NIS2 – vad gäller för er?

Cybersäkerhetslagen (NIS2) ställer krav på systematiskt säkerhetsarbete, incidentrapportering och ledningsansvar — med personligt ansvar för styrelse och ledning. Här samlar vi det du behöver förstå, utan att översälja vad ni behöver göra.

Se om ni kan beröras Prata med oss om er situation

Vad innebär NIS2?

Det viktigaste att veta som ledning eller beslutsfattare.

Vad är det?

EU-direktiv implementerat i svensk lag (cybersäkerhetslagen). Skärpta krav på säkerhetsåtgärder, incidentrapportering och ledningsansvar — med sanktionsavgifter vid bristande efterlevnad.

Vilka berörs?

Verksamheter inom samhällsviktig och digital infrastruktur — energi, transport, hälso- och sjukvård, finans, vatten och digital infrastruktur. Men även leverantörer och partners kan påverkas via krav i leverantörskedjor.

Vad krävs?

Riskhantering, incidenthantering och -rapportering, leverantörskontroll, kontinuitet, kryptering och åtkomstkontroll. Ledningen ansvarar personligen för att kraven efterlevs.

När är NIS2 relevant för er?

Fyra vanliga lägen där lagen — direkt eller indirekt — påverkar verksamheten.

Ni omfattas direkt

Er verksamhet faller inom en av de reglerade sektorerna. Lagen gäller er och ni behöver visa efterlevnad.

Kunden kräver det

En kund eller upphandlande organisation ställer NIS2-krav på sina leverantörer. Ni påverkas via leverantörskedjan.

Ledningen behöver förstå ansvaret

NIS2 ställer personligt ansvar på styrelse och ledning. Att inte känna till lagen är inte ett giltigt skäl.

Ni vill sätta struktur

Ni jobbar redan med säkerhet men saknar tydlig styrning mot lagkrav. NIS2 ger en konkret kravbild att strukturera arbetet mot.

Vanliga frågor

Måste vi vara certifierade för att uppfylla NIS2?

Nej. NIS2 kräver inte certifiering. Det handlar om att visa att ni har ett fungerande säkerhetsarbete med rätt processer, styrning och förmåga att hantera incidenter.

Gäller NIS2 oss om vi inte är samhällsviktiga?

Inte direkt — men indirekt ofta ändå. Om ni levererar till en organisation som omfattas kan de ställa NIS2-liknande krav på er via avtal och leverantörsgranskning.

Vad måste styrelsen kunna visa?

Att de har godkänt säkerhetspolicyer, följt upp riskhanteringen och kan redogöra för hur organisationen arbetar med cybersäkerhet. Personligt ansvar innebär att okunnighet inte är ett försvar.

Vi jobbar redan med ISO 27001 — täcker det NIS2?

Delvis. ISO 27001 är en bra grund men täcker inte alla NIS2-krav, exempelvis incidentrapportering till myndighet och specifika tekniska minimikrav. En gap-analys ger svar på vad som saknas.

Insikter om NIS2

Perspektiv och lärdomar för dig som arbetar med NIS2-efterlevnad.

2026-03-23 • säkerhetsmognadmognadsanalys

Säkerhetsmognad — vad det egentligen betyder och varför det avgör din förmåga

Säkerhetsmognad handlar inte om att ha en policy på plats — det handlar om förmåga. Hur processer, teknik och människor samverkar för att skydda verksamheten.

Läs →

2026-02-01 • NIS2leverantörsrisker

NIS2 och leverantörsrisker – kontroll som fungerar i verkligheten

Leverantörs- och tredjepartsrisker är centrala i NIS2. Mindre fokus på dokument och mer på faktisk förmåga är avgörande för att få kontroll som fungerar i praktiken.

Läs →

2026-01-10 • NIS2cybersäkerhet

Är NIS2 på väg att bli den nya lägstanivån för cybersäkerhet?

Även organisationer som inte formellt omfattas av NIS2 kan snart behöva förhålla sig till kraven. Min spaning är att direktivet blir en praktisk marknadsstandard.

Läs →

Alla NIS2-artiklar

Relaterat stöd

Tjänster som ofta är relevanta i NIS2-arbetet.

NIS2 och cybersäkerhetslagen Säkerhetsmognadsanalys CISO as a Service

Vill ni förstå vad NIS2 kräver av er?

Vi tar ett kort samtal och ringar in vad som är relevant för er verksamhet och vad som ger effekt först.