Opsio - Cloud and AI Solutions
Security4 min read· 826 words

Vad är NIS2? Komplett guide till svenska cybersäkerhetslagen

Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO

Published: ·Updated: ·Reviewed by Opsio Engineering Team

Quick Answer

Snabbsvar: NIS2 är EU:s reviderade direktiv för cybersäkerhet i kritisk infrastruktur. Det ersätter det tidigare NIS-direktivet från 2016 och utökar tillämpningsområdet kraftigt. I Sverige har direktivet införts som request a NIS2 readiness review , med sanktioner upp till 10 miljoner euro eller 2 procent av global omsättning. Uppskattningsvis 20 000 svenska organisationer omfattas, inklusive medelstora företag inom energi, transport, banking, hälsa, vatten, digital infrastruktur, livsmedel och offentlig förvaltning. Kraven omfattar risk mitigation and management for regulated industries , incidentrapportering inom 24 timmar, styrelseansvar, och kontroller av leverantörskedjan. Denna guide förklarar vem som omfattas, vilka tekniska och organisatoriska åtgärder som krävs, och hur Opsio hjälper svenska företag att bli kompatibla. NIS2-direktivet – säkerhetsdomäner enligt artikel 21 Vad NIS2 faktiskt kräver NIS2 är inte bara en teknisk säkerhetsstandard – det är ett styrnings- och ansvarsramverk. De tre största förändringarna jämfört med NIS1 är: Utvidgat tillämpningsområde: 18 sektorer nu, inklusive nya som digital

Key Topics Covered

Gratis pentest

Få en kostnadsfri säkerhetsgranskning mot NIS2 & Cybersäkerhetslagen.

Ansök

Snabbsvar: NIS2 är EU:s reviderade direktiv för cybersäkerhet i kritisk infrastruktur. Det ersätter det tidigare NIS-direktivet från 2016 och utökar tillämpningsområdet kraftigt. I Sverige har direktivet införts som request a NIS2 readiness review, med sanktioner upp till 10 miljoner euro eller 2 procent av global omsättning. Uppskattningsvis 20 000 svenska organisationer omfattas, inklusive medelstora företag inom energi, transport, banking, hälsa, vatten, digital infrastruktur, livsmedel och offentlig förvaltning. Kraven omfattar risk mitigation and management for regulated industries, incidentrapportering inom 24 timmar, styrelseansvar, och kontroller av leverantörskedjan. Denna guide förklarar vem som omfattas, vilka tekniska och organisatoriska åtgärder som krävs, och hur Opsio hjälper svenska företag att bli kompatibla.

NIS2-direktivets tio säkerhetsområden enligt artikel 21 visualiserade som ett nätverk av sammanlänkade noder kring en central sköld.
NIS2-direktivet – säkerhetsdomäner enligt artikel 21

Vad NIS2 faktiskt kräver

NIS2 är inte bara en teknisk säkerhetsstandard – det är ett styrnings- och ansvarsramverk. De tre största förändringarna jämfört med NIS1 är:

  1. Utvidgat tillämpningsområde: 18 sektorer nu, inklusive nya som digital infrastruktur (moln- och datacenter-leverantörer), livsmedel, avfall och offentlig förvaltning
  2. Personligt ansvar för ledning: Styrelse och VD kan hållas personligt ansvariga och förbjudas utöva ledningsfunktioner vid grov oaktsamhet
  3. 24-timmars incidentrapportering: Första varning inom 24 timmar, uppdatering inom 72 timmar, slutrapport inom en månad

Vilka företag omfattas?

Huvudregeln är att direktivet träffar medelstora och stora företag (50+ anställda eller 10+ miljoner euro i omsättning) i listade sektorer. För vissa sektorer – som digital infrastruktur, förtroendetjänster och offentlig förvaltning – finns inget storlekskrav.

Väsentliga entiteter (högre krav, högre sanktioner):

  • Energi, transport, bank, finansmarknadsinfrastruktur
  • Hälsa, dricksvatten, avlopp, digital infrastruktur, offentlig förvaltning

Viktiga entiteter (lägre men fortfarande betydande krav):

  • Digitala leverantörer, post, avfall, kemikalier, livsmedel, tillverkning
Kostnadsfri experthjälp

Behöver ni hjälp med Security?

Boka ett kostnadsfritt 30-minuters möte med en av våra specialister inom Security. Vi analyserar ert behov och ger konkreta rekommendationer — helt utan förpliktelse.

Solution ArchitectAI-specialistSäkerhetsexpertDevOps-ingenjör
50+ certifierade ingenjörerAWS Advanced Partner24/7 support
Helt kostnadsfritt — ingen förpliktelseSvar inom 24h

De tekniska kraven – tio områden att täcka

NIS2 artikel 21 listar tio kategorier som er säkerhetsplan måste adressera:

  1. Riskanalys och policy för cybersecurity services
  2. Incidenthantering och incidentrapportering
  3. Business continuity och cloud disaster recovery service services
  4. Säkerhet i leverantörskedjan
  5. Säkerhet vid förvärv, utveckling och underhåll
  6. Policyer och procedurer för att mäta effektivitet av åtgärder
  7. Grundläggande cyberhygien och utbildning
  8. Kryptografi och kryptering
  9. HR-säkerhet, åtkomstkontroll, tillgångshantering
  10. Multifaktorautentisering och säker kommunikation

Deadlines och sanktionsnivåer i Sverige

Cybersäkerhetslagen trädde i kraft 1 januari 2026. Tillsynsmyndigheterna (MSB för civil sektor, olika sektormyndigheter) har upprampat tillsynen under våren 2026.

