Guide till Cybersäkerhetslagen & NIS2
NIS2-guiden

Cybersäkerhetslagen & NIS2

En komplett guide framför allt riktad till svenska små och medelstora företag på ledningsnivå.

Den nya lagen träder är planerad att träda i kraft under januari 2026 och skärper kraven på cybersäkerhet för tusentals svenska företag. Denna guide hjälper er att förstå vad det innebär och hur ni kan förbereda er.

Är ditt företag direkt berört?

Lagen delar in verksamheter i ”väsentliga” och ”viktiga” baserat på sektor och storlek. Om ni har över 50 anställda eller >10 MEUR i omsättning och verkar inom en kritisk sektor, omfattas ni troligen. Dessutom avgörs omfattningen utifrån branschens samhällskritiska betydelse och säkerhetsrisker.

Krav och skyldigheter

  • Riskhantering & Skyddsåtgärder: Bedriv ett systematiskt och riskbaserat säkerhetsarbete. Inför lämpliga tekniska och organisatoriska åtgärder.
  • Ledningens ansvar: Styrelse och VD har ett uttryckligt och personligt ansvar för efterlevnad och måste genomgå utbildning.
  • Incidentrapportering: Rapportera allvarliga incidenter till tillsynsmyndigheten inom strikta tidsfrister (tre steg: 24h första rapport, 72h uppföljning, 1 månad slutrapport).
  • Sanktionsavgifter: Riskera böter upp till 10 miljoner euro (eller 2% av global omsättning) vid allvarliga överträdelser. Beloppen är enligt EU: direktiv & Regeringens lagförslag – svenska nivåer fastställs när lagen är beslutad.

Checklista: Förberedelser

NIS2 och din leverantörskedja

En av de största nyheterna är det starka fokuset på säkerhet i hela leverantörskedjan. Ansvaret sträcker sig utanför er egen organisation och omfattar era externa partners.

Säkra er leverantörskedja

Om ni är leverantör till ett företag som omfattas av NIS2 kommer ni möta skärpta säkerhetskrav. Om ni själva omfattas måste ni ställa krav på era leverantörer. Detta blir en avgörande konkurrensfaktor.

Nyckelkrav för avtal:

  • Säkerhetsåtagande: Kräv att leverantören följer branschstandard (t.ex. ISO 27001).
  • Incidentrapportering: Avtala om omedelbar information vid incidenter som påverkar er.
  • Rätt till granskning: Inkludera en klausul som ger er rätt att verifiera leverantörens säkerhetsarbete.
  • Krav på underleverantörer: Säkerställ att kraven förs vidare i kedjan.
  • Ansvar och sanktioner: Tydliggör ansvaret vid brister och er rätt till ersättning.

Kom igång: Gap-analys & Ansvarsfördelning

För att lyckas behöver ni veta var ni står idag och vem som ska göra vad. En gap-analys och en tydlig ansvarsfördelning är grunden för ert arbete.

Exempel på Gap-analys

Område Krav/Åtgärd Status nu Gap Rek. åtgärd
Incidenthantering Formell incidentplan Ad-hoc hantering Ingen dokumenterad process Utveckla policy & rutin; träna team.
Åtkomstkontroll MFA på kritiska system Delvis (endast VPN) E-post saknar MFA Inför MFA på alla molntjänster.
Leverantörshantering Säkerhetskrav i avtal Saknas i äldre avtal Ingen systematisk uppföljning Uppdatera avtalsmallar; omförhandla.

VD:ns Handlingsplan på 90 dagar

En konkret startplan för att snabbt få kontroll och påbörja ert anpassningsarbete. Klicka på varje fas för att se detaljer.

Mål: Inventering och strategisk översikt.
  • Informera dig och ledningsgruppen.
  • Tillsätt en intern projektledare/arbetsgrupp.
  • Genomför en snabb risk- och gap-översikt.
  • Åtgärda ”lågt hängande frukter” direkt.
  • Engagera styrelsen tidigt.
  • Påbörja resurs- och budgetöversyn.
Mål: Genomförande av prioriterade åtgärder.
  • Formalisera policyer och styrdokument.
  • Åtgärda de mest kritiska gapen från analysen.
  • Implementera och öva på incidenthantering.
  • Inled dialog och uppdatera leverantörsavtal.
  • Genomför grundläggande utbildning för personal och ledning.
  • Ta in extern hjälp vid behov.
Mål: Rapportering och kontinuerlig uppföljning.
  • Utvärdera resultat och justera planen.
  • Formalisera all dokumentation som bevis på efterlevnad.
  • Rapportera status och plan framåt till styrelsen.
  • Skapa en plan för kontinuerligt säkerhetsarbete.
  • Fira framgångar och arbeta vidare med säkerhetskulturen.
  • Säkra långsiktig resursplanering och budget.

Resurser & Myndighetslänkar

Här finner du länkar till myndigheter och andra källor för att stödja ert arbete med NIS2.

MSB

Sveriges samordnande myndighet för NIS2. Här finns information, Q&A och vägledningar.

Besök MSB →

CERT-SE

Sveriges nationella CSIRT (Computer Security Incident Response Team) som publicerar varningar.

Besök CERT-SE →

Regeringskansliet

Läs utredningen SOU 2024:18 för detaljerad information om lagförslaget.

Läs utredningen →

Tillsynsmyndigheter

Beroende på er sektor, håll koll på er specifika tillsynsmyndighet (t.ex. Energimyndigheten, PTS, FI).

Hitta er myndighet →

ENISA

EU:s cybersäkerhetsbyrå. Här finns information och översikter om direktivet på EU-nivå.

Besök ENISA →

BTROX 2025 NIS2-guide. Informationen är baserad på offentliga källor och är avsedd som vägledning.

Kontakta alltid juridisk expertis för formell rådgivning.