Till innehållet

NIS2 och nya cybersäkerhetslagen — omfattas ditt företag?

Omfattas ditt företag av NIS2 och cybersäkerhetslagen? Ja om ni verkar i en utpekad sektor med minst 50 anställda — eller är underleverantör. Så vet du.

Av Tacerto · Uppdaterad 3 februari 2026

Illustration: NIS2 och nya cybersäkerhetslagen — omfattas ditt företag?

Kort svar

Ditt företag omfattas av cybersäkerhetslagen (i kraft 15 januari 2026) om ni verkar i någon av 18 utpekade sektorer och har minst 50 anställda eller mer än 10 miljoner euro i omsättning. Mindre företag kan ändå dras in som leverantör till en träffad organisation via leveranskedjekrav.

Ja, om ni verkar i en av lagens 18 utpekade sektorer och når storlekströskeln — eller om ni är leverantör till någon som gör det. Cybersäkerhetslagen (2025:1506) trädde i kraft den 15 januari 2026 och genomför EU:s NIS2-direktiv i svensk rätt. Nedan reder vi ut vilka som träffas, vad kraven innebär och hur du tar reda på om ditt företag omfattas.

Vad är NIS2 och cybersäkerhetslagen?

NIS2 är EU:s direktiv för en höjd, gemensam cybersäkerhetsnivå, och cybersäkerhetslagen är den svenska lag som genomför det. Direktivet antogs 2022 och skulle vara infört i nationell rätt senast den 17 oktober 2024. Sverige låg efter den tidsplanen: riksdagen antog cybersäkerhetslagen (2025:1506) den 10 december 2025, och regeringen utfärdade lagen med ikraftträdande den 15 januari 2026.

I praktiken innebär lagen att verksamhetsutövare i utpekade sektorer ska vidta åtgärder för att skydda sina nätverks- och informationssystem samt rapportera betydande incidenter. Jämfört med den gamla NIS-lagen breddas både antalet sektorer och kretsen av företag, och kraven på ledningens engagemang skärps.

Omfattas ditt företag — vilka sektorer och storlekar?

Du omfattas om två saker stämmer samtidigt: ni bedriver verksamhet i en av de utpekade sektorerna, och ni är minst ett medelstort företag. Lagen pekar ut totalt 18 sektorer i sina bilagor, enligt Nationellt cybersäkerhetscenter. De mest samhällskritiska är bland andra:

  • Energi, transport och digital infrastruktur
  • Bank, finansmarknad och hälso- och sjukvård
  • Dricksvatten och avloppsvatten
  • Förvaltning av IKT-tjänster och offentlig förvaltning
  • Rymdverksamhet

Utöver dessa träffas ytterligare sektorer som post- och budtjänster, avfallshantering, kemikalier, livsmedel, tillverkningsindustri, digitala leverantörer och forskning.

Storlekströskeln är huvudregeln: ni omfattas om ni har minst 50 anställda eller en årsomsättning eller balansomslutning över 10 miljoner euro. Små och mikroföretag faller som huvudregel utanför — men det finns undantag där även mindre aktörer dras in, till exempel om de är enda leverantör av en kritisk tjänst.

Så vet du om ni omfattas — tre kontrollfrågor:

  1. Sektor: Ligger er kärnverksamhet i någon av de 18 sektorerna? Läs bilagorna, inte bara rubrikerna — avgränsningarna är detaljerade.
  2. Storlek: Når ni 50 anställda eller mer än 10 miljoner euro i omsättning eller balansomslutning?
  3. Undantag: Finns det en särskild grund som gör att ni omfattas oavsett storlek, eller att en mindre roll ändå räknas?

Svarar du ja på fråga 1 och 2 bör ni utgå från att ni omfattas och dokumentera bedömningen skriftligt.

Vad är skillnaden på väsentliga och viktiga entiteter?

Väsentliga entiteter står under proaktiv, löpande tillsyn, medan viktiga entiteter i huvudsak granskas reaktivt — efter en incident eller en signal. Grundkraven på säkerhet är desamma för båda, men indelningen styr tillsynens intensitet och sanktionstaket. Väsentliga entiteter är typiskt större aktörer i de mest kritiska sektorerna.