Sanktionsnivåer:

  • Väsentliga entiteter: upp till 10 miljoner euro eller 2 procent av global omsättning
  • Viktiga entiteter: upp till 7 miljoner euro eller 1,4 procent av global omsättning

Utöver böter kan myndigheterna förbjuda ansvariga personer att utöva ledningsfunktioner och temporärt stoppa verksamhet.

Vägen till efterlevnad – så gör ni i praktiken

Opsios rekommenderade implementationsordning för ett medelstort företag:

  1. Gap-analys (2–4 veckor): Kartlägg nuläget mot artikel 21. Utgångspunkt är ofta ISO certification readiness with Opsio om ni redan är certifierade.
  2. Styrnings-setup (4–8 veckor): Utse säkerhetsansvarig, utbilda styrelsen, etablera rapporteringskanaler till MSB
  3. Tekniska kontroller (3–9 månader): MFA överallt, EDR/MDR, segmentering, loggning, SIEM
  4. Leverantörskedja (löpande): Kartlägg kritiska leverantörer, inför säkerhetsklausuler i avtal, DORA-harmoniserad för finans
  5. Övning och test: Table-top-övningar två gånger per år, penetration vulnerability testing service årligen

Relaterade guider i kunskapsbasen

FAQ – Vanliga frågor om NIS2 Komplett guide till svenska cybersäkerhetslagen

När trädde NIS2 i kraft i Sverige?

Cybersäkerhetslagen trädde i kraft 1 januari 2026, något efter EU:s deadline (17 oktober 2024). Tillsynen har rampats upp gradvis under första halvåret 2026. MSB är huvudtillsynsmyndighet för civil sektor; sektorspecifika myndigheter (Finansinspektionen, Energimarknadsinspektionen m.fl.) för sina respektive branscher.

Vad är skillnaden mellan NIS2 och DORA?

NIS2 är ett brett cybersäkerhetsdirektiv över många sektorer. DORA är specifikt för den finansiella sektorn och går djupare i IKT-riskhantering, incident-taxonomi och tredjepartsrisk. Finansiella företag omfattas av DORA som lex specialis – DORA gäller före NIS2 i överlappande frågor. I praktiken bygger en DORA-kompatibel organisation redan en stor del av NIS2-kraven.

Vilka sektorer omfattas av NIS2 i Sverige?

Väsentliga sektorer: energi, transport, bank, finansmarknadsinfrastruktur, hälsa, dricksvatten, avlopp, digital infrastruktur (moln, datacenter, DNS, CDN), offentlig förvaltning, rymd. Viktiga sektorer: post, avfall, kemikalier, livsmedel, tillverkning av medicintekniska produkter, digitala leverantörer (sökmotorer, marknadsplatser, sociala nätverk).

Vad kostar icke-efterlevnad?

Böter upp till 10 miljoner euro eller 2 procent av global omsättning (väsentliga entiteter). För en svensk koncern med 500 miljoner i omsättning kan det innebära 10 miljoner SEK i böter. Utöver det: styrelsemedlemmar kan förbjudas utöva ledningsfunktioner. Den faktiska kostnaden vid en incident är dock ofta större – i förlorade kunder, tappad produktion och återställning.

Hur skiljer sig NIS2 från GDPR?

GDPR skyddar personuppgifter. NIS2 skyddar samhällskritisk digital funktion. Båda gäller parallellt. En ransomware-attack kan utlösa både GDPR compliance services with Opsio-rapportering (till IMY inom 72 timmar) och NIS2-rapportering (till MSB inom 24 timmar). Många tekniska kontroller är desamma – MFA, kryptering, åtkomstkontroll – men styrningsramen och sanktionslogiken är olika.

NIS2 med Opsio

Opsio är en svensk google cloud-specialister cloud-leverantör med AWS Premier Tier-status och över 15 års erfarenhet av att driva molnmiljöer för svenska företag i reglerade branscher. Vi hjälper er från strategi till löpande drift – med svensk fakturering, lokal support och dokumenterad Opsio's compliance assessment practice mot NIS2, GDPR och DORA. Boka en konsultation för att diskutera ert behov.

For hands-on delivery, see NIS2 compliance guide for European enterprises.

Relaterad läsning

Mer från vår kunskapsbank: NIS2 för energisektorn: så förbereder sig svenska energibolag

Mer från vår kunskapsbank: GDPR och molntjänster – svenska företagets guide till dataskydd

Written By

Fredrik Karlsson
Fredrik Karlsson

Group COO & CISO at Opsio

Fredrik is the Group Chief Operating Officer and Chief Information Security Officer at Opsio. He focuses on operational excellence, governance, and information security, working closely with delivery and leadership teams to align technology, risk, and business outcomes in complex IT environments. He leads Opsio's security practice including SOC services, penetration testing, and compliance frameworks.

View all articles →LinkedIn

Editorial standards: Denna artikel är skriven av molnpraktiker och granskad av vårt ingenjörsteam. Vi uppdaterar innehållet kvartalsvis. Opsio upprätthåller redaktionellt oberoende.