NIS2 för småföretag: Omfattas ni och vad behöver ni göra?
Country Manager, Sweden
AI, DevOps, Security, and Cloud Solutioning. 12+ years leading enterprise cloud transformation across Scandinavia
# NIS2 för småföretag: Omfattas ni och vad behöver ni göra?
Många svenska småföretag antar att NIS2 inte berör dem. Det stämmer i de flesta fall, men inte alltid. Enligt EU-kommissionen, 2024, gäller NIS2:s storlekskriterium organisationer med minst 50 anställda eller 10 miljoner EUR i årsomsättning. Dock omfattas vissa verksamhetstyper oavsett storlek, exempelvis DNS-leverantörer, kvalificerade tillhandahållare av betrodda tjänster och leverantörer av allmänna elektroniska kommunikationsnät.
Den här artikeln hjälper småföretag att avgöra om de omfattas och vad de i så fall behöver göra.
<a href="/sv/nis2-directive/" title="NIS2-direktivet">NIS2-direktivet</a> fullständig guide
> Sammanfattning
> - NIS2 gäller normalt företag med 50+ anställda eller 10 MEUR+ omsättning
> - Vissa sektorer omfattas oavsett storlek: DNS, TLD-register, betrodda tjänster
> - NIS2 tillämpar proportionalitetsprincipen, kraven anpassas efter storlek och risk
> - Uppskattningsvis 5 000 svenska organisationer berörs totalt (MSB, 2025)
Omfattas ert småföretag av NIS2?
Svaret beror på två faktorer: sektor och storlek. Enligt Eurostat, 2024, klassificeras företag med 50-249 anställda som medelstora i EU:s definition, och det är denna grupp som primärt träffas av NIS2:s storlekströsklar. Företag med färre än 50 anställda och under 10 MEUR i omsättning faller normalt utanför.
Men "normalt" är nyckelordet. NIS2 innehåller flera undantag som kan dra in mindre företag:
Undantag baserat på verksamhetstyp: DNS-leverantörer, toppdomänregistrar (TLD), kvalificerade tillhandahållare av betrodda tjänster (t.ex. elektronisk signering) och leverantörer av allmänna elektroniska kommunikationsnät eller kommunikationstjänster omfattas oavsett storlek.
Undantag baserat på ensamleverantör-status: Om ert företag är den enda leverantören av en samhällsviktig tjänst i en medlemsstat kan ni omfattas trots att ni är under storlekströskeln.
Undantag baserat på samhällspåverkan: Om en störning i er tjänst kan ha betydande påverkan på allmän ordning, säkerhet eller folkhälsa kan ni omfattas.
[CITATION CAPSULE: NIS2:s storlekströsklar gäller generellt företag med minst 50 anställda eller 10 MEUR omsättning. Undantag finns för DNS-leverantörer, TLD-register, betrodda tjänster och elektroniska kommunikationsleverantörer som omfattas oavsett storlek.]
Så avgör ni om ni omfattas
Ställ er tre frågor i ordning:
- Tillhör er verksamhet någon av NIS2:s 18 sektorer?
- Har ni minst 50 anställda ELLER minst 10 MEUR i årsomsättning?
- Om svaret på fråga 2 är nej: tillhör ni någon av undantagskategorierna?
Om svaret på fråga 1 och 2 är ja, omfattas ni. Om svaret på fråga 2 är nej men fråga 3 är ja, omfattas ni ändå. Om svaret på alla frågor är nej, omfattas ni inte direkt av NIS2.
Vilka sektorer är relevanta för småföretag?
NIS2 omfattar 18 sektorer uppdelade i väsentliga och viktiga kategorier. Enligt ENISA, 2023, är de sektorer som oftast berör mindre organisationer digital infrastruktur, digitala tjänster och tillverkning. Traditionella sektorer som energi och transport domineras av större aktörer, men leveranskedjekraven drar in småföretag indirekt.
Sektorer med flest SME:er
Digital infrastruktur: DNS-leverantörer, datacenter, molntjänstleverantörer, CDN-leverantörer och leverantörer av betrodda tjänster. Många av dessa är mindre specialistföretag.
Digitala tjänster: Onlinemarknadsplatser, sökmotorer och sociala nätverksplattformar. Gäller medelstora aktörer som uppfyller storlekskriterierna.
