NIS2 är ett EU-direktiv som ställer krav på cybersäkerhet för samhällsviktiga verksamheter. I Sverige gäller det sedan 15 januari 2026 genom Cybersäkerhetslagen (CSL).
Cyberattacker mot svenska företag och myndigheter ökar. Sjukhus, energibolag och kommuner har redan drabbats och riskerna växer i takt med att allt fler samhällsviktiga funktioner digitaliseras. NIS2 är EU:s svar – den största cybersäkerhetsreformen hittills.
Gäller lagen er? Den här artikeln förklarar vilka sektorer och storlekar som omfattas, vad lagen kräver och vad ni behöver göra.
Vad är NIS 2?
NIS 2 ersätter det gamla NIS-direktivet från 2016. Syftet är att skydda samhället mot cyberhot.
Direktivet ska se till att:
- Länder i EU har samma säkerhetskrav.
- Tillsynen blir hårdare och böterna högre.
- Alla rapporterar it-incidenter snabbare.
- Länderna samarbetar bättre.
I Sverige implementeras NIS2 genom Cybersäkerhetslagen (CSL), som trädde i kraft 15 januari 2026.
Vilka omfattas av NIS2?
För att avgöra om ni omfattas behöver ni titta på två saker: vilken sektor ni är verksamma i och hur stor er organisation är.
Storleksgränser
| Kategori | Storlek | Tillsyn |
|---|---|---|
| Väsentliga entiteter | ≥250 anställda eller ≥50 M€ omsättning | Proaktiv, löpande tillsyn |
| Viktiga entiteter | ≥50 anställda eller ≥10 M€ omsättning | Reaktiv tillsyn, vid behov |
Båda kategorierna måste uppfylla samma grundläggande säkerhetskrav. Skillnaden är hur hårt myndigheterna granskar er, och hur höga böterna är om ni brister. Vissa verksamheter – till exempel DNS-leverantörer och vissa offentliga aktörer – omfattas oavsett storlek.
Högkritiska sektorer (Bilaga I) – typiskt väsentliga entiteter
Verksamheter i dessa sektorer med ≥250 anställda klassas normalt som väsentliga entiteter:
- Energi – elproduktion och -distribution, gas, olja, vätgas
- Transport – flyg, järnväg, sjöfart, vägtransport
- Bank och finans – banker, finansmarknadsinfrastruktur
- Hälso- och sjukvård – sjukhus, laboratorier, medicinteknisk utrustning
- Dricksvatten och avloppsvatten
- Digital infrastruktur – datacenter, molntjänster, DNS, internetknutpunkter
- IKT-tjänster B2B – managed service providers, managed security providers
- Offentlig förvaltning – statliga myndigheter och vissa kommunala
- Rymdsektorn
Övriga kritiska sektorer (Bilaga II) – typiskt viktiga entiteter
Verksamheter i dessa sektorer med ≥50 anställda klassas normalt som viktiga entiteter:
- Post- och budtjänster
- Avfallshantering
- Kemikalier – tillverkning och distribution
- Livsmedel – produktion, bearbetning och distribution i stor skala
- Tillverkning – medicinsk utrustning, elektronik, maskiner, fordon
- Digitala leverantörer – sökmotorer, onlinemarknadsplatser, sociala medier
- Forskning
Kan ett avbrott i er verksamhet skada samhällsviktiga funktioner? Då omfattas ni troligen.
Vilka säkerhetskrav ställer NIS2?
NIS2 kräver att organisationer inför både tekniska och organisatoriska åtgärder för att minska risken för cyberincidenter och säkerställa kontinuitet.
Tekniska säkerhetsåtgärder
Organisationer ska använda moderna säkerhetslösningar och principer, såsom:
- stark autentisering och åtkomstkontroll
- kryptering av känslig information
- säker fjärråtkomst
- segmentering av nätverk
- regelbunden säkerhetskopiering
- övervakning och upptäckt av attacker
Organisatoriska krav
Cybersäkerhet blir en ledningsfråga. Ledningen måste kunna visa att man aktivt arbetar med säkerhet, avsätter resurser och följer upp risker.
