NIS2 är här – och det påverkar fler än du tror

Den 15 januari 2026 trädde Sveriges nya cybersäkerhetslag i kraft. Lagen bygger på EU:s NIS2-direktiv. Den innebär ett stort skifte i hur företag måste arbeta med cybersäkerhet. Med NIS2 har kraven skärpts. Många fler verksamheter än tidigare omfattas nu av reglerna. Företagens ledningar har fått ett tydligt ansvar för cybersäkerheten. För många små och medelstora företag är det en ny verklighet. Cybersäkerhet är inte längre bara en teknisk fråga, utan även en strategisk fråga för ledningen.

Fler omfattas – även du?

NIS2 gäller inte längre bara de klassiska samhällskritiska aktörerna. Lagen listar 18 kritiska sektorer, bland annat energi, transporter, sjukvård, finans, digital infrastruktur, livsmedel, vatten och avfall, samt offentlig förvaltning. Som huvudregel omfattas medelstora och stora företag i de här sektorerna av NIS2. Små företag är oftast undantagna, men kan ändå påverkas indirekt.

Det är inte bara er egen bransch som avgör om ni berörs. Många företag påverkas genom krav från sina kunder eller partners. Leverantörer till kommuner, elbolag eller stora företag kommer att möta hårdare krav på säkerhet, dokumentation och incidentberedskap. Samma sak gäller till exempel tryckerier, IT-tjänsteföretag och logistikfirmor. Även de arbetar digitalt och hanterar känslig information varje dag.

Vad innebär lagen?

Enligt NIS2 måste ni kunna visa att ni jobbar systematiskt med cybersäkerheten. Det innebär bland annat att ni ska:

• Identifiera vilka cyberrisker som finns i verksamheten.
• Införa tekniska skydd och interna rutiner för säkerhet.
• Ha en plan för hur ni hanterar incidenter och rapporterar dem (allvarliga attacker ska anmälas inom 24 timmar).
• Se till att verksamheten kan fortsätta och att ni kan återställa systemen efter en cyberattack.
• Ställ krav på era leverantörer så att även de håller en hög nivå på säkerheten.
• Utbilda både ledningen och personalen i cybersäkerhet.

Det räcker inte att vilja väl. Ni måste dokumentera ert säkerhetsarbete och kunna visa upp det vid en eventuell myndighetskontroll. Det finns ingen officiell certifiering att ta till som bevis. Varje företag måste själv kunna visa att det uppfyller kraven.

Ledningens ansvar

En av de största förändringarna med NIS2 är att ansvaret för cybersäkerheten nu hamnar hos företagsledningen. Styrelsen och vd måste göra cybersäkerhet till en del av det vanliga ledningsarbetet. Styrelsen och vd ska sätta mål, avsätta resurser och besluta om vilka skyddsåtgärder som behövs. De måste också följa upp att säkerhetsarbetet verkligen blir gjort. Dessutom ska ledningen se till att organisationen har rätt kompetens för uppgiften.

Ett konkret krav i NIS2 är att ledningen måste utbildas i cybersäkerhet. Efter en sådan utbildning förväntas styrelse och vd ha tillräcklig kunskap för att förstå företagets risker, ta genomtänkta beslut och visa att de tar ansvar. Cheferna behöver inte vara tekniska experter. Men de måste förstå de stora riskerna, ställa rätt frågor och se till att alla viktiga beslut dokumenteras.

Vad händer vid brister?

NIS2 ger tillsynsmyndigheterna större befogenheter om säkerhetskraven inte följs. Om ett företag missköter säkerheten kan myndigheten först ge en varning eller en order att rätta till bristerna. Om problemen kvarstår kan företaget tvingas betala en sanktionsavgift (en sorts böter). Böterna kan bli mycket höga. Stora bolag riskerar upp till 10 miljoner euro eller 2 procent av sin omsättning. För mindre bolag är taket 7 miljoner euro eller 1,4 procent av omsättningen.

Men böter är inte det enda problemet. Om säkerheten brister allvarligt kan det skada företagets rykte så att kunder tappar förtroendet. Ni kan också förlora affärer om ni inte anses pålitliga som leverantör. I värsta fall kan även företagets chefer drabbas personligen. Myndigheten kan som sista utväg stänga av en vd eller styrelseledamot från sitt uppdrag om säkerheten missköts grovt och inte förbättras trots varningar.

Så kommer ni igång

Första steget är att ta reda på om ert företag omfattas av NIS2 – direkt eller indirekt. Det finns guider och online-verktyg som kan hjälpa er, men i slutänden måste ni själva göra bedömningen.

Om ni omfattas behöver ni anmäla företaget till Myndigheten för civilt försvar. En e-tjänst för anmälan väntas öppna i början av februari 2026, och redan nu finns information om vilka uppgifter ni kan förbereda.

Sedan behöver ni bygga upp ett strukturerat säkerhetsarbete. Gör riskanalyser, inför skyddsåtgärder, utbilda personalen och skapa rutiner för hur ni hanterar incidenter. Därefter bör ledningen regelbundet följa upp hur säkerhetsarbetet fungerar och ta beslut om resurser och prioriteringar.

Glöm inte bort leverantörerna. Många cyberattacker sker via en partner eller underleverantör. Därför måste ni se till att även era leverantörer och samarbetspartners uppfyller säkerhetskraven i NIS2.

Vår rekommendation

NIS2 är inte bara en regel att följa – det är också en möjlighet. Om ni tar cybersäkerhet på allvar följer ni inte bara NIS2-lagen. Ni ökar också förtroendet hos kunder, partners och medarbetare. För många SMB-företag kan det till och med bli en konkurrensfördel att ligga steget före.

På AdMane hjälper vi företag att navigera i det nya säkerhetslandskapet. Vi erbjuder stöd under hela processen – från analys och anmälan till utbildning, handlingsplaner och uppföljning. Tillsammans gör vi näringslivet tryggare och bättre rustat mot cyberhot.

Vill du veta mer om hur NIS2 påverkar just din verksamhet? Hör av dig till oss – vi hjälper dig att komma igång.

‍