AspektVäsentlig entitetViktig entitet
TillsynProaktiv, löpande granskningFrämst reaktiv, efter signal/incident
Sanktionstak10 miljoner euro eller 2 % av omsättning7 miljoner euro eller 1,4 % av omsättning
GrundkravSamma riskåtgärder och rapporteringSamma riskåtgärder och rapportering

Vilka krav ställs (riskhantering, incidentrapportering, ledningsansvar)?

Kraven vilar på tre ben: riskhanteringsåtgärder, incidentrapportering och ett uttryckligt ledningsansvar. Riskhanteringen ska stå i proportion till verksamhetens riskexponering och omfattar minst:

  1. Riskanalys och säkerhetspolicy för nätverks- och informationssystem
  2. Incidenthantering — upptäcka, hantera och lära av incidenter
  3. Kontinuitet och testad backup, inklusive katastrofåterställning
  4. Leveranskedjesäkerhet — krav på leverantörer och tjänstepartner
  5. Åtkomststyrning och multifaktorautentisering (MFA)
  6. Kryptering samt rutiner för att mäta att åtgärderna fungerar
  7. Utbildning i cyberhygien för personal och ledning

Incidentrapporteringen sker i tre steg till CERT-SE, Sveriges nationella CSIRT: en tidig varning inom 24 timmar, en mer utförlig incidentanmälan inom 72 timmar och en slutrapport inom en månad. Rör incidenten personuppgifter kvarstår dessutom skyldigheten att anmäla till Integritetsskyddsmyndigheten (IMY) inom 72 timmar enligt GDPR — de två regelverken gäller parallellt.

Ledningsansvaret är nytt och konkret: styrelse och vd ska godkänna riskåtgärderna, övervaka att de genomförs och själva genomgå utbildning. Brister de i den tillsynen kan de hållas ansvariga. Löpande övervakning och patchning hör hemma i ett strukturerat avtal för IT-drift och support, inte i tillfälliga insatser.

Vill du veta var ni står? Vi kartlägger nuläget mot kraven och sätter grunden — säkerhet och backup för företag med riskanalys, testad backup och incidentberedskap.

Kan ni omfattas som underleverantör via leveranskedjan?

Ja, indirekt — och det är den vanligaste vägen in för mindre företag. Eftersom leveranskedjesäkerhet är en av lagens riskåtgärder måste varje organisation som träffas direkt ställa säkerhetskrav på sina leverantörer. Är ni IT-partner, driftleverantör, molntjänst eller konsult till exempelvis ett sjukhus eller ett energibolag kommer kraven till er genom avtalet.

I praktiken landar kraven hos er som konkreta avtalsvillkor:

  • Säkerhetsbilagor i avtalet med specificerade tekniska krav
  • Krav på MFA och kryptering i de system och tjänster ni levererar
  • Avtalad incidentrapportering till kunden inom bestämda tider
  • Revisionsrätt — kunden kan begära att få granska era rutiner

Ni behöver alltså inte formellt vara en väsentlig eller viktig entitet för att kraven ska bli era — de följer med uppdraget. Ligg steget före genom att kunna visa era rutiner innan kunden frågar.

Vad händer om ni inte följer lagen (tillsyn och sanktioner)?

Tillsynsmyndigheten kan begära uppgifter, genomföra inspektioner, förelägga om åtgärder och besluta om sanktionsavgifter. Tillsynen är sektorsbaserad — olika myndigheter ansvarar för olika branscher, till exempel Post- och telestyrelsen (PTS) för digital infrastruktur, Finansinspektionen för finanssektorn och Transportstyrelsen för transport.

Sanktionsavgifterna är kännbara: upp till 10 miljoner euro eller 2 procent av global årsomsättning för väsentliga entiteter, och upp till 7 miljoner euro eller 1,4 procent för viktiga entiteter. Det högsta av beloppen gäller. Utöver avgiften kan ledningen hållas ansvarig, vilket gör efterlevnad till en styrelsefråga och inte enbart en IT-fråga.

