Snabbsvar

Sveriges Cybersäkerhetslag (SFS 2025:1506), som implementerar NIS2-direktivet, trädde i kraft 15 januari 2026. Lagen gäller verksamheter inom 18 utpekade sektorer med minst 50 anställda eller en omsättning på minst 10 miljoner euro. Om ditt företag omfattas måste du registrera dig hos tillsynsmyndigheten, implementera riskhanteringsåtgärder och ha rutiner för incidentrapportering.

Sveriges Cybersäkerhetslag är nu i kraft och fler svenska företag än många tror påverkas. För verksamheter i rätt sektor och storlek handlar NIS2 inte bara om policyer utan om registrering, riskhantering och incidentrapportering i praktiken.

Sverige implementerade NIS2 sent. EU:s ursprungliga deadline var oktober 2024, men den svenska Cybersäkerhetslagen trädde i kraft först den 15 januari 2026 efter att EU-kommissionen inlett överträdelseförfarande mot Sverige. Nu gäller lagen - och för berörda verksamheter är det dags att agera.

Vad är NIS2 och varför spelar det roll för svenska företag?

NIS2 är EU:s uppdaterade cybersäkerhetsdirektiv och ersätter den äldre NIS-regleringen från 2018. Syftet är att höja motståndskraften i samhällsviktiga och digitalt beroende verksamheter genom tydligare krav på riskhantering, incidentrapportering och ledningsansvar.

Det här är inte samma sak som GDPR. GDPR fokuserar på personuppgifter, medan NIS2 fokuserar på driftsäkerhet, nätverk, informationssystem och förmågan att motstå cyberincidenter. Många svenska företag behöver därför uppfylla båda regelverken parallellt.

Vilka företag omfattas av Cybersäkerhetslagen?

Lagen omfattar verksamheter inom 18 utpekade sektorer. Huvudregeln är att ett företag omfattas om det finns i rätt sektor och har minst 50 anställda eller minst 10 miljoner euro i omsättning eller balansomslutning. Vissa aktörer omfattas dock oavsett storlek, till exempel leverantörer av betrodda tjänster och vissa delar av digital infrastruktur.

Den svenska lagen bygger dessutom på en tydlig whole-entity approach. Det innebär att hela organisationens IT-fotavtryck kan omfattas, inte bara de system ni själva klassar som kritiska. För svenska verksamheter är det en skarpare tillämpning än många först väntat sig.

  • Energi
  • Transport
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvård
  • Dricksvatten
  • Avloppsvatten
  • Digital infrastruktur
  • IKT-tjänstehantering (B2B)
  • Offentlig förvaltning
  • Rymd
  • Post- och budtjänster
  • Avfallshantering
  • Kemikalier
  • Livsmedel
  • Tillverkning
  • Digitala leverantörer
  • Forskning

Vad krävs av dig om du omfattas?

Det första steget är registrering hos relevant tillsynsmyndighet så snart som möjligt. Därefter behöver ni kunna visa att ni arbetar med riskhanteringsåtgärder som är tekniska, operationella och organisatoriska - alltså inte bara policyer på papper utan kontroller som fungerar i vardagen.

Ni behöver också rutiner för incidentrapportering med tidig upptäckt, snabb eskalering och tydliga beslutsgångar. Slutligen skärper NIS2 ledningsansvaret. Ledningen kan hållas personligt ansvarig och ska få säkerhetsutbildning, vilket gör cybersäkerhet till en styrelse- och ledningsfråga snarare än en ren IT-fråga.

Vad händer om man inte följer lagen?

Sanktionsmodellen är i första hand administrativ, inte straffrättslig. Tillsynsmyndigheter kan utfärda förelägganden, anmärkningar och andra krav på rättelse när de ser brister i registrering, riskhantering eller incidentarbete.

Vid allvarliga eller långvariga brister kan sanktionsavgifterna bli betydande. I vissa fall kan det även bli aktuellt med begränsningar för personer i ledande befattningar. Poängen är tydlig: lagen förutsätter aktiv styrning och går inte att skjuta framför sig.

Hur Microsoft 365 och Zero Trust hjälper dig att möta NIS2-kraven

För många svenska SME-företag finns en stor del av den tekniska grunden redan i Microsoft 365. MFA och Entra ID hjälper till att stärka identitetsskyddet, Intune ger kontroll över enheter och Microsoft Defender bidrar med upptäckt, skydd och uppföljning. När de delarna sätts upp inom en Zero Trust-modell ligger ni mycket närmare NIS2:s riskbaserade synsätt.

Det betyder inte att licenser i sig skapar efterlevnad. Det är konfiguration, ansvar, uppföljning och utbildning som gör skillnaden. Men med rätt Microsoft-arkitektur går det att kombinera säkerhet, spårbarhet och praktisk drift på ett sätt som är realistiskt även för mindre organisationer.

IT-säkerhetMicrosoft 365M365 Audit

Slutsats

NIS2 är nu svensk lag och kraven är betydligt mer operativa än många företag först trodde. För berörda verksamheter är nästa steg att fastställa om ni omfattas, registrera er och bygga en säkerhetsmodell som håller både tekniskt och organisatoriskt.

Vanliga frågor

Gäller NIS2 för alla svenska företag?

Nej. Lagen gäller företag i utpekade sektorer och träffar normalt organisationer som når storleksgränsen 50 anställda eller 10 miljoner euro i omsättning eller balansomslutning. Vissa typer av aktörer, till exempel inom digital infrastruktur och betrodda tjänster, kan omfattas även om de är mindre.

Vad är skillnaden mellan NIS2 och GDPR?

GDPR handlar om hur personuppgifter behandlas och skyddas. NIS2 och den svenska Cybersäkerhetslagen handlar om att skydda nätverk, system, drift och motståndskraft mot cyberincidenter. Många verksamheter behöver arbeta med båda samtidigt.

Vad händer om vi inte registrerar oss?

Om ni omfattas men inte registrerar er kan tillsynsmyndigheten se det som ett efterlevnadsbrott. Det kan leda till förelägganden, anmärkningar och i förlängningen administrativa sanktionsavgifter.

Hur snabbt måste vi rapportera en incident?

Utgångspunkten bör vara NIS2:s tidslinje: tidig varning inom 24 timmar, incidentanmälan inom 72 timmar och slutrapport inom en månad, om inte er tillsynsmyndighet anger annat. Därför behöver ni interna rutiner långt innan första incidenten inträffar.

Hjälper Microsoft 365 oss att uppfylla NIS2-kraven?

Ja, Microsoft 365 kan ge en stor del av den tekniska grunden om miljön konfigureras rätt. MFA, Entra ID, Intune, Defender och en tydlig Zero Trust-modell stödjer identitetsskydd, enhetssäkerhet, loggning och incidenthantering - men de måste kombineras med styrning, utbildning och ansvar i ledningen.

Redo att ta nästa steg?

Vet du inte om ditt företag omfattas eller var du ska börja? Boka en kostnadsfri genomgång på 30 minuter så går vi igenom er situation och ger konkreta nästa steg.

Boka kostnadsfri genomgång