Varför obegränsade revideringar?

För att ett bra resultat inte alltid uppstår första gången, och det vet vi om. Vi är noggranna med vilka vi jobbar med. Inte för att vara svåra, utan för att det är enda sättet att ge varje kund den tid och det engagemang de förtjänar. Obegränsade revideringar finns för att vi bryr oss tillräckligt för att alltid ta oss dit vi behöver komma — tillsammans med dig.

Vad kan jag skicka till er?

Allt. Landningssidor, sektioner, applikationer, animationer, buggar, arbetsflöden, marknadsföring, SEO, kampanjer etc. Är det online så kan vi fixa eller bygga det.

Kan jag pausa eller avbryta?

Ja. Why not? Pausa tills nästa månad. Du betalar aldrig för tid du inte använder.

Vi gör inte visuell design från scratch. Har du ingen branding eller kreativ riktning så känner vi personer som vi kan rekommendera.

Om jag inte är nöjd?

Vi kör på tills du är det. Inga extra kostnader, ingen attityd.

25 september 202515 min läsning

NIS2iSverige:Vaddirektivetkräverochvilkaföretagsomträffas

NIS2-direktivet (EU 2022/2555) ersätter det ursprungliga NIS-direktivet från 2016 och utökar EU:s cybersäkerhetskrav till betydligt fler sektorer och organisationer. I Sverige implementeras direktivet genom cybersäkerhetslagen (2025:1506), som trädde i kraft den 15 januari 2026. Uppskattningsvis träffas mellan 5 000 och 10 000 svenska organisationer, jämfört med cirka 400 under det gamla regelverket.

Den här artikeln går igenom vad direktivet kräver, vilka organisationer som omfattas, hur incidentrapportering fungerar, vad som gäller för leveranskedjor och vilka konkreta steg du behöver ta.

Bakgrund: Från NIS1 till NIS2

Det första NIS-direktivet (EU 2016/1148) antogs i juli 2016 och var EU:s första lagstiftning om cybersäkerhet. I Sverige implementerades det genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Direktivet omfattade sju sektorer: energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvattenförsörjning och digital infrastruktur.

NIS1 hade flera begränsningar. Medlemsstaterna fick stor frihet att själva avgöra vilka organisationer som träffades, vilket ledde till ojämn tillämpning inom EU. En energileverantör i Sverige kunde omfattas av helt andra krav än en motsvarande leverantör i Tyskland. Direktivet saknade också tydliga sanktioner, och tillsynen var svag i flera länder.

EU-kommissionen presenterade sitt förslag till NIS2 i december 2020. Efter förhandlingar antogs direktivet den 14 december 2022 och publicerades i EU:s officiella tidning den 27 december 2022. Medlemsstaterna hade till den 17 oktober 2024 att implementera direktivet i nationell lagstiftning.

Svensk tidslinje

Sverige missade den ursprungliga deadline den 17 oktober 2024. Utredningen SOU 2024:18 "Nya regler om cybersäkerhet" publicerades i mars 2024 och låg till grund för den svenska implementeringen. Remissvar samlades in fram till den 28 maj 2024.

Regeringens proposition 2025/26:28 "Ett starkt skydd för nätverks- och informationssystem" presenterades hösten 2025. Riksdagen antog propositionen, och cybersäkerhetslagen (2025:1506) samt cybersäkerhetsförordningen (2025:1507) utfärdades i december 2025. Lagen trädde i kraft den 15 januari 2026.

Den tidigare lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster upphävdes samtidigt.

Vem omfattas av NIS2 i Sverige?

NIS2 delar in verksamhetsutövare i två kategorier: väsentliga entiteter och viktiga entiteter. Kategoriseringen avgör vilken tillsynsnivå och vilka sanktionsnivåer som gäller. Indelningen bygger på en kombination av sektor och storlek: stora företag (250+ anställda eller 50M+ EUR omsättning) i bilaga I-sektorer klassas som väsentliga, medan medelstora företag i samma sektorer normalt klassas som viktiga om inte medlemsstaten beslutar annat.

