NIS2 för SME:er 2026, vad det faktiskt betyder

NIS2 är ett av de mest omtalade regelverken i svensk cybersäkerhet just nu. Det är också ett av de mest missförstådda. Det här inlägget försöker reda ut vad som faktiskt gäller, utan hot om miljonsanktioner som ni förmodligen inte kommer att få.

Vad är NIS2?

NIS2 är EU-direktiv 2022/2555 som ersätter det ursprungliga NIS-direktivet från 2016. Syftet är att höja cybersäkerhetsnivån i unionen genom att ställa krav på ett större antal organisationer och skärpa uppföljningen.

I Sverige är NIS2 implementerat genom Cybersäkerhetslagen som trädde i kraft 2026. MSB (Myndigheten för samhällsskydd och beredskap) är tillsynsmyndighet för de flesta sektorer.

Första frågan: omfattas vi?

Det är det första ni ska reda ut. Svaret handlar om sektor och storlek.

Sektor

NIS2 delar in entiteter i två kategorier:

Väsentliga entiteter (högre krav):

• Energi, transport, bank, finansmarknad, hälso- och sjukvård, dricksvatten, avlopp, digital infrastruktur (TLD, IXP, cloud, datacenter), offentlig förvaltning, rymd.

Viktiga entiteter (samma säkerhetskrav, lägre sanktioner):

• Post- och budtjänster, avfallshantering, tillverkning av vissa produkter, kemikalier, livsmedel, medicintekniska produkter, digital leverantör (sökmotor, marknadsplats, social media).

Om din organisation inte är i någon av dessa listor, ni omfattas troligen inte av NIS2 direkt.

Storlek

Tröskelvärdet är ”medelstort företag” enligt EU-definitionen: över 50 anställda eller över 10 miljoner euro i omsättning.

Undantag: digital infrastruktur (domänregistrar, IXP, DNS-leverantörer, trust service providers) kan omfattas oavsett storlek. Kolla er sektor noga.

Om ni omfattas: vad krävs?

NIS2 Art. 21 listar vad som krävs av riskhantering:

1. Riskanalys och informationssäkerhetspolicy. Dokumenterad. Godkänd av styrelsen (Art. 20).
2. Incidenthantering. Process för att upptäcka, rapportera och åtgärda. Rapportering inom 24h (tidig varning) / 72h (incidentanmälan) / 1 månad (slutrapport).
3. Kontinuitetshantering. BCP, DR, testade backuper.
4. Leverantörskedjesäkerhet. Riskbedömning av leverantörer. Säkerhetsklausuler i avtal.
5. Åtkomstkontroll och kryptering. MFA, minsta behörighet, kryptering i vila och transport.
6. Medvetandeträning. För personal, särskilt styrelse.
7. Sårbarhetshantering. Patching, scanning, CVE-övervakning.

Plus Art. 20: styrelsen ska godkänna cybersäkerhetsriskhanteringen och genomgå säkerhetsutbildning. Personligt ansvar.

Sanktioner

För väsentliga entiteter: upp till 10 miljoner euro eller 2% av global omsättning.

För viktiga entiteter: upp till 7 miljoner euro eller 1,4% av global omsättning.

Tillsynen är inte bara reaktiv, MSB kan göra proaktiva granskningar av väsentliga entiteter.

Vad ni bör göra nu

1. Avgör om ni omfattas. Använd vår NIS2-checklista som startpunkt.
2. Om ni omfattas, registrera er. Krav enligt lagen.
3. Gör en gap-analys mot de 7 kraven ovan.
4. Prioritera det ni inte har. Börja med riskanalys (Art. 21.2 a), den är grunden för allt annat.
5. Förankra i styrelsen. Kan ni dokumentera ett styrelseprotokoll där NIS2-riskhantering godkänts? Om inte, fixa det först.

Vad ni inte bör göra

• Ignorera det. Om ni omfattas är det inte valfritt. Sanktioner kommer.
• Köpa ett GRC-system för miljoner. Många SME:er klarar NIS2 med lättviktiga verktyg. Börja med en riskanalysplattform (som RiskNote) och bygg upp stegvis.
• Anta att IT-chefen fixar det. NIS2 är ett ledningsansvar. Styrelseengagemang är obligatoriskt.

Riskanalysen först, allt annat bygger på den

Av NIS2 Art. 21:s sju krav är punkt 1, riskanalys den bärande. De andra sex är åtgärder som utgår från vad riskanalysen säger.

Det är här vi kommer in. RiskNote är byggt på ISO 31000-processen, som är den standard NIS2 bygger på. Er riskanalys i RiskNote blir bas för policyer, incidenthantering, leverantörsgranskning, hela NIS2-stacken.

Börja med vår NIS2-ramverkssida eller kör gratisprovperioden. Lägger ni in första utkastet under en eftermiddag har ni kommit längre än de flesta.