Cybersäkerhetslagen trädde i kraft den 15 januari 2026 och inför EU:s NIS2-direktiv i svensk rätt. Här går vi igenom vilka som omfattas, hur reglerna förhåller sig till DORA och ISO 27001, samt — kanske viktigast — hur leverantörskedjan påverkar er även om ni inte själva är direkt omfattade.
NIS2 (cybersäkerhetslagen 2025:1506) trädde i kraft 15 januari 2026. Lagen omfattar bolag med minst 50 anställda eller över 10 miljoner euro i omsättning inom 18 sektorer. Berörda ska anmäla sig till Myndigheten för civilt försvar (MCF), införa systematisk riskhantering, rapportera incidenter inom 24 timmar och utbilda ledning. Sanktioner upp till 10 miljoner euro eller 2 % av global omsättning. För finanssektorn har DORA-förordningen företräde. Även ej direkt omfattade bolag påverkas genom leverantörskedjan.
NIS2 (Network and Information Security Directive 2) är EU:s uppdaterade direktiv om nätverks- och informationssäkerhet. Direktivet antogs av EU 2022 och ersätter NIS-direktivet från 2016. I Sverige har det implementerats genom cybersäkerhetslagen (2025:1506) och cybersäkerhetsförordningen, som båda trädde i kraft den 15 januari 2026.
Det första NIS-direktivet täckte för få verksamheter och hade för svaga krav. Mellan 2016 och 2022 förändrades hotbilden dramatiskt:
Ert bolag omfattas av NIS2 om ni har minst 50 anställda eller över 10 miljoner euro i årsomsättning OCH verkar inom någon av de 18 sektorer som listas i direktivet. Mindre företag kan omfattas om de tillhandahåller en kritisk tjänst, är leverantörer av betrodda tjänster, eller är kritiska underleverantörer till bolag som omfattas.
Cybersäkerhetslagen skiljer mellan två typer av berörda bolag, vilket påverkar både tillsyn och sanktioner:
| Typ | Storlek | Tillsyn | Maxbot |
|---|---|---|---|
| Väsentliga | Stora bolag (250+ anställda eller 50+ M€) inom kritiska sektorer | Proaktiv tillsyn | 10 M€ eller 2 % av global omsättning |
| Viktiga | Medelstora (50-249 anställda eller 10-50 M€) | Reaktiv tillsyn | 7 M€ eller 1,4 % av global omsättning |
Cybersäkerhetslagen (2025:1506) och cybersäkerhetsförordningen börjar gälla. Den tidigare NIS-lagen (2018:1174) upphävs.
Myndigheten för civilt försvar (tidigare MSB) öppnar e-tjänst för verksamhetsutövare att anmäla sig.
Berörda verksamheter ska ha anmält sig inom 14 dagar efter portalen öppnat. Missade deadline? Anmäl ändå snarast — det minskar risken för sanktioner.
Tillsynsmyndigheter publicerar detaljerade föreskrifter (MCFFS 2026:1 m.fl.) som specificerar säkerhetsåtgärder per sektor.
Cybersäkerhetslagen identifierar 18 sektorer indelade i två grupper: särskilt kritiska och andra kritiska.
Cybersäkerhetslagen ställer breda krav som ska anpassas efter verksamhetens storlek och risk. De viktigaste områdena:
NIS2 gör cybersäkerhet till en styrelsefråga. Ledningen ska godkänna säkerhetsåtgärder, övervaka deras genomförande och kan hållas personligt ansvarig vid bristande efterlevnad. Vid grov försummelse kan styrelseledamöter få förbud mot ledande positioner. Ledningen ska också genomgå regelbunden cybersäkerhetsutbildning.
För många bolag är detta den största kulturella förändringen NIS2 medför. Cybersäkerhet kan inte längre delegeras helt till IT-avdelningen.
Vid en betydande incident gäller en trestegsmodell: tidig varning inom 24 timmar efter upptäckt, incidentrapport inom 72 timmar, slutrapport inom en månad. Rapporten skickas till tillsynsmyndigheten för respektive sektor. Sena rapporter kan i sig leda till sanktioner.
En incident är betydande om den:
Konkreta exempel: ransomware-angrepp, betydande dataintrång, kompromettering av administratörskonton, störning som gör tjänster otillgängliga för kunder, attack mot OT/produktionsmiljö.
NIS2 tar lärdom av GDPR och har medvetet höga sanktioner för att skapa starka incitament:
För många bolag är de direkta sanktionerna inte den största risken. Dyrare blir ofta:
För finansiella företag har DORA-förordningen företräde framför cybersäkerhetslagen, enligt principen om lex specialis. Det innebär att finansiella företag följer DORA istället för cybersäkerhetslagen vad gäller riskhantering och incidentrapportering — men omfattas fortfarande av anmälningskravet i cybersäkerhetslagen.