Sektorer i bilaga I (högre samhällspåverkan)

Dessa sektorer anses ha störst samhällspåverkan vid cyberincidenter:

Energi: el, fjärrvärme, fjärrkyla, olja, gas, vätgas
Transport: luftfart, järnväg, sjöfart, vägtransport
Bankverksamhet: kreditinstitut
Finansmarknadsinfrastruktur: handelsplatser, centrala motparter
Hälso- och sjukvård: sjukhus, laboratorier, läkemedelstillverkare, medicintekniska produkter
Dricksvattenförsörjning: vattenverk, distributionsnät
Avloppsvatten: reningsverk, avloppssystem
Digital infrastruktur: internetknutpunkter, DNS-tjänsteleverantörer, TLD-register, molntjänster, datacenter, CDN-leverantörer, tillhandahållare av betrodda tjänster
Förvaltning av IKT-tjänster: managed service providers, managed security service providers
Offentlig förvaltning: statliga myndigheter, regionala myndigheter (med vissa undantag)
Rymden: operatörer av markbaserad infrastruktur för rymdbaserade tjänster

Sektorer i bilaga II (lägre men betydande samhällspåverkan)

Entiteter i dessa sektorer klassas normalt som viktiga:

Post- och budtjänster
Avfallshantering
Tillverkning, produktion och distribution av kemikalier
Livsmedelsproduktion, bearbetning och distribution
Tillverkning: medicintekniska produkter, datorer och elektronik, elektrisk utrustning, motorfordon, övriga transportmedel, maskiner
Digitala tjänster: marknadsplatser online, sökmotorer, plattformar för sociala nätverkstjänster
Forskning: forskningsorganisationer

Storleksgräns

Som huvudregel gäller NIS2 för organisationer som motsvarar minst ett medelstort företag enligt EU:s definition:

Minst 50 anställda, eller
En årsomsättning på minst 10 miljoner euro (cirka 115 miljoner kronor)

Stora företag (250+ anställda eller 50M+ EUR omsättning) omfattas alltid om de verkar i en relevant sektor.

Det finns undantag. Vissa organisationer omfattas oavsett storlek om de tillhandahåller tjänster som bedöms vara kritiska. Det gäller exempelvis tillhandahållare av DNS-tjänster, TLD-register, tillhandahållare av betrodda tjänster och leverantörer av allmänna elektroniska kommunikationsnät. Om du är enda leverantören av en kritisk tjänst i en medlemsstat kan du också träffas, oavsett antal anställda.

Från 400 till tusentals organisationer

Under NIS1 omfattades uppskattningsvis 400 svenska organisationer. Med NIS2 stiger antalet till mellan 5 000 och 10 000, beroende på hur tillsynsmyndigheterna i praktiken avgränsar. Det beror dels på att antalet sektorer ökat från sju till arton, dels på att storleksgränsen är tydligare definierad och fångar upp fler organisationer.

Tillsynsmyndigheter i Sverige

Cybersäkerhetslagen fördelar tillsynsansvaret mellan flera myndigheter. Varje sektor har en utsedd tillsynsmyndighet:

Myndigheten för samhällsskydd och beredskap (MSB), numera Myndigheten för civilt försvar (MCF) sedan 1 januari 2026: samordnande roll och föreskriftsrätt
Post- och telestyrelsen (PTS): digital infrastruktur, digitala tjänster, IKT-tjänsteförvaltning, rymd, post- och budtjänster
Energimyndigheten: energisektorn
Transportstyrelsen: transportsektorn
Finansinspektionen: bankverksamhet och finansmarknadsinfrastruktur
Inspektionen för vård och omsorg (IVO): hälso- och sjukvård
Livsmedelsverket: livsmedelssektorn
Länsstyrelserna: offentlig förvaltning på regional nivå, avfallshantering, kemikalier, tillverkning, forskning

Verksamhetsutövare som omfattas ska anmäla sig till sin behöriga tillsynsmyndighet. MCF har öppnat en registreringsportal för detta sedan den 2 februari 2026.

