Är NIS2 tillämplig på mitt företag om vi inte är en myndighet?

Ja — NIS2 riktar sig primärt mot privat sektor. Privata företag inom energi, transport, hälso- och sjukvård, bank, digital infrastruktur, livsmedel, tillverkning och sju andra sektorer omfattas. Om ditt företag har ≥50 anställda ELLER ≥10 MEUR i omsättning och verkar i en av de 18 sektorerna är NIS2 sannolikt tillämplig.

Vad är skillnaden mellan NIS2 och ISO 27001?

ISO 27001 är en internationell standard för informationssäkerhetshantering — en certifiering din organisation kan söka frivilligt. NIS2 är en EU-lag med tvingande krav och sanktioner. ISO 27001-certifiering är inte ett lagkrav men är ett utmärkt sätt att uppfylla och dokumentera NIS2-kraven. Många sektormyndigheter accepterar ISO 27001 som bevis på systematisk säkerhetshantering.

Hur påverkar NIS2 oss som SaaS-leverantör?

Som SaaS-leverantör kan du beröras på två sätt: (1) direkt om du erbjuder digitala tjänster som täcks av Annex II (moln-/sökmotortjänster, sociala medier, online-marknadsplatser), eller (2) indirekt om du levererar till berörda organisationer och de ställer NIS2-baserade säkerhetskrav på sina leverantörer. Förbered säkerhetsdokumentation (penetrationstest, incidentplan, SOC 2/ISO 27001) proaktivt.

Måste VD personligen utbildas i NIS2?

Artikel 20 NIS2 kräver att ledningens organ (styrelse, VD) genomgår utbildning i cybersäkerhetsriskhantering. 'Genomgår' innebär dokumenterad utbildning — inte bara att ha läst ett PM. Sektormyndigheter kan begära dokumentation på att ledningsutbildning genomförts. Upprätthåll utbildningslogg.

Kan vi outsourca NIS2-compliance till en konsult?

Ja, men ansvaret kan inte outsourcas — det ligger kvar hos organisationen och dess ledning. Du kan anlita en CISO-as-a-service, en cybersäkerhetskonsult eller en MSP för att implementera och underhålla NIS2-kraven, men styrelse och VD ansvarar fortsatt för att kraven uppfylls och att personligt ansvar inte kan delegeras.

Vad räknas som en NIS2-incident som måste rapporteras?

En incident som 'orsakar eller kan orsaka allvarlig driftstörning för tjänster eller ekonomisk skada för berörda enheter' (artikel 23.3). I praktiken: intrång i kritiska system, ransomware-angrepp, DDoS-attacker med serviceförlust, kompromitterade leverantörssystem med påverkan på er tjänst. Tvivelaktiga fall — rapportera hellre för tidigt än försent. Tidig varning till sektormyndigheten ger goodwill och tid.

Räcker GDPR:s säkerhetskrav (Art. 32) för att uppfylla NIS2?

Nej. GDPR Art. 32 kräver 'lämpliga tekniska och organisatoriska åtgärder' utan att specificera dem. NIS2 artikel 21 specificerar tio konkreta åtgärdsområden med mer detaljerade krav. NIS2 är mer specifik och ställer krav även på incidentrapportering (24h-varning), leveranskedjesäkerhet och ledningens personliga ansvar — element som inte finns i GDPR.

Måste vi genomföra penetrationstestning?

NIS2 kräver 'policyer och rutiner för bedömning av åtgärdernas effektivitet' (artikel 21.2.f). Penetrationstestning är den mest vedertagna metoden för att bedöma effektiviteten av tekniska säkerhetsåtgärder. De flesta sektormyndigheter och ISO 27001-implementationer inkluderar penetrationstestning som ett förväntade aktiviteter. Frekvensen varierar med riskbild — typiskt minst en gång per år för kritiska system.

Hur hanterar vi NIS2-krav för äldre (legacy) system?