Detta är en av de viktigaste nyanserna i den svenska implementeringen. Eftersom DORA (Digital Operational Resilience Act) trädde i kraft 17 januari 2025 och NIS2 ett år senare, har det varit oklart för många finansiella aktörer vilket regelverk som gäller.
Finansinspektionen har förtydligat att finansiella företag som identifierar sig som leverantörer av samhällsviktiga tjänster ska:
Källa: Finansinspektionen — Det här gäller för nya cybersäkerhetslagen
Detta är kanske det område som påverkar flest svenska bolag — även de som inte själva omfattas direkt.
Företag som omfattas av NIS2 ansvarar för säkerheten i hela sin leverantörskedja. Konkret betyder det att de kommer kräva säkerhetsbevis från sina leverantörer via upphandlingar, säkerhetsklausuler i avtal och regelbundna granskningar. Resultatet: tusentals svenska SME-bolag som inte själva omfattas av NIS2 kommer ändå behöva visa motsvarande säkerhetsnivå.
För IT-konsultbolag, managed service providers (MSP) och SaaS-leverantörer är detta dubbelt:
Detta skapar en marknad där cybersäkerhetsmognad blir en avgörande konkurrensfördel. Bolag som tidigt visar dokumenterad NIS2-compliance — eller motsvarande — vinner upphandlingar mot mindre mogna konkurrenter.
Vi möter dessa missuppfattningar dagligen i kunddialoger:
"Det gäller bara stora företag"
Felaktigt. Tröskeln går vid 50 anställda eller 10 miljoner euro i omsättning — många medelstora svenska bolag omfattas direkt. Dessutom påverkas mindre bolag indirekt via leverantörskedjan.
"Det är bara IT:s ansvar"
Felaktigt. NIS2 placerar uttryckligen ansvaret hos styrelse och ledning, med personligt ansvar vid grov försummelse. Detta är en styrelsefråga, inte en IT-fråga.
"Vi är inte samhällskritiska"
Ofta felaktigt. De 18 sektorerna är breda. Tillverkning av medicintekniska produkter, livsmedelsdistribution, avfallshantering och digital tjänsteleverans ingår — många bolag som inte ser sig som "kritisk infrastruktur" omfattas faktiskt.
"Vi har redan ISO 27001 så vi är klara"
Felaktigt. ISO 27001 är en utmärkt grund och täcker stora delar av NIS2 — kanske 60-70 % beroende på scope. Men NIS2 har specifika krav som inte automatiskt täcks: incidentrapportering inom 24 timmar, ledningens personliga ansvar, anmälningskrav till MCF och tydligare leverantörskedjekrav. Räkna med en gap-analys även med ISO 27001 på plats.
"Vi avvaktar tills vi vet exakt vad som krävs"
Riskabelt. Lagen gäller redan. Tillsynsmyndigheter förväntar sig att ni påbörjat arbetet — inte att ni är klara. Att inte ha någon plan alls vid en granskning är värre än att ha en plan med gap.
"GDPR var värre, det här löser sig"
Underskatta inte. NIS2 har 2 % av global omsättning som maxbot — bredare än GDPR:s 4 % på personuppgiftsincidenter. NIS2 ersätter inte GDPR — båda regelverken gäller parallellt och kan utlösas av samma incident.
NIS2 existerar inte i ett vakuum. För svenska bolag är det viktigt att förstå hur det förhåller sig till andra regelverk och ramverk:
Internationell standard för informationssäkerhet. Täcker stora delar av NIS2:s krav på riskhantering och säkerhetsåtgärder. Räcker dock inte ensam — saknar specifika krav på incidentrapportering till myndighet, anmälningsplikt och ledningens personliga ansvar enligt NIS2.
Gäller parallellt med NIS2. GDPR fokuserar på personuppgifter, NIS2 på systemsäkerhet. En dataläcka kan utlösa båda regelverken samtidigt — med separata rapporteringskrav till olika myndigheter (IMY för GDPR, MCF/sektorsmyndighet för NIS2).
För finansiella företag har DORA företräde framför NIS2. Se separat sektion ovan.
Praktiskt ramverk från Center for Internet Security med 18 kontrollområden. Bra för att operationalisera NIS2:s tekniska krav. CIS Controls är inte ett "compliance-ramverk" utan ett implementationsverktyg — men det fungerar utmärkt parallellt med NIS2.
Säkerhetsarkitekturansats där inga nätverkssegment är "betrodda" by default. Inte ett krav i NIS2 men i praktiken det moderna sättet att uppfylla många av kraven på åtkomstkontroll, segmentering och övervakning.
Critical Entities Resilience Directive. Beslutades samtidigt som NIS2 men fokuserar på fysisk säkerhet och resiliens — inte cybersäkerhet. Svenska implementeringen pågår parallellt och kan beröra många av samma bolag.
För bolag som ännu inte påbörjat sitt NIS2-arbete: här är en pragmatisk start.
Räkna ut storlek (anställda och omsättning) och kartlägg verksamheten mot de 18 sektorerna. Felklassificering är vanligt — tveka inte att ta hjälp av specialist.