Vad NIS2 kräver i praktiken

Kraven i NIS2 finns främst i artiklarna 20, 21 och 23 i direktivet. Cybersäkerhetslagen översätter dessa till svenska förhållanden.

Riskhanteringsåtgärder (artikel 21)

Artikel 21 i NIS2 listar tio kategorier av åtgärder som alla väsentliga och viktiga entiteter ska implementera. Åtgärderna ska vara "lämpliga och proportionella" i förhållande till riskerna, men samtliga områden ska adresseras:

Riskanalys och informationssäkerhetspolicyer: Dokumenterade policyer för hur ni identifierar, bedömer och hanterar risker mot era nätverks- och informationssystem. Det räcker inte med en generell IT-policy. Riskanalysen ska vara specifik för era system och uppdateras regelbundet.
Incidenthantering: Processer för att upptäcka, analysera, begränsa och återhämta sig från säkerhetsincidenter. Det inkluderar en incidenthanteringsplan med definierade roller, eskaleringsvägar och kommunikationsrutiner.
Driftskontinuitet och krishantering: Planer för att verksamheten ska kunna fortsätta vid allvarliga incidenter. Det omfattar backuphantering, katastrofåterställning (disaster recovery) och krishantering.
Säkerhet i leveranskedjan: Bedömning av säkerhetsrisker kopplade till era direkta leverantörer och tjänsteleverantörer. Mer om detta i avsnittet om leveranskedjesäkerhet nedan.
Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem: Säkerhet ska vara inbyggt i hela livscykeln, inklusive hantering av sårbarheter.
Policyer och förfaranden för att bedöma effektiviteten av riskhanteringsåtgärder: Ni ska kunna visa att era åtgärder faktiskt fungerar. Det innebär regelbundna tester, granskningar och revisioner.
Grundläggande cyberhygien och utbildning: Alla anställda ska ha grundläggande kunskap om cybersäkerhet. Ledningen har ett separat utbildningskrav (se nedan).
Policyer och förfaranden för kryptografi och kryptering: Regler för när och hur kryptering ska användas för att skydda data.
Personalsäkerhet, åtkomstkontroll och tillgångshantering: Rutiner för behörighetshantering, principen om minsta behörighet, och hantering av anställdas tillgång till system.
Multifaktorautentisering (MFA) och säkrade kommunikationslösningar: MFA ska användas där det är lämpligt, tillsammans med säkrade kommunikationskanaler för nödsituationer.

Incidentrapportering (artikel 23)

NIS2 inför en stegvis incidentrapportering med tre tidsfrister:

Tidig varning inom 24 timmar: Från det att en betydande incident upptäcks har ni 24 timmar på er att skicka en tidig varning till er tillsynsmyndighet. Varningen ska ange om incidenten misstänks vara orsakad av en olaglig eller illvillig handling och om den kan ha gränsöverskridande effekter. Det behöver inte vara en detaljerad rapport, utan en initial notifiering.

Incidentanmälan inom 72 timmar: Inom 72 timmar ska en mer detaljerad anmälan lämnas. Den ska innehålla en inledande bedömning av incidentens allvarlighetsgrad och konsekvenser, samt indikatorer på kompromettering (indicators of compromise) om sådana finns tillgängliga.

Slutrapport inom en månad: Senast en månad efter incidentanmälan ska en slutrapport lämnas. Rapporten ska innehålla en detaljerad beskrivning av incidenten, dess allvarlighetsgrad och konsekvenser, den sannolika orsaken, vilka åtgärder som vidtagits och pågår, samt eventuella gränsöverskridande effekter.

