Under 2026 är NIS2 direktivet inte längre något som “kommer snart”. Det är här – och det påverkar betydligt fler verksamheter än tidigare.
Många ledningsgrupper ställer just nu samma frågor:
- Gäller NIS2 Sverige även oss?
- Vilka NIS2 krav måste vi uppfylla?
- Riskerar vi NIS2 böter?
- Hur gör vi detta utan att bygga en intern säkerhetsorganisation?
Här är en praktisk guide för dig som är VD, sitter i ledningsgruppen eller är IT-ansvarig i ett mindre eller medelstort företag.
Vad är NIS2 och vilka omfattas?
NIS2 Directive är EU:s uppdaterade cybersäkerhetslagstiftning som ersätter det tidigare NIS-direktivet. Syftet är att höja den gemensamma säkerhetsnivån inom EU och stärka skyddet mot cyberattacker.
Det som gör NIS2 Sverige särskilt relevant 2026 är att direktivet:
- Omfattar fler branscher
- Omfattar fler företagstyper
- Ställer tydligare krav på ledningen
- Har skarpare sanktionsmöjligheter
Vilka NIS2 företag omfattas?
Företag inom exempelvis:
- Energi
- Transport
- Vatten & avfall
- Hälso- och sjukvård
- Digital infrastruktur
- IT- och molntjänster
- Tillverkning inom vissa sektorer
- Leverantörer till samhällsviktiga aktörer
Men även företag som inte direkt tillhör en kritisk sektor kan påverkas indirekt – genom att vara leverantör till ett bolag som omfattas.
Det är därför många just nu söker på: “NIS2 vad innebär det för oss?”
Vad är skillnaden mellan NIS och NIS2?
Det tidigare NIS-direktivet (2016) hade begränsad räckvidd. NIS2 direktivet innebär:
| NIS (2016) | NIS2 (2022 → 2026 implementerat) |
| Färre sektorer | Betydligt fler sektorer |
| Otydliga ledningskrav | Tydligt personligt ansvar |
| Begränsad tillsyn | Skarpare tillsyn |
| Lägre sanktioner | Betydande NIS2 böter |
Den stora förändringen? Styrelse och ledning kan hållas ansvariga.
Gäller NIS2 mitt företag?
Förenklat bör ni göra en bedömning om ni:
- Har fler än 50 anställda
- Har en omsättning över cirka 10 miljoner euro
- Levererar IT-, moln- eller digitala tjänster
- Är en del av en kritisk leveranskedja
Även mindre organisationer kan omfattas om de bedöms vara särskilt viktiga för samhällsfunktioner. Det är vanligt att företag befinner sig i en gråzon. Därför är en strukturerad nulägesanalys ofta första steget.
Vilka NIS2 krav ställs på ledningen?
En central del i NIS2 direktivet är att ledningen förväntas ha insikt i och ansvar för organisationens säkerhetsarbete.
Typiska NIS2 krav omfattar:
- Systematisk riskhantering inom NIS2 IT-säkerhet
- Dokumenterade säkerhetspolicyer
- Incidentrapportering inom fastställda tidsramar
- Kontinuitetsplanering och backup-strategi
- Säker hantering av leverantörer
- Utbildning av ledning och relevanta roller
Det räcker inte längre att “lita på att IT har koll”. Ledningen ska kunna visa att säkerhetsarbetet är strukturerat och följs upp.
Vad händer om man inte följer NIS2 direktivet?
Möjliga NIS2 böter kan uppgå till:
- Upp till 10 miljoner euro
eller - Upp till 2 % av global årsomsättning
Men den verkliga risken är ofta större än själva sanktionsavgiften. Konsekvenser kan inkludera:
- Driftstopp
- Skadat förtroende
- Förlorade affärer
- Problem med cyberförsäkring
- Personligt ansvar i ledningen
NIS2 Sverige handlar därför minst lika mycket om affärsrisk som om juridisk risk.
Hur ser en konkret handlingsplan ut?
Det behöver inte börja med en omfattande omorganisation. Med en tydlig NIS2 checklista, strukturerad nulägesanalys och rätt stöd kan ni skapa kontroll – utan att överbelasta organisationen.
Osäker på om ni omfattas eller behöver ni hjälp med en checklista?
Kontakta oss så hjälper vi er att identifiera om ni omfattas av direktivet och i det fallet skapa en konkret handlingsplan.