NIS2-direktivet och den svenska cybersäkerhetslagen har stor påverkan på många organisationer i Sverige. Vad innebär det? Du hittar svaren i vår kompletta guide till vad NIS2, där du får veta vilka som omfattas, de krav som gäller och hur du blir compliant enligt cybersäkerhetslagen.
💡 Vill du förstå exakt vilka krav lagen ställer och hur din verksamhet påverkas?
Vad är NIS2-direktivet och vad innebär cybersäkerhetslagen i Sverige?
NIS2-direktivet är EU:s uppdaterade regelverk för cybersäkerhet. Syftet är att skapa en hög gemensam säkerhetsnivå för nätverks- och informationssystem inom unionen. Direktivet, (EU) 2022/2555, ersätter det tidigare NIS-direktivet från 2016 och innebär både ett bredare tillämpningsområde och skärpta krav på de verksamheter som omfattas.
Bakgrunden till NIS2 är att EU bedömt att den tidigare regleringen inte längre är tillräcklig eftersom de flesta samhällsviktiga funktioner är beroende av digitala system, som är sårbara för cyberhot. Cyberincidenter kan få stora konsekvenser för samhället inom områden som energiförsörjning, transporter, vård, digital infrastruktur och finansiella tjänster. NIS2 ska stärka både förebyggande säkerhetsarbete och förmågan att hantera incidenter när de väl inträffar.
NIS2 omfattar fler sektorer och verksamheter. Dessutom har kraven på riskhantering, incidentrapportering, leverantörssäkerhet och ledningsansvar har skärpts. NIS blev grunden för ett gemensamt europeiskt cybersäkerhetsarbete, medan NIS2 gör cybersäkerhet till en tydlig fråga för styrning, tillsyn och regelefterlevnad.
I Sverige har NIS2 genomförts genom den nya cybersäkerhetslagen. Det betyder att NIS2 är EU-regelverket, medan cybersäkerhetslagen är den svenska lag som gör reglerna gällande här. Riksdagen beslutade om lagen under 2025, och den nya cybersäkerhetslagen (2025:1506) trädde i kraft den 15 januari 2026. Samtidigt upphävdes den tidigare svenska NIS-lagen.
NIS2 i Sverige – så har direktivet införts genom cybersäkerhetslagen
Den centrala lagen som gäller i Sverige är cybersäkerhetslagen (2025:1506), som trädde i kraft den 15 januari 2026. Det är denna lag som gör att NIS2-direktivet gäller i Sverige.
Tillsynen över cybersäkerhetslagen är sektorsbaserad. Det innebär att olika myndigheter ansvarar för olika branscher. MSB har en samordnande roll, Post- och telestyrelsen ansvarar för elektronisk kommunikation, Finansinspektionen för finansiella aktörer och Energimyndigheten för energisektorn.
På EU-nivå antogs NIS2-direktivet i december 2022. I Sverige trädde den nya cybersäkerhetslagen i kraft i januari 2026, vilket innebär att fokus nu ligger på efterlevnad. För organisationer handlar det om att säkerställa att de uppfyller kraven i den svenska cybersäkerhetslagen.
NIS2 i Sverige innebär att organisationer nu omfattas av ett konkret nationellt regelverk – cybersäkerhetslagen – med tydliga krav, tillsyn och sanktioner. För svenska verksamheter är det avgörande att förstå hur EU-direktivet omsatts i svensk lag och hur tillsynen fungerar i praktiken.
Vilka omfattas av NIS2 och cybersäkerhetslagen?
NIS2-direktivet och den svenska cybersäkerhetslagen omfattar betydligt fler organisationer än den tidigare NIS-regleringen. Regelverket bygger på en kombination av sektor, storlek och verksamhetens betydelse för samhället.
Organisationer delas in i två kategorier: så kallade “essential entities” (väsentliga entiteter eller verksamheter) och “important entities” (viktiga entiteter eller verksamheter). De förstnämnda anses särskilt kritiska för samhällsfunktioner och omfattas av mer omfattande tillsyn, medan de andra har långtgående krav men generellt något mindre intensiv tillsyn.