Rapporteringen sker till MCF (tidigare MSB), som vidarebefordrar rapporterna till respektive tillsynsmyndighet. CERT-SE, Sveriges nationella CSIRT, kan bistå vid hantering av incidenter.

En "betydande incident" definieras som en incident som har orsakat eller kan orsaka allvarliga driftsstörningar eller ekonomiska förluster, eller som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada.

Ledningsansvar (artikel 20)

Det här är en av de mest uppmärksammade delarna av NIS2. Artikel 20 slår fast att ledningen i väsentliga och viktiga entiteter har ett personligt ansvar för cybersäkerheten.

Konkret innebär det:

Ledningen ska godkänna riskhanteringsåtgärderna och övervaka att de implementeras. Cybersäkerhet kan inte delegeras till IT-avdelningen och glömmas bort.
Ledningen ska genomgå cybersäkerhetsutbildning. Det är ett lagkrav, inte en rekommendation. Utbildningen ska ge tillräcklig kunskap för att identifiera risker och bedöma hur riskhanteringsåtgärderna påverkar verksamheten.
Personligt ansvar vid överträdelser. För väsentliga entiteter kan tillsynsmyndigheten vid allvarliga brott mot direktivet besluta att tillfälligt stänga av ledningspersoner från deras befattning.

Det innebär att styrelseledamöter, VD och andra i den högsta ledningen behöver ha konkret kunskap om organisationens cybersäkerhetsstatus. "Vi har en IT-avdelning som sköter det" är inte tillräckligt.

Sanktioner

Sanktionsnivåerna skiljer sig mellan de två kategorierna:

Väsentliga entiteter: Sanktionsavgifter upp till 10 000 000 EUR eller 2 % av den globala årsomsättningen, beroende på vilket belopp som är högst.

Viktiga entiteter: Sanktionsavgifter upp till 7 000 000 EUR eller 1,4 % av den globala årsomsättningen, beroende på vilket belopp som är högst.

Utöver ekonomiska sanktioner kan tillsynsmyndigheten utfärda förelägganden och kräva att brister åtgärdas inom en viss tid. För väsentliga entiteter finns ytterligare en möjlighet: tillsynsmyndigheten kan i allvarliga fall tillfälligt förbjuda en person att utöva ledningsfunktioner i organisationen. Den möjligheten gäller inte för viktiga entiteter.

Leveranskedjesäkerhet: Varför NIS2 påverkar fler än de som direkt omfattas

Artikel 21.2 (d) i NIS2 kräver uttryckligen att organisationer som omfattas ska bedöma säkerheten i sina leveranskedjor. Det inkluderar säkerhetsaspekter som rör relationerna mellan varje entitet och dess direkta leverantörer eller tjänsteleverantörer.

I praktiken innebär det en kaskadeffekt. Om du levererar IT-tjänster, hosting, mjukvara eller andra digitala tjänster till en organisation som träffas av NIS2, kommer den organisationen att ställa krav på dig. Inte för att du själv omfattas av lagen, utan för att din kund måste kunna visa att den har bedömt säkerheten hos sina leverantörer.

Vilka leverantörer påverkas?

Webbyråer och systemintegratörer som bygger och underhåller webbplatser, intranät och affärssystem åt organisationer i NIS2-sektorer.
Hostingleverantörer som driftar servrar, applikationer och databaser.
SaaS-bolag vars tjänster används av organisationer som omfattas.
Managed service providers (MSP) och managed security service providers (MSSP), som dessutom kan omfattas direkt av NIS2 om de uppfyller storlekskraven.
Konsulter inom IT och cybersäkerhet som har tillgång till kunders system och data.