Legacy-system (gamla ERP, SCADA, industriella kontrollsystem) är NIS2:s svåraste utmaning. Alternativa kontroller accepteras: nätverkssegmentering som isolerar legacy-system, kompensatoriska kontroller (extra loggning, manuell övervakning), migrationsplaner med fastslagna tidsgränser. Dokumentera varje legacy-system, dess risknivå och planerade åtgärd — detta är vad sektormyndigheterna granskar.

Gäller NIS2 för ideella organisationer?

Ideella organisationer undantas generellt från NIS2-kraven om de inte bedriver verksamhet i de 18 sektorerna i kommersiell skala. Undantag: om en ideell organisation driver en kritisk digital infrastruktur (t.ex. ett netnät, ett sjukhus, en forskningstjänst) kan NIS2 vara tillämplig baserat på verksamhetens faktiska art, inte organisationsformen.

Hur verifierar vi att våra leverantörer uppfyller NIS2?

Standardiserade metoder: (1) Säkerhetsfrågeformulär (SIG Lite, CAIQ, NIST CSF-baserat) — skicka till kritiska leverantörer och dokumentera svaren; (2) Certifieringsintyg — begär ISO 27001, SOC 2 Type II eller NIS2-compliance-intyg; (3) Avtalsmässiga krav — inkludera rätt till revision i leverantörsavtal; (4) Kontinuerlig övervakning — prenumerera på leverantörers säkerhetsincidentnotifieringar.

Måste vi ha ett SIEM (Security Information and Event Management)?

NIS2 kräver inte specifikt ett SIEM-system. Kravet är loggning och förmåga att detektera och utreda incidenter. Ett SIEM är ett effektivt sätt att uppfylla detta krav, men alternativ accepteras: centraliserad logghantering (t.ex. Elastic Stack, Graylog), MDR-tjänst (Managed Detection and Response), eller strukturerad manuell loggranskning för mindre organisationer.

Hur skiljer sig NIS2 från DORA (finanssektorn)?

DORA (Digital Operational Resilience Act) är en EU-förordning specifikt för finanssektorn (banker, försäkringsbolag, värdepappersföretag, betaltjänstleverantörer). DORA och NIS2 överlappar men DORA är mer specifik för finansiell digital resiliens — stresstestning, incidentrapportering till Finansinspektionen, tredjepartsleverantörshantering. Finanssektorn måste uppfylla BÅDA DORA och NIS2.

Vad är MSB:s roll i NIS2-tillsynen?

MSB (Myndigheten för samhällsskydd och beredskap) är den nationella koordineringsmyndigheten och CSIRT för Sverige under NIS2. MSB koordinerar mellan sektormyndigheterna, samlar in aggregerad incidentstatistik, och representerar Sverige i ENISA:s NIS Cooperation Group. Den direkta tillsynen utövas dock av respektive sektormyndighet — Energimarknadsinspektionen för energi, PTS för digital infrastruktur, IVO för vård, etc.

Hur lång tid tar en NIS2-implementation?

Det beror starkt på nuläget och organisationens storlek. En typisk tidsram för en medelstor organisation (50–250 anst.) med begränsad befintlig cybersäkerhetsstruktur: 6–12 månader för fullständig implementation av alla 10 kravområden. Prioritering: incidentresponsplan och MFA (snabbaste ROI), sedan leverantörsbedömning, sedan tekniska säkerhetsåtgärder, slutligen governance och dokumentation.

Är NIS2 tillämplig på molntjänster vi köper?

Molntjänstleverantörer (AWS, Azure, GCP) kan direkt täckas av NIS2 som väsentliga/viktiga verksamheter (digital infrastruktur, Annex I). Som kund till dessa tjänster ärver du en del av deras säkerhetskontroller via delat ansvar-modellen, men du ansvarar själv för applikationsskiktet, åtkomstkontroll och konfigurering. Kontrollera att dina molnleverantörer är NIS2-certifierade och begär deras compliance-dokumentation.

