Vad är NIS2 och cybersäkerhetslagen?

NIS2 (Network and Information Security Directive 2) är EU:s uppdaterade direktiv för cybersäkerhet. I Sverige genomfördes NIS2 genom den nya cybersäkerhetslagen (2025:1506) som trädde i kraft den 15 januari 2026 och ersatte den tidigare svenska NIS-lagen.

Cybersäkerhetslagen täcker 18 sektorer, mot det tidigare NIS-direktivets sju. Sektorerna är indelade i väsentliga och viktiga entiteter.

Omfattas ditt företag direkt av lagen?

Cybersäkerhetslagen gäller verksamhetsutövare med minst 50 anställda eller med omsättning eller balansomslutning över 10 miljoner euro per år, och som tillhör någon av de utpekade sektorerna.

De flesta företag med färre än 50 anställda och utan koppling till samhällskritisk sektor omfattas alltså inte direkt. Men det är inte hela bilden.

‍Berörs du som underleverantör

Som underleverantör räknas du inte som verksamhetsutövare och omfattas inte som egen organisation. Däremot kan era kunder ställa krav i linje med lagen för att säkerställa att hela leveransen håller den säkerhetsnivån som krävs.

Större företag ställer nu krav på säkerhetscertifiering för att behålla kontrakt, vilket gör efterlevnad till en konkurrensfördel.

Frågan att ställa: Har någon av dina kunder börjat ställa frågor om din IT-säkerhet, säkerhetsrutiner eller incidenthantering? Det är NIS2-kraven som rinner nedåt i leverantörskedjan.

Vad kräver lagen i praktiken?

Cybersäkerhetslagen kräver att berörda verksamheter inför åtgärder inom flera säkerhetsområden. De mest relevanta för ett företag utan IT-avdelning:

Riskhantering — dokumenterad riskbedömning av IT-miljön. Det räcker inte att "tänka på säkerhet" — det ska dokumenteras och uppdateras löpande.

Incidenthantering och rapportering — en varning ska lämnas inom 24 timmar från att verksamhetsutövaren fått kännedom om en betydande incident. Därefter ska en incidentanmälan göras inom 72 timmar och en slutrapport inom en månad.

Åtkomstkontroll — rätt personer ska ha rätt åtkomst, och inte mer. MFA (multifaktorautentisering) på alla konton är ett grundläggande krav.

Säkerhetskopiering — verifierade backuper av kritisk data med testad återläsning. En backup som aldrig testats är ingen backup.

Leverantörssäkerhet — även om kravet på säkerhet i leveranskedjan tar sikte på förhållandet till direkta leverantörer måste även risker hos underleverantörer beaktas.

Ledningsutbildning — lagen kräver att personer i ledningen genomgår utbildning om säkerhetsåtgärder.

Vad händer om man inte följer lagen?

Ledningen har ett direkt personligt ansvar för organisationens cybersäkerhetsåtgärder. Bristande efterlevnad kan leda till betydande sanktionsavgifter och gör säkerhet till en strategisk styrelsefråga.

För företag som inte direkt omfattas men är underleverantörer är risken mer affärsmässig: förlorade upphandlingar och avbrutna kundrelationer.

Sex konkreta steg du kan ta nu

1. Kartlägg din IT-miljö.
Vilka system hanterar kritisk data? Vem har åtkomst till vad? Var lagras informationen? Utan en kartläggning vet du inte vad du ska skydda.

2. Aktivera MFA på alla konton.
Det är det enskilt viktigaste tekniska skyddet mot obehörig åtkomst. Microsoft 365 Business Premium inkluderar verktyg för detta via Entra ID — det kan aktiveras för hela organisationen på en dag.

3. Dokumentera en incidentplan.
Vem kontaktar vem om ni drabbas av ett intrång? Hur återställer ni systemen? Vem rapporterar till NCSC inom 24 timmar? En tydlig ensidig plan är bättre än ingen.

4. Säkerställ att er backup är verifierad.
En backup som aldrig testats är ingen backup. Kontrollera att kritisk data säkerhetskopieras regelbundet, lagras utanför er primära miljö och kan återställas inom acceptabel tid.

5. Genomför en säkerhetsgenomgång av leverantörerna.
NIS2 kräver att ni beaktar risker även hos era IT-leverantörer. Ställ krav på att era leverantörer kan redovisa sin säkerhetsnivå — certifieringar, incidentrutiner och datalagring inom EU.

