterleva lagen, men ni behöver kunna svara på frågor om er säkerhetsnivå. Börja med nulägesanalysen ovan och dokumentera ert säkerhetsarbete. Det räcker långt i en leverantörsbedömning.

Vad räknas som en allvarlig IT-incident enligt lagen?

En incident är allvarlig om den orsakar väsentliga störningar i verksamheten, leder till avsevärda ekonomiska förluster, eller påverkar kunder eller samhällsviktiga funktioner negativt. Vid osäkerhet – rapportera. Att missa en rapporteringsskyldighet är en allvarligare överträdelse än att rapportera i onödan.

Bli kontaktad

Bli kontaktad eller ring
077-446 60 60 så hjälper vi dig! 

Cybersäkerhetslagen (2025:1506) – den svenska implementationen av EU:s NIS2-direktiv – gäller sedan 15 januari 2026. Den berör uppskattningsvis 8 000 svenska organisationer i 18 sektorer och ger tillsynsmyndigheter befogenhet att utdöma sanktionsavgifter på upp till 2% av global omsättning eller 10 miljoner euro. Den här guiden svarar på tre frågor: gäller lagen er, vad måste ni konkret göra, och var börjar ni?

Cybersäkerhetslagen (2025:1506) – den svenska implementationen av EU:s NIS2-direktiv – gäller sedan 15 januari 2026. Den berör uppskattningsvis 8 000 svenska organisationer i 18 sektorer och ger tillsynsmyndigheter befogenhet att utdöma sanktionsavgifter på upp till 2% av global omsättning eller 10 miljoner euro. Den här guiden svarar på tre frågor: gäller lagen er, vad måste ni konkret göra, och var börjar ni?

Etiketter: 
No items found.