Hur kommer ni igång — praktiska första steg?

Börja med att avgöra om ni omfattas, kartlägg nuläget mot kraven och prioritera gapen efter risk. En rimlig ordning för de första veckorna:

  1. Klassa verksamheten — sektor, storlek och eventuella undantag. Dokumentera bedömningen.
  2. Räkna med registrering — omfattade verksamheter förväntas anmäla sig till sin tillsynsmyndighet. Ta reda på vilken myndighet som gäller er sektor.
  3. Gör en gap-analys mot de sju riskåtgärderna ovan och lista bristerna.
  4. Säkra grunderna först — MFA, patchning, åtkomststyrning och en testad, oberoende backup.
  5. Sätt en incidentprocess som klarar 24- och 72-timmarsrapportering, med utpekade roller.
  6. Förankra i ledningen och utbilda styrelse, vd och personal.

Tacerto hjälper företag i Uddevalla och hela Sverige att bygga den här grunden i praktiken — riskanalys, testad backup, åtkomststyrning och incidentberedskap samlat under säkerhet och backup för företag, med en kontakt och en faktura. Boka en genomgång så går vi igenom var ni står mot cybersäkerhetslagen.

Den här texten är allmän vägledning, inte juridisk rådgivning. Om och hur ni omfattas avgörs av lagtext, förordningar och er tillsynsmyndighets föreskrifter — stäm av er bedömning med juridisk expertis.

Vanliga frågor

Omfattas mitt företag av NIS2?

Ja, om ni verkar i någon av lagens 18 utpekade sektorer och har minst 50 anställda eller mer än 10 miljoner euro i årsomsättning eller balansomslutning. Mindre företag kan omfattas indirekt som leverantör till en organisation som träffas, eftersom leveranskedjesäkerhet är ett uttryckligt krav i lagen.

När började den svenska cybersäkerhetslagen gälla?

Den 15 januari 2026. Riksdagen antog cybersäkerhetslagen (2025:1506) den 10 december 2025 och den genomför EU:s NIS2-direktiv i svensk rätt. EU:s ursprungliga frist för medlemsstaterna var den 17 oktober 2024, och Sverige låg efter den tidsplanen.

Vad är skillnaden på väsentliga och viktiga entiteter?

Väsentliga entiteter är de mest samhällskritiska och står under proaktiv, löpande tillsyn med ett högre sanktionstak — upp till 10 miljoner euro eller 2 procent av global omsättning. Viktiga entiteter har samma grundkrav men granskas i huvudsak reaktivt, med tak på 7 miljoner euro eller 1,4 procent.

Vilka krav ställer NIS2 på oss?

Tre saker: riskhanteringsåtgärder (riskanalys, testad backup, åtkomstkontroll, MFA, kryptering, leveranskedjesäkerhet och utbildning), incidentrapportering till CERT-SE i tre steg (24 timmar, 72 timmar och slutrapport inom en månad) samt ett uttryckligt ansvar för styrelse och vd att godkänna och följa upp åtgärderna.

Kan vi omfattas som underleverantör?

Ja, indirekt. Leveranskedjesäkerhet är en av lagens riskåtgärder, så en organisation som träffas direkt måste ställa säkerhetskrav på sina leverantörer. Är ni IT-partner, driftleverantör eller molntjänst till ett träffat företag kommer kraven till er via avtalet, även om ni är för små för att omfattas i egen rätt.

Vad blir följden om vi inte följer NIS2?

Tillsynsmyndigheten kan begära uppgifter, göra inspektioner, förelägga om åtgärder och besluta om sanktionsavgifter — upp till 10 miljoner euro eller 2 procent av global årsomsättning för väsentliga entiteter. Ledningen kan dessutom hållas ansvarig för brister i tillsynen av arbetet.

Nästa steg

Vill du veta mer om Säkerhet & backup?

Se vad som ingår och vad som styr priset — eller berätta vad du vill uppnå så hjälper vi dig direkt.

Vi återkopplar snabbt. Alltid.