För att säkerställa skyddet av digitala infrastrukturer och tjänster har Sverige nu infört cybersäkerhetslagen, baserad på EU-direktivet NIS2. I den här artikeln utforskar vi vad lagen innebär, de senaste kraven för 2026 och hur din verksamhet påverkas.

NIS2 direktivet: En sammanfattning

  • Det ursprungliga NIS-direktivet (2016/1148) var EU:s första gemensamma ramverk för att stärka cybersäkerheten i nätverks- och informationssystem, med fokus på att skydda samhällsviktiga tjänster.
  • I december 2020 föreslog EU-kommissionen en uppdatering av regelverket, vilket resulterade i NIS2-direktivet. Det började gälla i januari 2023 och innebär skärpta krav och ett bredare tillämpningsområde.
  • EU:s medlemsländer hade fram till den 17 oktober 2024 på sig att införa reglerna i nationell lagstiftning. Från den 18 oktober 2024 ersatte NIS2 helt det tidigare NIS-direktivet.

Vad är NIS2?

NIS2 (Network and Information Security Directive 2) är ett EU-direktiv som i Sverige har blivit cybersäkerhetslagen (2025:1506). Lagen syftar till att höja den gemensamma cybersäkerhetsnivån inom EU genom striktare krav på verksamheter som bedriver samhällsviktig eller digital verksamhet.

Vad innebär NIS2 för din verksamhet?

  • Skyldighet att registrera verksamheten hos tillsynsmyndigheten.
  • Krav på utbildning inom cybersäkerhet.
  • Striktare krav på riskhantering och säkerhetsåtgärder.
  • Obligatorisk incidentrapportering till myndigheter inom 24 timmar.
  • Hårdare sanktionssystem med böter upp till 10 miljoner euro eller 2 % av den globala omsättningen.
  • Högre krav på leverantörer och tredjepartsaktörer.

Läs mer om hur NIS2-direktivet kräver ett mer aktivt säkerhetsarbete för tillverkningsföretag.

Cybersäkerhetslagen i Sverige – detta gäller från 2026

Den nya cybersäkerhetslagen (2025:1506) trädde i kraft den 15 januari 2026. Detta innebär att de tidigare osäkerheterna kring tidsplanen nu är överspelade och verksamheter som omfattas måste agera omedelbart för att uppfylla kraven.

Har ni registrerat er verksamhet?

En av de viktigaste nyheterna i den svenska lagstiftningen är den utökade anmälningsplikten. Från och med den 2 februari 2026 öppnade Myndigheten för civilt försvar (MCF) sin anmälningstjänst. Alla verksamheter som identifierats som "väsentliga" eller "viktiga" enheter är skyldiga att registrera sig. Underlåtenhet att göra detta kan leda till sanktionsavgifter.

3 steg ni behöver ta under 2026:

  • Anmälningsplikt: Registrera er verksamhet hos Myndigheten för civilt försvar (MCF).
  • Ledningsutbildning: Säkerställ att styrelse och ledning genomgått obligatorisk utbildning i cybersäkerhet.
  • Riskhantering: Implementera tekniska och organisatoriska åtgärder enligt de nya föreskrifterna.

Ansvarsfördelning enligt NIS2

En viktig del av NIS2 är att tydliggöra ansvaret för cybersäkerhet inom organisationer. Direktivet delar upp ansvaret på följande sätt:

1. Ledningens ansvar

  • Styrelse och ledning bär huvudansvaret för att säkerställa att organisationen följer NIS2-kraven.
  • Ledamöter i ledningsorganet är enligt lag skyldiga att genomgå utbildning i cybersäkerhet för att kunna identifiera och bedöma risker.

2. IT- och säkerhetsavdelningens ansvar

  • Ansvarar för att införa tekniska och organisatoriska säkerhetsåtgärder.
  • Kontinuerligt utvärdera risker och uppdatera skydd mot cyberhot.
  • Ansvara för incidentrapportering och samarbete med myndigheter.

3. Leverantörers och tredjepartsaktörers ansvar

  • Leverantörer måste följa säkerhetskraven och rapportera eventuella incidenter.
  • Organisationer som använder externa tjänster behöver genomföra säkerhetsgranskningar av sina leverantörer.

Ett annat EU-direktiv som trädde i kraft under 2025 är tillgänglighetsdirektivet. Läs mer om vad det innebär för din verksamhet i vår artikel: Allt du behöver veta om tillgänglighetsdirektivet!

Vilka företag omfattas av NIS2?

NIS 2-direktivet omfattar alla stora och medelstora företag som verkar inom samhällskritiska eller viktiga sektorer. Mer information om vilka branscher och sektorer som berörs hittar du längre ner i artikeln.

  • Direktivet definierar stora företag som har fler än 250 anställda och en årlig omsättning på minst 50 miljoner euro.
  • Medelstora företag definieras som mellan 50 och 249 anställda och en omsättning under 10 miljoner euro.

Vissa verksamheter, som exempelvis leverantörer av DNS-tjänster, omfattas av direktivet oavsett antal anställda eller omsättning. Undantagen specificeras i artikel 3(1) i direktivet.

