Hur vet jag om mitt företag omfattas av NIS2?

Tre steg: (1) Kontrollera om din verksamhet faller inom någon av de 18 sektorerna i Cybersäkerhetslagen (se listan i artikeln). (2) Kontrollera storlekströsklarna: 50+ anställda eller €10M+ i omsättning/balansomslutning. (3) Om båda stämmer — du omfattas. Kom ihåg whole-entity-principen: hela din organisation omfattas, inte bara den sektorsrelevanta delen.

Vad händer om jag missat anmälningsplikten?

Anmälningsplikten hade deadline 16 februari 2026. Har du missat det bör du anmäla dig omedelbart till relevant tillsynsmyndighet. Sen anmälan är en överträdelse men bedöms mildare än total utebliven anmälan. Kontakta din sektorsmyndighet — se listan i artikeln.

Måste jag ha ISO 27001 för NIS2?

Nej, ISO 27001 är inte ett lagkrav. Certifieringen täcker dock samtliga tio minimikrav i NIS2 och kan vara ett effektivt sätt att demonstrera efterlevnad. Alternativa ramverk som NIST CSF accepteras också.

Vad innebär 'proportionell' implementering?

NIS2 kräver säkerhetsåtgärder som är 'lämpliga och proportionella'. Det innebär att en liten aktör med begränsad riskprofil kan implementera enklare åtgärder än en stor kritisk infrastrukturleverantör — förutsatt att riskbedömningen motiverar det. Du måste kunna dokumentera din riskbedömning och motivera dina val.

NIS2 krav checklista 2026 — Cybersäkerhetslagen Sverige

Cybersäkerhetslagen (SFS 2025:1506) — Sveriges implementation av EU:s NIS2-direktiv — trädde i kraft den 15 januari 2026. Om ditt företag faller inom de 18 sektorerna och uppfyller storlekströsklarna är du juridiskt skyldig att implementera lagens tio minimikrav. Den här checklistan ger dig en strukturerad genomgång.

För en djupare bakgrund om lagen, sektorer och tillsynsmyndigheter, se vår fullständiga NIS2-guide.

Snabbcheck: Omfattas du?

Steg 1 — Sektor: Verkar du inom någon av dessa 18 sektorer?

Annex I (högt kritiska)	Annex II (andra kritiska)
Energi (el, gas, olja, fjärrvärme, vätgas)	Post- och kurirtjänster
Transport (flyg, järnväg, väg, sjöfart)	Avfallshantering
Bankväsende	Kemikalier
Finansmarknadsinfrastruktur	Livsmedel
Hälso- och sjukvård	Tillverkningsindustri
Dricksvatten	Digitala leverantörer
Avloppsvatten	Forskning
Digital infrastruktur (DNS, TLD, datacenter, CDN)
ICT-tjänsteförvaltning (B2B managed services)
Offentlig förvaltning
Rymdverksamhet

Steg 2 — Storlek: Uppfyller du minst ett av trösklarna?

50 eller fler anställda
Omsättning ≥ €10 miljoner ELLER balansomslutning ≥ €10 miljoner

Steg 3 — Undantag: Är du en av de aktörer som alltid omfattas oavsett storlek?

Kvalificerade leverantörer av betrodda tjänster (trust services)
TLD-registrar och DNS-resolver-leverantörer
Leverantörer av publika elektroniska kommunikationsnät
Tjänsteleverantörer av elektronisk kommunikation

Om Steg 1 och Steg 2 (eller Steg 3) stämmer: du omfattas av Cybersäkerhetslagen.

Anmälningsplikt — är det gjort?

Anmälan skickad till relevant tillsynsmyndighet (deadline var 16 februari 2026)
Kontaktperson för cybersäkerhetsfrågor är utsedd och anmäld

Tillsynsmyndigheter per sektor (urval):

Sektor	Myndighet
Generell koordinator	MCF (Myndigheten för civilt försvar)
Telekommunikation	PTS
Finans	Finansinspektionen
Hälso- och sjukvård	IVO
Transport	Transportstyrelsen
Energi	Energimarknadsinspektionen
Offentlig förvaltning	IMY (för digitala tjänster)

De 10 minimikraven — checklista

Cybersäkerhetslagen och NIS2-direktivet definierar tio minimikrav. Nedan finns en praktisk operationalisering av varje krav.

