Vad innebär NIS2 för svenska verksamheter 2026?

NIS2 är EU:s skärpta direktiv för cybersäkerhet, i Sverige genomfört genom cybersäkerhetslagen som gäller sedan 15 januari 2026 och ställer krav på riskhantering, incidentrapportering och styrelseansvar i 18 sektorer.

För svenska verksamheter är frågan inte längre om lagen kommer. Den frågan är besvarad. Cybersäkerhetslagen (SFS 2025:1506) trädde i kraft 15 januari 2026, anmälningsfönstret hos Myndigheten för civilt försvar öppnade 2 februari, och 2026 är det första året med tillsyn och sanktioner i hela EU. Den operativa frågan är därför enkel och obekväm: har ni anmält er, och kan ni visa hur ni hanterar risk?

Varför det spelar roll

Tidigare svensk NIS-reglering omfattade 7 sektorer och pekade ut enskilda operatörer. Cybersäkerhetslagen omfattar 18 sektorer och delsektorer, och träffar organisationer genom storleksregler i stället för individuellt utpekande. Resultatet är att tusentals svenska organisationer som aldrig behövt tänka på NIS plötsligt är omfattade, kommuner, livsmedelsproducenter, avfallsbolag, vårdgivare, tillverkare och leverantörer av digital infrastruktur.

Två saker gör att efterlevnad inte kan delegeras nedåt i organisationen. Det första är styrelseansvaret. Ledningsorganet, alltså styrelse och vd, bär huvudansvaret för efterlevnad, ska godkänna riskåtgärderna, ska fortlöpande informeras om incidenter och är skyldigt att genomgå utbildning i cybersäkerhet. Det andra är sanktionsnivån. För en väsentlig verksamhetsutövare kan avgiften bli högst 10 miljoner euro eller 2 procent av den globala årsomsättningen. Säkerhet har flyttat från IT-budgeten till styrelserummet.

Det här är inte ett engångsprojekt. Lagen kräver löpande riskhantering och kontinuerlig sårbarhetshantering, inte en punktinsats inför ett revisionsdatum. Att ligga steget före en incident betyder att arbeta proaktivt med säkerhet hela tiden, skanna efter sårbarheter, åtgärda dem och kunna visa att processen finns. Brandkårsutryckning räcker inte som styrning.

Hur det fungerar

NIS2 vilar på fyra byggstenar. Var och en motsvarar konkreta krav i cybersäkerhetslagen.

1. Klassificering, väsentlig eller viktig. Lagen delar in omfattade organisationer i två kategorier. Ett stort företag i en sektor enligt Bilaga 1 blir en väsentlig verksamhetsutövare. Ett medelstort företag i Bilaga 1, samt stora och medelstora företag i Bilaga 2, blir viktiga verksamhetsutövare. Skillnaden styr både tillsynen och sanktionstaket. Väsentliga aktörer får planerad tillsyn, viktiga aktörer får händelsestyrd tillsyn.

2. Riskhantering. Ni ska ha tekniska och organisatoriska åtgärder som står i proportion till risken. Det inkluderar riskanalys, incidenthantering, kontinuitetsplanering, kryptering, åtkomststyrning och utbildning. Ett befintligt ledningssystem för informationssäkerhet, som ett enligt ISO/IEC 27001, täcker stora delar av det här arbetet.

3. Incidentrapportering i tre steg. Vid en betydande incident gäller en fast tidslinje. En tidig varning ska lämnas inom 24 timmar, en incidentanmälan inom 72 timmar och en slutrapport inom en månad efter att ni fått kännedom om incidenten. Rapporteringen sker enligt cybersäkerhetslagen, och 24-timmarsfönstret är hårdare än många organisationer är vana vid.