NIS2 och cybersäkerhetslagen Sverige 2026: komplett guide

NIS2-direktivet är i kraft sedan januari 2025. 18 sektorer, sanktioner upp till 10 MEUR och personligt ansvar för VD och styrelse. Den här guiden täcker vilka organisationer som berörs, de 10 kravområdena och hur du förbereder dig.

Snabbsvar

NIS2 gäller för verksamheter i 18 sektorer (energi, transport, hälso- och sjukvård, bank, digital infrastruktur m.fl.) med ≥50 anställda eller ≥10 MEUR omsättning. Kraven täcker 10 säkerhetsområden inkl. incidentrapportering (24h tidig varning), leveranskedjans säkerhet och ledningens personliga ansvar. Maxsanktion: 10 MEUR eller 2 % av global omsättning.

Vad är NIS2 och cybersäkerhetslagen?

NIS2 — direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå — är EU:s reviderade cybersäkerhetsdirektiv och en kraftig utbyggnad av det ursprungliga NIS-direktivet från 2016. I Sverige implementerades NIS2 via Lag (2024:1134) om cybersäkerhet (cybersäkerhetslagen, informellt "NIS2-lagen"), som trädde i kraft den 1 januari 2025.

NIS2 riktar sig inte mot konsumenter eller webbplatsers slutanvändare — det är ett organisationskrav som riktar sig mot de verksamheter som utgör kritisk infrastruktur och samhällsviktiga tjänster. Men det påverkar indirekt alla organisationer i dessa sektorers leveranskedjor — inklusive SMB som är underleverantörer.

Varför var en revision av NIS1 nödvändig?

NIS1 (2016) visade sig vara för snävt definierat — det täckte bara ett fåtal sektorer och implementerades inkonsekvent över EU:s 27 länder. NIS2 utökar antalet täckta sektorer från 7 till 18, inför mer detaljerade krav, höjer sanktionsnivåerna och inför personligt ansvar för ledning.

Se även: NIS2 cybersäkerhetslagen Sverige 2026 — djupanalys

Ikraftträdande och identifieringsfrist

17 oktober 2024 — EU:s deadline för implementering i nationell lag
1 januari 2025 — Cybersäkerhetslagen i kraft i Sverige
H1 2025 — Sektormyndigheter identifierar och notifierar berörda verksamheter
Löpande 2025–2026 — Tillsyn och sanktionsbeslut börjar löpa

Identifieringsprocessen

Berörda verksamheter identifieras primärt av sektormyndigheten (inte MSB). Du notifieras om att du är identifierad som väsentlig eller viktig verksamhet. Men skyldigheten att följa NIS2 gäller oavsett om du notifierats — du kan inte vänta på att bli kontaktad. Undersök om din verksamhet faller inom de 18 sektorerna och vidta åtgärder proaktivt.

De 18 sektorer som täcks — djupdykning

NIS2 delar in berörda sektorer i väsentliga sektorer (Annex I) och viktiga sektorer (Annex II). Skillnaden avgör sanktionsnivå och tillsynsintensitet — inte kraven i sig.

Annex I — Väsentliga sektorer (högre krav)

Sektor	Exempel på berörda aktörer i Sverige
Energi	Vattenfall, E.ON, elnätsbolag, gasoperatörer
Transport	SJ, Arlanda Express, Trafikverket, Sjöfartsverket
Bankverksamhet	Swedbank, SEB, Handelsbanken, Klarna
Finansmarknadsinfrastruktur	Nasdaq Stockholm, Euroclear
Hälso- och sjukvård	Region Stockholm, Capio, Aleris, 1177
Dricksvatten	Stockholm Vatten, kommunala VA-bolag
Avloppsvatten	Kommunala VA-bolag med reningsverk
Digital infrastruktur	Telia, Telenor, Bahnhof, Sunet, Netnod
IKT-tjänsteförvaltning	Managed service providers, datacenteroperatörer
Offentlig förvaltning	Statliga myndigheter (begränsad tillämpning)
Rymden	ESRANGE, satellitoperatörer