NIS2 omfattar sektorer som:
- Energi
- Transport
- Hälso- och sjukvård
- Digital infrastruktur
- Offentlig sektor
- Finansiella tjänster.
- Livsmedelsproduktion
- Avfallshantering
- Tillverkningsindustri
Huvudregeln är att organisationer med minst 50 anställda eller en omsättning över 10 miljoner euro omfattas, men det finns undantag där även mindre aktörer inkluderas, särskilt om de har en kritisk roll i samhället eller i leverantörskedjor.
För många organisationer innebär det att de måste ha kunskap om hur regelverket påverkar deras verksamhet. Ett viktigt första steg är att tidigt göra en bedömning av om organisationen omfattas av cybersäkerhetslagen.
Ett exemepl är att ett medelstort SaaS-bolag som levererar tjänster till offentlig sektor kan omfattas av NIS2 även om det inte är en klassisk samhällsviktig aktör.
Krav och skyldigheter enligt NIS2 och cybersäkerhetslagen
NIS2-direktivet och den svenska cybersäkerhetslagen ställer stora krav på hur organisationer ska arbeta med cybersäkerhet, både genom tekniska säkerhetsåtgärder och organisatoriska processer.
En viktig del är kravet på riskhantering som bland annat innebär att företagen systematiskt måste identifiera, analysera och vidta åtgärder gällande risker kopplade till nätverks- och informationssystem. Arbetet ska dokumenteras och måste vara integrerat i verksamheten.
Incidentrapportering är ett annat viktigt krav. Det finns fastställda tidsramar som innebära att organisationer måste upptäcka och rapportera incidenter.
Enligt NIS2 måstet lämpliga säkerhetsåtgärder även införas, vilket kan handla om tekniska lösningar som åtkomstkontroll, kryptering och övervakning, men också om organisatoriska åtgärder som policys, utbildning och interna processer.
En viktig nyhet i regelverket är kraven på att hantera leverantörs- och tredjepartsrisker. Detta innebär att organisationerna måste säkerställa att även externa parter uppfyller relevanta säkerhetskrav, ett ansvar som inte går att överföra genom outsourcing.
Slutligen innebär NIS2 ett tydligt ledningsansvar. Styrelse och högsta ledning ska godkänna och följa upp cybersäkerhetsarbetet, vilket gör att frågan lyfts från en teknisk nivå till en strategisk och verksamhetskritisk nivå.
NIS2 berör inte bara IT-avdelningen utan även ledning, juridik, compliance och verksamhetsstyrning.
Incidentrapportering enligt NIS2 och cybersäkerhetslagen
Organisationer som omfattas av NIS2 och cybersäkerhetslagen är skyldiga att rapportera betydande incidenter som påverkar deras verksamhet.
En incident ska rapporteras när den påverkar tillgänglighet och integritet eller om den får konsekvenser för kunder, användare eller samhällsviktiga funktioner. Det är incidentens påverkan som avgör.
Den första rapporten efter att organisationen blivit medveten om en incident ska lämnas inom 24 timmar. Efter det ska en mer detaljerad rapport lämnas inom 72 timmar, följt av en slutrapport när incidenten har hanterats.
I Sverige sker rapportering till ansvarig tillsynsmyndighet. Det kan exempelvis vara MSB, Post- och telestyrelsen eller Finansinspektionen. Det är viktigt att organisationen vet vilken myndighet de ska rapportera till och att ha etablerat rutiner för hur en rapportering ska gå till.
Uppfyller organisationen inte kraven på incidentrapportering kan det leda till sanktionsavgifter och tillsynsåtgärder. Därför är det avgörande att ha tydliga processer för att upptäcka, bedöma och rapportera incidenter inom de tidsramar som lagen kräver.
Sanktioner och böter enligt NIS2 och cybersäkerhetslagen
Organisationer som inte uppfyller kraven på cybersäkerhet kan i och med den nya cybersäkerhetslagen och NIS2 drabbas av betydande sanktionsavgifter.