4. Säkerhet i leverantörskedjan. NIS2 kräver att ni hanterar risker som kommer från leverantörer och tjänsteleverantörer. Det räcker inte att er egen drift är säker om en underleverantör är ingången för ett angrepp. Det betyder konkret att granska en leverantörs säkerhetsarbete innan avtal, ställa krav i avtalet och följa upp dem löpande. Frågan “hur säkerställer jag min leverantörs säkerhet” är inte längre en god vana, den är ett lagkrav.

Anmälan görs till Myndigheten för civilt försvar oavsett sektor. Tillsynen däremot sköts av den sektorsvisa tillsynsmyndighet ni hör under, till exempel Post- och telestyrelsen, Finansinspektionen, Energimyndigheten eller Transportstyrelsen. Anmälningstjänsten öppnade 2 februari 2026 och regleras i föreskriften MCFFS 2026:1, beslutad 8 januari 2026.

När det passar

Behandla er som omfattade om ni känner igen er i något av följande. Ni verkar i en av de 18 sektorerna, energi, transport, bank och finans, hälso- och sjukvård, dricksvatten, avlopp, digital infrastruktur, IT-tjänsteförvaltning, offentlig förvaltning, rymd, post, avfall, kemikalier, livsmedel, viss tillverkning, digitala leverantörer eller forskning. Ni har minst 50 anställda eller minst 10 miljoner euro i omsättning. Eller ni har redan fått en signal från en sektorsmyndighet eller en kund som själv är omfattad.

Att redan ha ett ISO 27001-arbete på plats gör startläget bättre, inte sämre. Då handlar arbetet om att kartlägga gapet mellan ert ledningssystem och lagtexten, inte om att börja från noll.

När det inte passar

Cybersäkerhetslagen omfattar inte alla. Om verksamheten ligger helt utanför de 18 sektorerna och inte är en kritisk leverantör till någon som omfattas, gäller lagen inte er direkt. Mikroföretag och små företag under tröskeln på 50 anställda och 10 miljoner euro faller i regel utanför, om de inte särskilt pekas ut som kritiska.

Det finns ett viktigt undantag mot den slutsatsen. Även om ni inte själva omfattas kan ni omfattas i praktiken som leverantör. En kund som är väsentlig eller viktig verksamhetsutövare måste ställa säkerhetskrav på sin leverantörskedja. Är ni den leverantören kommer kraven till er genom avtalet, inte genom lagen. Att vara formellt utanför är därför sällan samma sak som att vara opåverkad.

Och NIS2 är inte ett verktyg för allt. Lagen reglerar cybersäkerhet och incidenthantering, inte personuppgiftsskydd (GDPR) eller produktsäkerhet för programvara (Cyber Resilience Act). De överlappar, men de ersätter inte varandra.

Konkret exempel

Tänk er ett medelstort svenskt avfallsbolag med 180 anställda, ägt av flera kommuner. Före 2026 hörde bolaget inte till någon NIS-reglering. Med cybersäkerhetslagen hamnar det i sektorn avfallshantering, över storlekströskeln, och klassas som en viktig verksamhetsutövare.

Bolaget gör tre saker. Det anmäler sig till Myndigheten för civilt försvar. Det utser en ansvarig, dokumenterar sin riskhantering och tar upp incidentrutinen i styrelsen, där ledamöterna går en grundutbildning i cybersäkerhet. Och det går igenom sina leverantörer, driftpartnern för det industriella styrsystemet, molnleverantören för faktureringen, konsulten som har fjärråtkomst till anläggningen. För varje leverantör ställs frågan hur deras säkerhetsarbete ser ut och hur en incident hos dem skulle nå bolaget.

Den tredje punkten är ofta den som avslöjar mest. Det vanligaste fyndet är en gammal fjärråtkomst som ingen längre minns vem som har, eller en underleverantör utan rutin för att larma vidare vid intrång. Systemisk risk via beroenden är inte abstrakt. Log4j-sårbarheten 2021 visade hur en enda komponent djupt nere i kedjan kunde exponera tusentals organisationer på en gång. NIS2:s leverantörskedjekrav finns för precis den typen av risk.