Vad kunder kommer att kräva

Förvänta dig att kunder som omfattas av NIS2 börjar ställa krav i sina avtal. Typiska krav inkluderar:

Dokumenterade säkerhetspolicyer och riskhanteringsprocesser
Incidentrapportering: om något händer i din miljö som påverkar kunden, ska kunden informeras tillräckligt snabbt för att kunna uppfylla sina egna rapporteringskrav (24/72 timmar)
Regelbundna penetrationstester eller säkerhetsgranskningar
Kryptering av data i transit och i vila
Åtkomstkontroll och loggning
Möjlighet för kunden att genomföra revisioner eller begära revisionsrapporter (exempelvis SOC 2 Type II eller ISO 27001-certifiering)

Det är ingen ny företeelse att kunder ställer säkerhetskrav på leverantörer. Men NIS2 gör det till en lagstadgad skyldighet för den som omfattas, vilket innebär att kraven kommer att vara mer systematiska och svårare att förhandla bort.

Konkreta steg för svenska företag

1. Avgör om ni omfattas

Börja med att jämföra er verksamhet mot bilaga I och bilaga II i NIS2-direktivet (EU 2022/2555). Kontrollera:

Verkar ni i någon av de 18 sektorerna?
Uppfyller ni storlekskriterierna (50+ anställda eller 10M+ EUR omsättning)?
Tillhandahåller ni tjänster som kan anses vara kritiska, oavsett storlek?

MSB (numera MCF) har publicerat vägledning på sin webbplats för att hjälpa organisationer att avgöra om de träffas. Använd den som utgångspunkt.

Om ni omfattas ska ni anmäla er till er behöriga tillsynsmyndighet via MCF:s registreringsportal.

2. Genomför en gap-analys

Jämför era befintliga säkerhetsrutiner med kraven i artikel 21. Identifiera var ni har brister. Om ni redan arbetar enligt ISO 27001 har ni en bra grund, men NIS2 har specifika krav som går utöver standarden. Mer om detta i avsnittet om andra regelverk nedan.

En gap-analys bör täcka:

Samtliga tio åtgärdsområden i artikel 21
Incidentrapporteringsförmåga (kan ni upptäcka och rapportera inom 24 timmar?)
Leverantörsbedömningar (har ni dokumenterade processer för att bedöma leverantörers säkerhet?)
Ledningens kompetens (har styrelse och VD genomgått cybersäkerhetsutbildning?)
Dokumentation (är policyer, processer och rutiner dokumenterade och uppdaterade?)

3. Implementera incidenthantering som klarar tidskraven

24 timmar för tidig varning och 72 timmar för incidentanmälan är krävande tidsramar. Det förutsätter att ni har:

Detektionsförmåga: System för att upptäcka incidenter i realtid eller nära realtid. Det kan vara SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response) eller liknande.
Jourhavande funktion: Någon måste kunna agera utanför kontorstid. En incident som inträffar fredag kväll ger er till lördag kväll att skicka tidig varning.
Fördefinierade mallar och processer: Ha mallar redo för tidig varning, incidentanmälan och slutrapport. Under en pågående incident vill du inte behöva fundera på vad som ska rapporteras och till vem.
Kontaktuppgifter till MCF och CERT-SE: Dessa ska vara kända och dokumenterade i er incidenthanteringsplan.

4. Utbilda ledningen

Ledningens utbildningsskyldighet är ett lagkrav enligt artikel 20. Det innebär inte att VD och styrelseledamöter behöver kunna konfigurera en brandvägg. De behöver förstå:

Vilka risker organisationen står inför
Hur riskhanteringsåtgärderna är utformade och varför
Vilka konsekvenser en allvarlig incident kan få, operativt och juridiskt
Sitt personliga ansvar under cybersäkerhetslagen

Utbildningen bör dokumenteras. Vid en tillsyn vill ni kunna visa att ledningen faktiskt har genomgått relevant utbildning.