6. Utbilda ledningen.
Lagen kräver att personer i ledningen genomgår utbildning om cybersäkerhetsåtgärder. Det räcker inte att IT-ansvarig känner till kraven — VD och styrelse har ett direkt personligt ansvar.

Hur kan AdMane hjälpa?

AdMane hjälper företag i Jönköping, Småland och Östergötland att möta cybersäkerhetslagens krav i praktiken — inte med en konsultrapport, utan med konkreta tekniska åtgärder som faktiskt minskar risken.

GreenLine — Microsoft 365-härdning och säkerhetspolicys
Vi konfigurerar er M365-miljö enligt etablerade säkerhetsstandarder via CIPP. Det innebär aktivering av MFA, hantering av villkorsstyrd åtkomst (Conditional Access), härdning av e-postsäkerhet och löpande övervakning av er Microsoft Secure Score. Varje avvikelse från er säkerhetsbaseline flaggas och åtgärdas proaktivt.

Control — Endpoint- och EDR/XDR-skydd
Vi installerar och förvaltar EDR/XDR-skydd (programvara som identifierar och stoppar cyberattacker i realtid) på alla era enheter via Acronis och Microsoft Defender. Patchhantering ingår — era system hålls uppdaterade utan att ni behöver tänka på det. Vid en incident har vi verktygen och processerna för att isolera, analysera och återställa.

Backup och återställning — för hela verksamheten

Backup är inte en inställning du sätter på och glömmer. Vi säkerhetskopierar hela er IT-miljö — e-post, Teams, SharePoint, servrar, arbetsstationer och affärskritiska system — till separata lagringsmiljöer utanför er primära infrastruktur.

Om ni drabbas av ransomware, ett hårdvarufel eller en anställd som raderar fel fil kan vi återställa det ni behöver. Enskilda filer, specifika system eller hela miljöer. Ni vet i förväg hur lång tid det tar och hur mycket data som maximalt kan gå förlorad.

Det låter självklart. Men vi ser regelbundet företag vars backup inte fungerar förrän de faktiskt behöver den. Vi testar era återställningar löpande så att ni inte behöver ta reda på det på det sättet.

Onboarding och offboarding
När någon börjar får de rätt åtkomst från dag ett. När någon slutar stängs åtkomsten omedelbart — e-post, Teams, delade mappar och alla affärssystem. Det är ett direkt NIS2-krav och en av de vanligaste säkerhetsriskerna vi ser hos nya kunder.

Löpande uppföljning och dokumentation

Varje kvartal går vi igenom er säkerhetsstatus tillsammans — vad som har hänt, vad som har åtgärdats och vad som behöver justeras. Ni får en samlad bild av er IT-säkerhet utan att behöva tolka tekniska loggar själva.

Det ger er den dokumentation som krävs för att visa efterlevnad — internt och mot kunder som ställer NIS2-krav på sina leverantörer.

Vanliga frågor om NIS2 och cybersäkerhetslagen

Q: Gäller cybersäkerhetslagen för företag med färre än 50 anställda?
A: Som huvudregel nej. Men som underleverantör till en organisation som omfattas kan kraven ändå nå dig via dina kunders avtalsvillkor och upphandlingskrav.

Q: Vad är skillnaden mellan NIS2 och GDPR?
A: GDPR reglerar hantering av personuppgifter. Cybersäkerhetslagen reglerar säkerheten i IT-systemen. De överlappar — ett dataintrång kan bryta mot båda — men är separata regelverk med olika tillsynsmyndigheter.

Q: Behöver vi anlita en konsult för att bli compliant?
A: Inte nödvändigtvis. Många av de tekniska kraven — MFA, backup, patchhantering, åtkomstkontroll — är saker en bra IT-leverantör redan bör leverera. Börja med att granska er nuvarande miljö innan ni beställer en dyr konsultinsats.

Q: Hur vet vi om vi uppfyller kraven idag?
A: Microsoft Secure Score ger ett konkret säkerhetsbetyg och en prioriterad åtgärdslista för er M365-miljö. AdMane erbjuder en genomgång kostnadsfritt.

Q: Vart rapporterar vi en incident?
A: Verksamheten för cybersäkerhet övergår till Nationellt cybersäkerhetscenter (NCSC) den 1 juli 2026. NCSC är den centrala mottagaren för incidentrapportering.

Vet du om er IT-miljö uppfyller cybersäkerhetslagens krav?

Vi går igenom er Microsoft 365-miljö och ger er ett konkret säkerhetsbetyg — kostnadsfritt på 30 minuter.

Boka kostnadsfri IT-genomgång (30 min)