På Digitalist arbetar vi med samma logik internt. Vi är certifierade enligt ISO/IEC 27001 sedan 29 november 2022 och var bland de första i Sverige att certifieras enligt ISO 42001 för AI-styrning den 7 oktober 2025, granskat av DNV Business Assurance. Ledningssystemet är inte ett intyg på väggen. Det är den karta vi använder för att översätta lagkrav till åtgärder, vår egen och våra kunders. En del av de verksamheter vi arbetar med omfattas själva av cybersäkerhetslagen, vilket gör översättningen från lagkrav till åtgärder till en konkret del av samarbetet.

Vanliga missförstånd

“Lagen kommer någon gång, vi har tid att förbereda oss.” Den vanligaste felbilden är att NIS2 ligger i framtiden. Den ligger i det förflutna. Lagen gäller sedan 15 januari 2026 och anmälningsplikten är aktiv. Tidsmarginalen är redan förbrukad, inte kvar.

“Vi har ISO 27001, alltså är vi klara.” En certifiering enligt ISO 27001 är ett starkt fundament men inte ett kvitto på NIS2-efterlevnad. Lagen lägger till krav som ett rent ledningssystem inte garanterar, rapportering till myndighet inom 24 timmar, dokumenterat styrelseansvar och konkreta krav på leverantörskedjan. Arbetet handlar om att fylla gapet, inte om att luta sig mot certet.

“NIS2 är ett IT-projekt.” Felet är att placera ansvaret hos IT-avdelningen. Lagen pekar ut ledningsorganet som ansvarigt och kräver att styrelsen utbildas, godkänner åtgärderna och informeras om incidenter. Behandlas frågan som teknik i källaren missar organisationen själva poängen, och den ansvariga går fri bara på papperet.

Så förändras kraven framåt

NIS2 är redan på väg att justeras. Den 20 januari 2026 lade EU-kommissionen fram riktade ändringar av direktivet som en del av Digital Omnibus-paketet. Förslagen omfattar en gemensam ingång för incidentrapportering via EU:s cybersäkerhetsbyrå ENISA (“report once, share many”) och förtydligade regler för vilka som omfattas. Notera att NIS2:s 24-timmarsfrist för tidig varning ligger kvar oförändrad i förslaget, den förlängning från 72 till 96 timmar som ofta nämns i samma sammanhang gäller GDPR:s frist för anmälan av personuppgiftsincidenter, inte NIS2 (källa: Taylor Wessing, Global Data Hub, analys av Digital Omnibus, 2026, hämtad 2026-06). Ändringarna antas tidigast i slutet av 2026 eller början av 2027. Den lag ni precis anpassat er till kommer alltså att finslipas, men kärnkraven på riskhantering, rapportering och styrelseansvar står kvar. Bygg för dem, inte för en specifik tidsfrist.

Det säkraste draget är att börja med kartläggningen redan idag: vilka sektorer berör er, vilken klassificering gäller, var sitter gapet mot lagtexten, och vilka leverantörer är ert svagaste led. Den som kan svara på de fyra frågorna har redan gjort det svåraste.

Källor

• Cybersäkerhetslag (2025:1506), Sveriges riksdag, 2025 (i kraft 2026-01-15), riksdagen.se
• Myndigheten för civilt försvar, “Det här är cybersäkerhetslagen” och anmälan enligt NIS2, 2026, mcf.se
• MSB, “Incidentrapportering enligt cybersäkerhetslagen”, 2026, msb.se
• Post- och telestyrelsen, “Cybersäkerhetslagen”, 2026, pts.se
• Europeiska kommissionen, “Proposal for a Directive (Digital Omnibus, NIS2-ändringar)”, 2026, digital-strategy.ec.europa.eu
• Taylor Wessing, “The Digital Omnibus and incident reporting”, Global Data Hub, 2026 (förlängningen 72→96 h gäller GDPR, NIS2:s 24-timmarsfrist oförändrad), taylorwessing.com