Annex II — Viktiga sektorer

Sektor	Exempel
Post och bud	PostNord, DHL, Bring
Avfallshantering	Renova, Ragn-Sells, kommunala bolag
Kemikalier	Tillverkare och distributörer av farliga kemikalier
Livsmedel	ICA, Coop, Axfood, stora livsmedelstillverkare
Tillverkning	Volvo, Sandvik, Atlas Copco (kritiska produkter)
Digitala leverantörer	Sökmotorer, molnplattformar, sociala medier
Forskning	Universitet och forskningsinstitut

Väsentliga vs viktiga verksamheter

Aspekt	Väsentlig verksamhet	Viktig verksamhet
Sektor	Annex I	Annex II
Storlek (typiskt)	Medelstora+ (≥50 anst. / ≥10 MEUR) + alla i energi/transport/bank	Medelstora (≥50 anst. / ≥10 MEUR)
Tillsynsform	Proaktiv (ex ante) tillsyn	Reaktiv (ex post) tillsyn
Maxsanktion	10 MEUR eller 2 % av global omsättning	7 MEUR eller 1,4 % av global omsättning
Personligt ansvar för ledning	Ja	Ja

SMB och leveranskedjor

Mikroföretag (under 10 anst.) och småföretag (under 50 anst.) är i regel undantagna — men om du är leverantör till en väsentlig eller viktig verksamhet kan du ändå omfattas via NIS2:s leveranskedjebestämmelser. Artikel 21.2(d) kräver att berörda organisationer ställer säkerhetskrav på sina leverantörer.

NIS2-krav: 10 åtgärdsområden

Artikel 21 NIS2 definierar minimikrav för riskhanteringsåtgärder. Dessa konkretiseras i genomförandeförordningar från EU-kommissionen och nationell vägledning från MSB.

#	Kravområde	Praktisk innebörd
1	Policyer för riskanalys och informationssystemsäkerhet	Dokumenterade IT-säkerhetspolicyer, klassificering av kritiska system
2	Incidenthantering	Dokumenterad incidentresponsplan, testövningar, kommunikationsrutin
3	Driftkontinuitet och krishantering	Backup-system, disaster recovery plan, BCP-dokument
4	Leveranskedjans säkerhet	Leverantörsbedömning, säkerhetskrav i avtal, underleverantörsrisk
5	Säkerhet i nätverk och informationssystem	Patch management, nätverkssegmentering, brandväggar
6	Policyer och rutiner för bedömning av åtgärdernas effektivitet	Intern revision, penetrationstestning, sårbarhetsscanning
7	Grundläggande cyberhygien och cybersäkerhetsutbildning	MFA, lösenordspolicy, phishing-träning, onboarding-utbildning
8	Kryptografi och kryptering	Kryptering i vila och transit, nyckelhantering
9	Personalsäkerhet, åtkomstkontroll och tillgångshantering	Behörighetshantering, offboarding-rutin, privilegierad åtkomst
10	Autentisering och säkra kommunikationssystem	MFA på alla kritiska system, VPN, säkra e-postprotokoll (DMARC, DKIM)

Incidentrapportering enligt NIS2

Artikel 23 NIS2 inför ett trestegsrapporteringssystem för cyberincidenter med en tidsram som är striktare än GDPR:s 72-timmarsregel:

Steg	Tidsgräns	Innehåll
1. Tidig varning	24 timmar	Incidenten har inträffat, om den verkar vara ett angrepp eller gränsöverskridande
2. Incidentanmälan	72 timmar	Uppdaterad bedömning av allvar och påverkan, initiala åtgärder
3. Slutrapport	1 månad	Fullständig beskrivning av incident, grundorsak, åtgärder, framtida förebyggande

Vem rapporterar man till?

Incidenter rapporteras till den sektoriella tillsynsmyndigheten (inte MSB direkt). MSB koordinerar och aggregerar information nationellt. CSIRT-SE (Computer Security Incident Response Team) kan kontaktas för teknisk assistans. I Sverige kör MSB incidentrapporteringsportalen.