5. Dokumentera leverantörsbedömningar

Gå igenom era leverantörer, särskilt de som har tillgång till era system eller hanterar era data. För varje leverantör, dokumentera:

Vilka tjänster leverantören tillhandahåller
Vilken åtkomst leverantören har till era system
Vilka säkerhetskrav ni ställer på leverantören (och hur de verifieras)
Leverantörens incidentrapporteringsrutiner och hur de förhåller sig till era egna tidsfrister

Det är inte nödvändigt att varje leverantör är ISO 27001-certifierad, men ni behöver kunna visa att ni har gjort en bedömning och att den är dokumenterad.

6. Sätt upp kontakt med tillsynsmyndighet och CERT-SE

Identifiera vilken myndighet som är er tillsynsmyndighet och etablera kontakt. Registrera er via MCF:s portal. Notera kontaktuppgifter till CERT-SE för incidentrapportering och tekniskt stöd vid incidenter.

7. Budgetera för compliance

Initialinvesteringen varierar kraftigt beroende på var ni står idag. Organisationer som redan har ett moget informationssäkerhetsarbete behöver kanske bara göra justeringar. Organisationer som startar från noll behöver räkna med betydande kostnader för:

Gap-analys och riskbedömning (extern konsulthjälp eller intern tid)
Tekniska åtgärder (SIEM, EDR, MFA, kryptering, backuplösningar)
Dokumentation och policyutveckling
Utbildning av ledning och personal
Eventuell certifiering (ISO 27001 eller liknande)
Löpande drift: övervakning, incidentberedskap, uppdatering av dokumentation, leverantörsbedömningar

NIS2 i relation till andra regelverk

GDPR och NIS2 överlappar delvis men har olika fokus. GDPR skyddar personuppgifter. NIS2 skyddar nätverks- och informationssystem. En cyberincident kan utlösa rapporteringsskyldighet under båda regelverken, men rapporteringen sker till olika myndigheter (Integritetsskyddsmyndigheten för GDPR, MCF/tillsynsmyndighet för NIS2) och med olika tidsfrister (72 timmar för GDPR, 24 timmar tidig varning plus 72 timmar incidentanmälan för NIS2).

En organisation som drabbas av ett dataintrång som berör personuppgifter och påverkar nätverks- och informationssystem behöver alltså rapportera till både IMY och sin NIS2-tillsynsmyndighet, med olika innehåll och tidsfrister.

ISO 27001

ISO 27001 är en internationell standard för ledningssystem för informationssäkerhet (LIS/ISMS). Många av kraven i NIS2 artikel 21 överensstämmer med kontrollerna i ISO 27001:s bilaga A. Om ni redan är certifierade enligt ISO 27001 har ni en solid grund.

Det finns dock skillnader. NIS2 ställer specifika krav som ISO 27001 inte explicit adresserar:

Incidentrapportering med definierade tidsfrister (24/72 timmar, slutrapport inom en månad). ISO 27001 kräver incidenthantering men specificerar inga tidsfrister.
Ledningsansvar med personliga konsekvenser. ISO 27001 kräver ledningens engagemang men har inga juridiska sanktioner.
Leveranskedjesäkerhet som explicit krav. ISO 27001 hanterar leverantörsrelationer men NIS2 är mer specifikt i sina krav.
Sanktioner. ISO 27001 är en frivillig standard. NIS2 är lagstiftning med ekonomiska påföljder.

Sammanfattat: ISO 27001 är en bra grund men inte i sig tillräckligt för NIS2-compliance. Ni behöver komplettera med de specifika krav som direktivet ställer.

CER-direktivet (EU 2022/2557)

CER-direktivet (Critical Entities Resilience) antogs samma dag som NIS2 och handlar om fysisk säkerhet och motståndskraft för samhällsviktiga entiteter. Där NIS2 fokuserar på cybersäkerhet, fokuserar CER på skydd mot fysiska hot: naturkatastrofer, terrorism, sabotage och liknande.

Organisationer som identifieras som kritiska entiteter under CER kan alltså behöva uppfylla krav under båda direktiven: NIS2 för cybersäkerhet och CER för fysisk motståndskraft.