Krav 1: Policyer för riskanalys och informationssystemssäkerhet

Genomförd och dokumenterad riskanalys av IT-system och kritiska processer
Dokumenterade säkerhetspolicyer godkända av ledningen
Riskanalys uppdateras minst årligen och vid väsentliga förändringar
Säkerhetsansvarig/CISO är utsedd (intern eller extern)

Krav 2: Incidenthantering

Incidenthanteringsplan är dokumenterad och testad
Klassificeringskriterier för "signifikant incident" är definierade
Anmälningsrutin till tillsynsmyndighet inom 24h (tidig varning) och 72h (anmälan) finns
Intern incidentlogg förs
Kommunikationsplan för intern och extern kommunikation vid incident finns

Krav 3: Driftskontinuitet och katastrofåterställning

Backup-rutin finns med regelbunden testning av återställning
RTO (Recovery Time Objective) och RPO (Recovery Point Objective) är definierade
Katastrofåterställningsplan (DRP) dokumenterad och testad
Krisplan för kritisk verksamhet under systemavbrott finns

Krav 4: Försörjningskedjans säkerhet

Inventering av kritiska leverantörer med åtkomst till dina system
Riskbedömning av varje kritisk leverantör
Säkerhetskrav inkluderade i leverantörsavtal
Process för att övervaka leverantörers säkerhetsstatus

Krav 5: Säkerhet i förvärv, utveckling och underhåll

Säkerhetskrav integrerade i upphandlingsprocessen
Rutiner för hantering av sårbarheter (patch management)
Penetrationstester genomförs regelbundet (minst årsvis för kritiska system)
Säker kodning/DevSecOps-praxis tillämpas (om intern systemutveckling)

Krav 6: Bedömning av riskhanteringsåtgärdernas effektivitet

Mätetal (KPI) för säkerhetsmognad är definierade
Regelbunden intern granskning av säkerhetsåtgärder (minst årsvis)
Extern revision eller revision av tredje part genomförs
Resultat rapporteras till ledningen

Krav 7: Grundläggande hygienpraxis och säkerhetsutbildning

Alla anställda genomgår grundläggande säkerhetsutbildning (phishing, lösenord, social engineering)
Ledningen har specifik NIS2-utbildning (lagkrav i Cybersäkerhetslagen)
Utbildningsplan finns och uppdateras regelbundet
Phishing-simulering genomförs regelbundet

Krav 8: Policyer för kryptografi och kryptering

All kommunikation av känslig data sker krypterat (TLS 1.2+) — kontrollera SSL
Databaser med känslig information krypteras i vila
Nyckelhanteringspolicy finns
Föråldrade krypteringsprotokoll (SSL, TLS 1.0, TLS 1.1) är inaktiverade

Krav 9: Personalsäkerhet, åtkomst och tillgångshantering

Bakgrundskontroller genomförs för personal med åtkomst till kritiska system
Åtkomst följer minsta-privilegium-principen
MFA (Multi-Factor Authentication) är aktiverat för alla administrativa konton
Åtkomst återkallas omedelbart vid personalavgång
Inventering av kritiska IT-tillgångar finns och hålls aktuell

Krav 10: Multi-faktor-autentisering och säker kommunikation

MFA är aktiverat för alla externa system (e-post, VPN, molntjänster, CRM)
E-postautentisering (SPF, DKIM, DMARC) är konfigurerat — kontrollera DMARC
Säkra kanaler för nödkommunikation är definierade
Lösenordspolicy kräver minst 12 tecken och är kopplad till MFA

Incidentrapportering — tidsfrister

Frist	Åtgärd	Mottagare
24 timmar	Tidig varning — du vet att en incident inträffat	Tillsynsmyndigheten
72 timmar	Incidentanmälan — preliminär bedömning av påverkan	Tillsynsmyndigheten
1 månad	Slutrapport — fullständig analys, åtgärder, lärdomar	Tillsynsmyndigheten

Signifikant incident = kräver anmälan. Definitionen inkluderar incidenter som påverkar tillhandahållandet av din tjänst, orsakar ekonomisk skada, eller påverkar andra organisationer.

Tekniska minimikrav att kontrollera nu

De tekniska minimikraven (krav 8 och 10) kan delvis kontrolleras med Northverifys gratis-verktyg:

TLS/SSL-konfiguration: Kontrollera SSL gratis — ser att TLS 1.2+ är aktiverat och att föråldrade protokoll är inaktiverade
E-postautentisering (DMARC/SPF/DKIM): Kontrollera DMARC gratis — verifierar att din domän är skyddad mot spoofing
Säkerhetsheaders och exponerade filer: Kör fullständig skanning — kontrollerar CSP, HSTS, X-Frame-Options och om känsliga filer är exponerade

NIS2-checklista: 10 minimikrav och vem som omfattas av Cybersäkerhetslagen 2026