NIS2 + GDPR — dubbel rapportering

Om en NIS2-incident också innefattar en personuppgiftsincident (GDPR Art. 33) ska båda rapporteringssystemen aktiveras parallellt: NIS2-incidentrapport till sektormyndigheten + GDPR-anmälan till IMY inom 72 timmar. Se: Personuppgiftsincident: anmäl till IMY inom 72 timmar.

Sanktioner och personligt ansvar för ledning

NIS2 inför ett av EU:s hårdaste sanktionssystem för icke-finansiell lagstiftning:

Väsentliga verksamheter: Upp till 10 MEUR eller 2 % av global omsättning (det högre beloppet)
Viktiga verksamheter: Upp till 7 MEUR eller 1,4 % av global omsättning (det högre beloppet)

Personligt ansvar för VD och styrelse

Artikel 20 NIS2 inför ett unikt element: ledningens personliga ansvar. Styrelseledamöter och VD kan personligen hållas ansvariga för organisationens NIS2-brister och — i allvarliga fall — temporärt förbjudas att utöva ledningsfunktioner.

Det handlar om kunskapskravet: ledningen förväntas genomgå utbildning, aktivt godkänna riskbedömningar och säkerhetsåtgärder, och inte blunda för kända brister. "Vi visste inte" är en svagare ursäkt under NIS2 än under GDPR.

Tillsynsmyndigheter i Sverige

Sektor	Tillsynsmyndighet
Övergripande koordinering	MSB (Myndigheten för samhällsskydd och beredskap)
Energi	Energimarknadsinspektionen (Ei)
Transport	Transportstyrelsen
Hälso- och sjukvård	Inspektionen för vård och omsorg (IVO)
Digitala infrastruktur	Post och Telestyrelsen (PTS)
Bankverksamhet	Finansinspektionen (FI)
Livsmedel	Livsmedelsverket

Hur förbereder du dig för NIS2?

NIS2-förberedelse delas typiskt in i fyra faser:

Fas 1: Identifiering och gapanalys (vecka 1–4)

Avgör om din verksamhet faller under Annex I eller II
Kartlägg nuläget för alla 10 kravområden mot artikel 21
Identifiera gaps och prioritera utifrån risk och tid till åtgärd

Fas 2: Policyer och dokumentation (vecka 4–12)

Upprätta eller uppdatera IT-säkerhetspolicy
Dokumentera incidentresponsplan och testa med tabletop-övning
Upprätta BCP (Business Continuity Plan) och DR-plan
Kartlägg leverantörskedjan och identifiera kritiska leverantörer

Fas 3: Tekniska åtgärder (vecka 8–24)

Implementera MFA på alla kritiska system
Kryptera känslig data i vila och transit
Sätt upp strukturerad patch management
Konfigurera DMARC, DKIM, SPF för alla e-postdomäner
Genomför penetrationstest och åtgärda kritiska fynd

Fas 4: Governance och utbildning (löpande)

Utbilda styrelse och ledningsgrupp i NIS2-ansvar
Implementera årliga cybersäkerhetsutbildningar för all personal
Upprätta process för internrevision och tillsynsmyndighetsrapportering

Leveranskedjans säkerhet — konsekvenser för SMB

Artikel 21.2(d) NIS2 kräver att berörda organisationer hanterar säkerheten i sin leveranskedja — inklusive att ställa krav på leverantörer och underleverantörer. Det innebär att om du är leverantör till en bank, ett sjukhus, ett energibolag eller en teleoperatör, kan du förvänta dig att de ber dig besvara säkerhetsfrågeformulär (SIG, CAIQ, NIST CSF-baserade), genomgå revisioner, och uppfylla kontraktuella säkerhetskrav.