Om ni omfattas: anmäl er via MCF:s e-tjänst snarast. Detta är ett absolut lagkrav och tar normalt mindre än en timme.
Kartlägg nuvarande säkerhetsläge mot lagens krav. Identifiera de 5–10 viktigaste luckorna. Detta är det enskilt viktigaste steget — utan en gap-analys kan ni varken prioritera eller budgetera.
Använd ISO 27001, NIST CSF eller motsvarande. Skapa policy, processer och dokumentation. NIS2 kräver inte en specifik standard, men en av dessa underlättar massivt.
Prioritera områden med högst risk: åtkomstkontroll, MFA, central loggning, backup, incidentplan, leverantörsstyrning. Använd CIS Controls som operationell guide.
Ledningen ska förstå sitt personliga ansvar. Personalen ska kunna agera vid incident. Dokumentera all utbildning — ni kan behöva visa upp den vid tillsyn.
Sätt upp processen för 24/72/30-rapportering med tydliga ansvariga. Genomför incidentövning ("table-top exercise") minst en gång per år. Övning är ofta avgörande mellan att klara 24-timmars-fristen eller missa den.
NIS2-arbetet kräver bred specialistkunskap som få bolag har internt. Det är där vi som specialiserad IT-konsultpartner kommer in.
NIS2 är inte ett "engångsprojekt" — det är ett systematiskt arbetssätt som ska byggas in i verksamheten över tid. Vi ser bolag som väntar tills de "har resurser internt" och bolag som tar in extern expertis tidigt. Den sistnämnda kategorin ligger nästan alltid 6-12 månader före i sin compliance-resa.
Balr Consulting Group tillsätter erfarna cybersäkerhetskonsulter inom dagar — från vCISO och säkerhetsarkitekter till tekniska specialister och projektledare som driver NIS2-projektet i mål. I de flesta fall kan vi presentera kvalificerade kandidater inom 24–48 timmar efter en brief.
När trädde NIS2 i kraft i Sverige?
NIS2-direktivet trädde i kraft i Sverige den 15 januari 2026 genom cybersäkerhetslagen (2025:1506) och cybersäkerhetsförordningen. Anmälningsportalen hos Myndigheten för civilt försvar (MCF) öppnade den 2 februari 2026.
Vilka företag omfattas av NIS2 i Sverige?
NIS2 omfattar företag med minst 50 anställda eller en omsättning över 10 miljoner euro inom 18 sektorer, inklusive energi, transport, hälso- och sjukvård, finans, digital infrastruktur, livsmedelsproduktion, avfallshantering och tillverkning. Mindre företag kan omfattas om de tillhandahåller en kritisk tjänst.
Vad är skillnaden mellan NIS2 och DORA?
DORA-förordningen är sektorsspecifik lagstiftning för finanssektorn och har företräde framför NIS2 enligt principen om lex specialis. Finansiella företag följer alltså DORA istället för cybersäkerhetslagen vad gäller riskhantering och incidentrapportering, men omfattas av anmälningskravet i cybersäkerhetslagen.
Räcker ISO 27001 för att uppfylla NIS2?
Nej, ISO 27001 räcker inte automatiskt. Standarden täcker informationssäkerhet brett men NIS2 har specifika krav på exempelvis incidentrapportering inom 24 timmar, ledningens personliga ansvar och säkerhet i leverantörskedjan. ISO 27001 är dock en utmärkt grund som väsentligt minskar arbetet med NIS2-compliance.
Vad blir straffet för att inte följa NIS2?
Väsentliga verksamhetsutövare kan få sanktionsavgifter på upp till 10 miljoner euro eller 2 procent av global årsomsättning. Viktiga verksamhetsutövare riskerar upp till 7 miljoner euro eller 1,4 procent. Ledningen kan dessutom hållas personligt ansvarig och få förbud att inneha ledande positioner.
Hur lång tid har företag på sig att rapportera incidenter?
En tidig varning ska skickas inom 24 timmar efter upptäckt av betydande incident. En mer detaljerad incidentrapport ska in inom 72 timmar, och en slutrapport inom en månad. Finansiella företag rapporterar enligt DORA till Finansinspektionen istället, som vidarebefordrar till MCF.
Påverkas vi av NIS2 om vi är leverantör till ett bolag som omfattas?
Indirekt ja. Företag som omfattas av NIS2 ansvarar för säkerheten i hela sin leverantörskedja och kommer kräva säkerhetsbevis från sina leverantörer. Detta innebär nya krav i upphandlingar, säkerhetsklausuler i avtal och regelbundna granskningar av underleverantörer.
Behöver vi en CISO för att uppfylla NIS2?
Cybersäkerhetslagen kräver inte explicit en CISO-roll, men någon i organisationen behöver ha tydligt ansvar för cybersäkerheten. För mindre och medelstora bolag är en virtuell CISO (vCISO) eller deltidskonsult ofta ett kostnadseffektivt alternativ till en heltidsanställd CISO.