För verksamheter som klassas som “essential entities” (väsentlig verksamhet) kan böterna uppgå till upp till 10 miljoner euro eller 2 procent av den globala årsomsättningen. För “important entities” (viktig verksamhet) är motsvarande nivå upp till 7 miljoner euro eller 1,4 procent av omsättningen.
Det som kan ge sanktionsavgifter är bland annat otillräcklig riskhantering, bristande säkerhetsåtgärder eller underlåtenhet att rapportera incidenter. Det krävs alltså inte att en allvarlig cyberattack inträffat för att ge sanktionsavgifter.
Tillsynen i Sverige är sektorsbaserad, vilket innebär att olika myndigheter ansvarar för olika branscher. Dessa myndigheter har rätt att begära in information, genomföra granskningar och utfärda förelägganden.
En tydlig förändring i NIS2 är att ansvaret ligger hos företagets ledning. Styrelse och ledning måste godkänna och följa upp cybersäkerhetsarbetet, vilket innebär att cybersäkerhet blir en strategisk fråga.
Skillnader mellan NIS och NIS2
NIS2-direktivet innebär en omfattande utveckling av det tidigare NIS-regelverket. De viktigaste skillnaderna kan sammanfattas så här:
Utökad omfattning
- NIS: Begränsat antal sektorer och utpekade aktörer
- NIS2: Betydligt fler sektorer och organisationer omfattas
Många fler företag omfattas av NIS2 jämfört med tidigare.
Skärpta krav
- NIS: Övergripande principer och större tolkningsutrymme
- NIS2: Konkreta krav på:
- Riskhantering
- Incidentrapportering
- Säkerhetsåtgärder
- Leverantörskontroll
Organisationer måste inte bara arbeta med säkerhet – utan kunna visa hur.
Högre sanktioner
- NIS: Lägre och varierande bötesnivåer
- NIS2: Harmoniserade böter inom EU
- Upp till 10 miljoner euro eller % av omsättning
Bristande efterlevnad kan få betydande ekonomiska konsekvenser.
Ökat fokus på leverantörskedjan
- NIS: Begränsat fokus på tredjepartsrisk
- NIS2: Krav på att:
- Säkerställa leverantörers säkerhet
- Ställa krav i avtal
- Följa upp externa aktörer
Cybersäkerhet omfattar hela ekosystemet – inte bara den egna organisationen.
Hur blir man compliant med NIS2 och cybersäkerhetslagen?
Att bli compliant kräver ett strukturerat och riskbaserat arbetssätt. För många organisationer innebär detta att etablera eller vidareutveckla ett systematiskt cybersäkerhetsarbete.
Ett första steg är att genomföra en gap-analys för att identifiera skillnader mellan befintlig säkerhetsnivå och kraven i NIS2. Därefter behöver organisationen genomföra en riskbedömning där kritiska tillgångar, hot och sårbarheter analyseras.
Baserat på detta införs tekniska och organisatoriska säkerhetsåtgärder. Det kan handla om allt från åtkomstkontroller och kryptering till policys, utbildning och interna processer. Samtidigt måste organisationen etablera en fungerande incidenthantering, inklusive förmåga att upptäcka och rapportera incidenter inom de tidsramar som lagen kräver.
Slutligen är dokumentation avgörande. Organisationer måste kunna visa hur de arbetar med cybersäkerhet, vilket innebär att riskanalyser, åtgärder och processer behöver vara tydligt dokumenterade.
Många organisationer använder etablerade standarder som ISO 27001 eller CIS Controls som stöd i arbetet. Dessa kan bidra med struktur och metodik, men det är viktigt att komma ihåg att det är kraven i cybersäkerhetslagen som ytterst måste uppfyllas.
Checklista – är ni redo för NIS2 och cybersäkerhetslagen?
För att avgöra om en organisation uppfyller kraven i NIS2 och den svenska cybersäkerhetslagen behöver både verksamhet och säkerhetsarbete ses över. Här är en checklista för att se över vad ni har och vad som saknas.