Läs även: Fördelarna med NIS 2 – så vänder ni regelefterlevnad till en affärsfördel

Väsentliga och viktiga enheter enligt NIS 2-direktivet

NIS 2-direktivet delar in företag och organisationer i två huvudkategorier: väsentliga enheter och viktiga enheter. Nedan går vi igenom vilka sektorer som ingår i respektive kategori.

  • Väsentliga enheter – erbjuder tjänster som är avgörande för samhällets funktion – exempelvis sjukvård, energi och finansiella tjänster. Dessa verksamheter omfattas av de striktaste cybersäkerhetskraven.
  • Viktiga enheter – tillhandahåller tjänster och produkter som inte är lika kritiska, men som ändå har stor påverkan på samhället. Även dessa verksamheter måste följa NIS 2-direktivet, men kraven är mindre strikta.

Nedan går vi igenom vilka sektorer som ingår i respektive kategori.

Väsentliga enheter

1. Energi

Omfattar produktion, leverans och distribution av:

  • El, gas och fjärrvärme
  • Olja, bränsle och vätgas
  • Vindkraftverk, laddstationer och liknande infrastruktur

2. Bank och finans

Inkluderar:

  • Banker och låneinstitut
  • Företag som hanterar värdepapper och betaltjänster
  • Finansiella infrastrukturer

Läs mer om hur CGI arbetar inom bank- och finansbranschen.

3. Transport

Omfattar transportsektorer som:

  • Flyg, järnväg, väg- och sjötransport
  • Rederier och hamnanläggningar

4. Hälsa och sjukvård

Inkluderar:

  • Sjukhus och vårdgivare
  • Läkemedelsförsäljning och distribution
  • Forskningslaboratorier
  • Tillverkning av medicinska hjälpmedel

Läs mer om hur CGI arbetar inom hälsa, vård och omsorg.

5. Vatten och avlopp

Omfattar verksamheter inom:

  • Dricksvattenförsörjning
  • Avloppssystem och vattenrening

6. Digital infrastruktur och IT

Inkluderar:

  • Datahantering och molntjänster
  • DNS-tjänster och elektroniska kommunikationstjänster
  • Register för namn- och datahantering

7. Offentlig förvaltning

Omfattar offentlig verksamhet på nationell och regional nivå. Mer information om den svenska förvaltningsmodellen finns på Regeringskansliets hemsida.

8. Rymdverksamhet

Omfattar markbaserad infrastruktur för rymdforskning och annan rymdrelaterad verksamhet.

Viktiga enheter

1. Post- och budtjänster

Inkluderar paket- och brevleveranser.

2. Avfallshantering

Omfattar verksamheter inom insamling, återvinning och avfallshantering.

3. Kemikalier

Gäller produktion och distribution av kemikalier och kemiska produkter.

4. Livsmedel

Omfattar livsmedelsproduktion och distribution.

5. Tillverkning

Inkluderar:

  • Tillverkning av datorer, elektronik och optik
  • Produktion av medicinska och diagnostiska apparater
  • Tillverkning av maskiner, motorfordon och transportutrustning

6. Digitala leverantörer

Omfattar:

  • Nätbaserade marknadsplatser
  • Sökmotorer
  • Sociala medieplattformar

Så bör du tänka kring NIS2-direktivet

Som företagsledare är det viktigt att du tar NIS2 på allvar och vidtar åtgärder för att följa direktivets krav.

Bedöm först om ditt företag omfattas av direktivet genom att besvara följande frågor:

  1. Är ditt företag verksamt inom en väsentlig eller viktig sektor?
  2. Uppfyller verksamheten kriterierna för ett stort eller medelstort företag?

Om svaret är ja på båda frågorna är chansen stor att din verksamhet omfattas av NIS2-direktivet. Vilka åtgärder du bör vidta beror mycket på hur företagets befintliga cybersäkerhet ser ut. I bästa fall räcker det att identifiera och täppa igen de eventuella luckor som finns mellan företagets nuvarande praxis och direktivets krav, följt av uppdateringar gällande löpande kontroll, övervakning och incidenthantering.

Ibland kan arbetet visa sig bli mer komplext och svåröverskådligt än du först trodde. I sådana situationer står vi på CGI till er tjänst. Våra experter inom cybersäkerhet har djup kunskap och lång erfarenhet av att utforma starka ramverk för vitt skilda branscher – från offentlig sektor och försvar till finans- och tillverkningsindustri. Vi håller oss uppdaterade med det senaste i lagstiftnings- och teknikväg för att kunna erbjuda våra kunder de bästa och mest framtidssäkra lösningarna på marknaden.

CER-direktivet och dess samband med NIS2

Parallellt med NIS2 har EU infört CER-direktivet (Critical Entities Resilience Directive), som fokuserar på fysiskt skydd av kritisk infrastruktur. Medan NIS2 hanterar cybersäkerhet, ser CER till att kritiska verksamheter som elnät, vattenförsörjning och transporter kan fortsätta fungera trots hot från naturkatastrofer eller sabotage.

Hur hänger NIS2 och CER ihop?

  • NIS2 skyddar IT-system från cyberhot och attacker.
  • CER skyddar fysiska system från sabotage, terrorattacker och naturskador.

Organisationer som omfattas av båda direktiven måste ta ett helhetsgrepp på sin säkerhet och integrera både digitalt och fysiskt skydd.