Det innebär bland annat:
- utbildning av personal
- tydliga rutiner för incidenthantering
- uppdaterad säkerhetspolicy och riskhantering
- kontinuerlig uppföljning och förbättring
Incidentrapportering
Kraven på rapportering skärps:
- Föranmälan inom 24 timmar: Vid en allvarlig incident.
- Statusrapport inom 72 timmar: En uppdatering av läget.
- Slutrapport inom en månad: Vad hände och vad har ni gjort åt det?
Ni måste kunna se, förstå och dokumentera incidenter. Ni måste också samarbeta med myndigheterna.
Riskhantering
Ni måste arbeta systematiskt med risker:
- Gör riskanalyser regelbundet.
- Ha planer för hur verksamheten ska fortsätta vid kriser.
- Öva och testa era planer.
Leverantörskedjan
Ett stort fokus i NIS2 är leverantörerna. Ni har ansvar för att era leverantörer är säkra. Det räcker inte att skydda sig själv om bakdörren står öppen.
Det innebär:
- kravställning på leverantörer
- uppföljning av säkerhetsnivåer
- riskklassning av kritiska leverantörer
- hantering av leverantörsincidenter
Att följa NIS2 handlar inte bara om regelefterlevnad - det stärker också verksamhetens motståndskraft och förtroende.
För att underlätta leverantörshanteringen erbjuder vi på ChainSec en modul som förenklar både kravställning och uppföljning av leverantörers säkerhetsarbete.
Vanliga frågor om NIS2
Omfattas mitt företag av NIS2?
NIS2 gäller verksamheter inom samhällsviktiga sektorer med fler än 50 anställda eller över 10 miljoner euro i omsättning. Sektorer inkluderar hälso- och sjukvård, energi, transport, bank och finans, digital infrastruktur, IKT-tjänster, offentlig förvaltning och flera andra. Mindre företag kan också omfattas om de levererar kritiska tjänster. Kontrollera listan i artikeln ovan för att se om din sektor omfattas.
När trädde NIS2 i kraft i Sverige?
Cybersäkerhetslagen (CSL), som implementerar NIS2 i Sverige, trädde i kraft den 15 januari 2026. Verksamheter som inte redan är förberedda bör prioritera att komma igång – implementering av säkerhetsåtgärder, processer och dokumentation tar tid, och tillsynsmyndigheterna är redan aktiva.
Vad händer om vi inte följer NIS2?
Bristande efterlevnad kan leda till betydande sanktioner. För väsentliga entiteter kan böterna uppgå till minst 10 miljoner euro eller 2% av global omsättning. För viktiga entiteter är bötesnivån lägre men fortfarande substantiell. Dessutom riskerar ledningen personligt ansvar om de inte tar cybersäkerhet på allvar.
Vad är skillnaden mellan väsentliga och viktiga entiteter?
Väsentliga entiteter är stora aktörer inom samhällskritiska sektorer (exempelvis stora sjukhus, energibolag) och omfattas av strängare tillsyn och högre böter. Viktiga entiteter är medelstora aktörer inom viktiga sektorer. Båda måste uppfylla samma grundläggande säkerhetskrav, men tillsynen och sanktionerna skiljer sig åt.
Hur påverkar NIS2 vår leverantörskedja?
NIS2 kräver att ni systematiskt hanterar cybersäkerhetsrisker i er leverantörskedja. Ni måste ställa säkerhetskrav på leverantörer, särskilt IT-leverantörer och andra som hanterar kritiska system eller data. ChainSec hjälper er att kravställa, bedöma och följa upp leverantörers säkerhetsåtgärder enligt NIS2-kraven.
Du kan också läsa vår artikel: 10 säkerhetsåtgärder för efterlevnad av NIS2-direktivet.