- Omfattas vi av NIS2?
Tillhör ni en relevant sektor, uppfyller storlekskrav eller har en roll i samhällsviktig verksamhet? - Har vi ett strukturerat säkerhetsarbete?
Finns riskanalys, säkerhetsåtgärder och ett systematiskt arbetssätt? - Kan vi hantera och rapportera incidenter?
Har ni processer för att upptäcka, hantera och rapportera inom 24/72 timmar? - Har vi kontroll över leverantörsrisker?
Ställer ni krav på leverantörer och följer upp deras säkerhet? - Är cybersäkerhet förankrad i ledningen?
Har styrelse och ledning ett tydligt ansvar och uppföljning? - Är arbetet dokumenterat?
Finns dokumentation av risker, åtgärder och processer?
Om något av detta saknas finns sannolikt brister i förhållande till NIS2.
Snabb självbedömning
Ni är sannolikt på rätt nivå om:
- Ni vet att ni omfattas
- Säkerhetsarbetet är strukturerat
- Incidentrapportering fungerar
- Ledningen är involverad
- Arbetet är dokumenterat
Ni har sannolikt brister om:
- Ni är osäkra på om ni omfattas
- Arbetet är otydligt eller informellt
- Incidenthantering inte är testad
- Leverantörsrisk saknar struktur
- Ledningen inte är involverad
FAQ: Vanliga frågor om NIS2 och cybersäkerhetslagen
Vad är NIS2-direktivet?
NIS2-direktivet är EU:s regelverk för cybersäkerhet som syftar till att skapa en hög gemensam säkerhetsnivå för nätverk och informationssystem inom unionen. Det ersätter det tidigare NIS-direktivet och ställer skärpta krav på riskhantering, incidentrapportering och säkerhetsåtgärder för samhällsviktiga och viktiga verksamheter.
När träder NIS2 i kraft i Sverige?
NIS2 har införts i Sverige genom den nya cybersäkerhetslagen, som trädde i kraft den 15 januari 2026. Fokus ligger nu på att organisationer ska uppfylla kraven och kunna visa efterlevnad.
Vilka företag omfattas av NIS2?
NIS2 omfattar företag och organisationer inom ett antal samhällsviktiga sektorer, såsom energi, transport, hälso- och sjukvård, digital infrastruktur, offentlig sektor och finansiella tjänster. Huvudregeln är att företag med minst 50 anställda eller en omsättning över 10 miljoner euro omfattas, men även mindre aktörer kan inkluderas om de har en kritisk roll.
Vad är cybersäkerhetslagen?
Cybersäkerhetslagen är den svenska lag som genomför NIS2-direktivet. Den reglerar vilka organisationer som omfattas, vilka krav som gäller och hur tillsyn och sanktioner ska hanteras i Sverige. Det är denna lag som företag behöver följa i praktiken.
Vad händer om man inte följer NIS2?
Organisationer som inte följer NIS2 och cybersäkerhetslagen kan drabbas av sanktionsavgifter, tillsynsåtgärder och förlorat förtroende. Böter kan uppgå till upp till 10 miljoner euro eller en procentandel av den globala omsättningen, beroende på verksamhet och överträdelse.
Behöver små företag följa NIS2?
Små företag omfattas normalt inte automatiskt, men kan ändå beröras om de verkar inom kritiska sektorer eller ingår i leverantörskedjor till organisationer som omfattas av NIS2. Det är därför viktigt att göra en individuell bedömning.
Är NIS2 bara relevant för IT-avdelningen?
Nej. NIS2 är ett verksamhetsövergripande regelverk som även berör ledning, juridik, inköp och verksamhetsstyrning. Ledningen har ett tydligt ansvar för cybersäkerheten enligt lagen.
Vad är skillnaden mellan NIS2 och cybersäkerhetslagen?
NIS2 är EU-direktivet, medan cybersäkerhetslagen är den svenska lag som gör direktivet tillämpligt i Sverige. För företag är det cybersäkerhetslagen som är direkt bindande.