Vad berörda organisationer kräver av sina leverantörer

Intyg om NIS2-compliance eller ISO 27001-certifiering
Genomförda penetrationstester (senaste 12 månader)
Dokumenterat incidentresponsprogram
MFA på alla system med åtkomst till kundens data
DMARC-policy (p=reject eller p=quarantine) för e-post
Rätt till revision och säkerhetsgranskning i avtalet

Kontrollera din e-postsäkerhet med DMARC-kollen. Kör en fullständig teknisk scan med Northverify för att se hur din webbplats presterar mot NIS2-grundkraven.

Svenska organisationer i berörda sektorer möter tre parallella regelverk som delvis täcker samma säkerhetsfrågor:

Regelv erk	Fokus	Tillsyn	Maxsanktion
GDPR	Personuppgifter — insamling, rättslig grund, rättigheter	IMY	20 MEUR / 4 % omsättning
NIS2	Cybersäkerhet — riskhantering, incidentrapportering, leveranskedja	Sektormyndighet + MSB	10 MEUR / 2 % omsättning
EAA	Digital tillgänglighet — WCAG 2.1 AA för e-handel/digitala tjänster	PTS	Ännu ej fastslaget i svensk lag

Synergier: NIS2:s krypterings- och åtkomstkontrollkrav stöder GDPR Art. 32 (tekniska säkerhetsåtgärder). GDPR:s incidentrapportering (72h till IMY) och NIS2:s incidentrapportering (24h + 72h + 1 månad) aktiveras parallellt vid ett säkerhetsintrång. En enda teknisk skanning av webbplatsen identifierar brister mot alla tre regelverken.

Vanliga frågor

Relaterade guider

NIS2 cybersäkerhetslagen Sverige 2026 — djupanalys

Läs guide

NIS2-krav: checklista för svenska organisationer

Läs guide

Personuppgiftsincident: anmäl till IMY inom 72 timmar

Läs guide

GDPR-guide Sverige 2026

Läs guide

14 svenska lagar för webbplats-compliance 2026

Läs guide

Uppfyller din webbplats NIS2-grundkraven?

Northverify kontrollerar säkerhetshuvuden, HTTPS-konfiguration, DMARC-status och 14 svenska lagar på 60 sekunder. Ingen registrering, inget kreditkort.

Skanna gratis →DMARC-kollen

NIS2 och cybersäkerhetslagen Sverige 2026: komplett guide

#Vad är NIS2 och cybersäkerhetslagen?

Varför var en revision av NIS1 nödvändig?

#Ikraftträdande och identifieringsfrist

Identifieringsprocessen

#De 18 sektorer som täcks — djupdykning

Annex I — Väsentliga sektorer (högre krav)

Annex II — Viktiga sektorer

#Väsentliga vs viktiga verksamheter

SMB och leveranskedjor

#NIS2-krav: 10 åtgärdsområden

#Incidentrapportering enligt NIS2

Vem rapporterar man till?

NIS2 + GDPR — dubbel rapportering

#Sanktioner och personligt ansvar för ledning

Personligt ansvar för VD och styrelse

Tillsynsmyndigheter i Sverige

#Hur förbereder du dig för NIS2?

Fas 1: Identifiering och gapanalys (vecka 1–4)

Fas 2: Policyer och dokumentation (vecka 4–12)

Fas 3: Tekniska åtgärder (vecka 8–24)

Fas 4: Governance och utbildning (löpande)

#Leveranskedjans säkerhet — konsekvenser för SMB

Vad berörda organisationer kräver av sina leverantörer

#NIS2 + GDPR + EAA — tre regelverk i samspel

Vanliga frågor

Relaterade guider

Uppfyller din webbplats NIS2-grundkraven?

Vad är NIS2 och cybersäkerhetslagen?

Ikraftträdande och identifieringsfrist

De 18 sektorer som täcks — djupdykning

Väsentliga vs viktiga verksamheter

NIS2-krav: 10 åtgärdsområden

Incidentrapportering enligt NIS2

Sanktioner och personligt ansvar för ledning

Hur förbereder du dig för NIS2?

Leveranskedjans säkerhet — konsekvenser för SMB

NIS2 + GDPR + EAA — tre regelverk i samspel