NIS2 — 5 saker svenska bolag måste veta

1. Lagen gäller från 15 januari 2026

Cybersäkerhetslagen (SFS 2025:1506) trädde i kraft den 15 januari 2026 och implementerar EU:s NIS2-direktiv (2022/2555) i svensk rätt. Den ersätter den äldre NIS-lagen (2018:1174) och utökar både kravbilden och antalet verksamheter som omfattas.

2. Två kategorier: väsentlig eller viktig

Lagen delar in verksamheter i väsentliga (essential) och viktiga (important) entiteter. Skillnaden ligger i tillsynsintensiteten och sanktionerna — väsentliga får proaktiv tillsyn, viktiga får reaktiv. Båda har samma grundläggande säkerhetskrav enligt 2 kap. 3 §.

Tröskeln är: - Väsentlig: stora företag (>250 anställda eller >50M€ omsättning) inom Annex I-sektorer (11 högt kritiska: energi, transport, bankväsende, finansmarknad, hälsa, dricksvatten, avloppsvatten, digital infrastruktur, ICT-tjänster, offentlig förvaltning, rymd) - Viktig: medelstora företag (50–250 anställda eller 10–50M€ omsättning) inom Annex I + Annex II-sektorer (7 ytterligare: post, avfall, kemi, livsmedel, tillverkning, digitala tjänster, forskning)

Kommuner och regioner omfattas oavsett storlek.

3. De 10 obligatoriska säkerhetsåtgärderna (Art. 21.2 a–j)

Oavsett storlek eller kategori måste ni ha: - a) Riskanalys och informationssäkerhetspolicy - b) Incidenthantering - c) Driftkontinuitet, backup och krishantering - d) Leverantörskedjesäkerhet - e) Säker utveckling, upphandling och sårbarhetshantering - f) Uppföljning av effektivitet i säkerhetsåtgärder - g) Cyberhygien och utbildning - h) Kryptering - i) HR-säkerhet, åtkomstkontroll och tillgångsförvaltning - j) MFA och säker kommunikation

4. Incidentrapportering i tre faser

Vid en betydande incident måste ni rapportera: - 24 timmar — Tidig varning (2 kap. 5 §) - 72 timmar — Incidentanmälan med bedömning (2 kap. 6 §) - 1 månad — Slutrapport med grundorsak och åtgärder (2 kap. 8 §)

Misstänkta brottsliga handlingar eller gränsöverskridande påverkan måste anges redan vid den tidiga varningen.

5. Ledningen är personligen ansvarig

NIS2 Art. 20 och 2 kap. 4 § kräver att styrelse eller motsvarande ledningsorgan godkänner riskhanteringsåtgärderna och genomgår utbildning i cybersäkerhet. Bristande efterlevnad kan leda till personligt ansvar för ledningen — det är inte längre bara IT-avdelningens problem.

Nästa steg

1. Genomför en GAP-analys mot de 10 säkerhetsåtgärderna 2. Dokumentera era befintliga rutiner 3. Identifiera luckor och prioritera åtgärder 4. Utbilda ledningen 5. Förbered incidenthanteringsplan med kontaktvägar till CERT-SE

NIS2Koll hjälper er genom hela denna process med strukturerade verktyg för GAP-analys, incidentlogg, MSB-kompatibla rapporter och leverantörsbedömning.