I Sverige utredes CER-implementeringen parallellt. SOU 2024:18 var en delutredning som behandlade NIS2, och slutbetänkandet om CER-direktivet presenterades i september 2024.

DORA (EU 2022/2554)

DORA (Digital Operational Resilience Act) är en EU-förordning som riktar sig specifikt till finanssektorn: banker, försäkringsbolag, värdepappersföretag, betalningsinstitut och deras kritiska IKT-leverantörer. DORA trädde i kraft den 17 januari 2025.

DORA är striktare än NIS2 på flera punkter, med mer detaljerade krav på IKT-riskhantering, incidentrapportering, testning (inklusive hotbaserad penetrationstestning, TLPT) och hantering av tredjepartsrisker.

Artikel 4 i NIS2 innehåller en "lex specialis"-regel: om en sektorsspecifik EU-rättsakt (som DORA) ställer krav som är minst lika strikta som NIS2:s krav, gäller den sektorsspecifika akten istället. I praktiken innebär det att finansiella entiteter som omfattas av DORA inte behöver följa NIS2, eftersom DORA redan ställer högre krav.

Vanliga misstag att undvika

"Vi är för små": Storleksgränsen på 50 anställda eller 10M EUR omsättning är en huvudregel, men undantag finns. Organisationer som tillhandahåller kritiska tjänster kan träffas oavsett storlek. Dessutom kan ni påverkas indirekt via leveranskedjan.

"Vi har redan ISO 27001, alltså är vi compliant": ISO 27001 är en bra grund men NIS2 har specifika krav som standarden inte täcker. Incidentrapporteringstidsfrister, ledningsansvar med sanktioner och explicita leveranskedjekrav behöver adresseras separat.

"IT-avdelningen sköter det": Ledningsansvaret i NIS2 är explicit. Styrelse och VD ska godkänna riskhanteringsåtgärder, genomgå utbildning och kan hållas personligt ansvariga. Delegering till IT-avdelningen utan ledningens aktiva engagemang strider mot direktivets intentioner.

"Vi väntar på att tillsynsmyndigheten kontaktar oss": Anmälningsplikten ligger på verksamhetsutövaren. Ni ska själva avgöra om ni omfattas och anmäla er till behörig tillsynsmyndighet.

"24 timmar är orimligt": Den tidiga varningen inom 24 timmar behöver inte vara en fullständig rapport. Det räcker med en initial notifiering om att en betydande incident har inträffat, om den misstänks vara illvillig och om den kan ha gränsöverskridande effekter. Detaljerna kommer i 72-timmarsrapporten och slutrapporten.

Sammanfattning av nyckeldata

Aspekt	Detalj
Direktiv	NIS2 (EU 2022/2555)
Svensk lag	Cybersäkerhetslagen (2025:1506)
Svensk förordning	Cybersäkerhetsförordningen (2025:1507)
Ikraftträdande i Sverige	15 januari 2026
Antal sektorer	18 (upp från 7 under NIS1)
Storleksgräns	50+ anställda eller 10M+ EUR omsättning
Tidig varning	Inom 24 timmar
Incidentanmälan	Inom 72 timmar
Slutrapport	Inom en månad
Sanktioner (väsentliga)	10M EUR eller 2 % av global omsättning
Sanktioner (viktiga)	7M EUR eller 1,4 % av global omsättning
Samordnande myndighet	MCF (Myndigheten för civilt försvar, fd MSB)
Registreringsportal	Öppnade 2 februari 2026 via MCF
Nationell CSIRT	CERT-SE

Källor och vidare läsning

NIS2-direktivets fulltext: EUR-Lex, Directive (EU) 2022/2555
SOU 2024:18 "Nya regler om cybersäkerhet": Regeringen.se
Proposition 2025/26:28: Riksdagen.se
Cybersäkerhetslagen (2025:1506): Riksdagen.se
MCF:s vägledning om cybersäkerhetslagen: mcf.se
MSB:s information om NIS2: msb.se