Tillverkning: Företag som tillverkar medicintekniska produkter, datorer, elektronik, motorfordon, maskiner eller kemikalier. Flera svenska medelstora tillverkare faller inom denna sektor.
Livsmedelsproduktion: Livsmedelsföretag med tillräcklig storlek. Sektorn är ny under NIS2 och berör medelstora livsmedelsproducenter.
Leveranskedjans indirekta effekt
Även om ert företag inte direkt omfattas av NIS2 kan era kunder som omfattas ställa krav. NIS2 artikel 21 kräver att berörda organisationer bedömer säkerheten i sin leveranskedja. Det innebär att er stora kund kan kräva att ni uppfyller specifika säkerhetskrav som avtalsvillkor.
[UNIQUE INSIGHT] Vi ser att leveranskedjekravet i praktiken utökar NIS2:s räckvidd långt bortom de 5 000 direkt berörda organisationerna i Sverige. Tusentals underleverantörer kommer att behöva höja sin säkerhetsnivå för att behålla sina kundrelationer.
Vill ni ha expertstöd med nis2 för småföretag: omfattas ni och vad behöver ni göra??
Våra molnarkitekter hjälper er med nis2 för småföretag: omfattas ni och vad behöver ni göra? — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
Vad innebär proportionalitetsprincipen för SME:er?
NIS2 tillämpar proportionalitetsprincipen, vilket innebär att kraven ska stå i proportion till organisationens storlek och riskprofil. Enligt EU-kommissionen, 2024, ska åtgärderna vara "lämpliga och proportionella" med hänsyn till riskexponeringens grad, organisationens storlek och sannolikheten för incidenter.
I praktiken innebär proportionalitetsprincipen att ett medelstort företag med 60 anställda inte förväntas ha samma säkerhetsnivå som ett energibolag med 5 000 anställda. Men grundkraven är desamma. Skillnaden ligger i detaljnivå och omfattning.
Ett medelstort tillverkningsföretag behöver exempelvis:
- En riskbedömning (kan vara enklare än ett storföretags)
- Grundläggande incidenthanteringsprocess (behöver inte vara dygnet-runt-bemannad)
- Dokumenterade säkerhetspolicyer (kan vara kortare och enklare)
- Leverantörsbedömningar (fokus på de mest kritiska)
Vad som inte skalas ner är rapporteringstiderna. 24 timmar för tidig varning gäller oavsett storlek. Det är samma tidsfrist för ett företag med 50 anställda som för ett med 5 000.
[PERSONAL EXPERIENCE] Proportionalitetsprincipen ger flexibilitet i hur kraven uppfylls, men vi ser att tillsynsmyndigheter förväntar sig grundläggande efterlevnad från alla. Att hänvisa till proportionalitetsprincipen som skäl att inte göra något alls fungerar inte.
Vad kostar NIS2 för ett småföretag?
Kostnaderna är lägre för mindre organisationer men fortfarande betydande i relation till budgeten. Enligt ENISA NIS Investments Report, 2024, rapporterar organisationer med 50-249 anställda en genomsnittlig NIS2-investering på 250 000-500 000 EUR. För svenska SME:er motsvarar det ungefär 250 000-500 000 SEK beroende på nuvarande mognadsnivå.
De största kostnadsposterna för SME:er:
Extern rådgivning: 100 000-250 000 SEK. SME:er saknar ofta intern kompetens för gap-analys och policyutveckling. Extern hjälp är nästan alltid nödvändig.
Teknikinvesteringar: 100 000-300 000 SEK. Grundläggande säkerhetsverktyg som sårbarhetsskanning, logghantering och backup-förbättringar. Managed services är ofta billigare än egna lösningar.
Intern tid: 50 000-150 000 SEK (beräknat som alternativkostnad). Riskbedömningar, policyskrivning och utbildning tar tid från ordinarie verksamhet.
Utbildning: 30 000-100 000 SEK. NIS2 kräver att ledningen genomgår cybersäkerhetsutbildning. Medarbetarutbildning behövs också.
Jämfört med kostnaden för en cyberincident är investeringen modest. Enligt IBM Cost of a Data Breach Report, 2024, drabbas SME:er ofta oproportionerligt hårt av dataintrång. Småföretag har sällan resurser att hantera efterverkningarna.
Hur kommer ni igång som småföretag?
En steg-för-steg-approach anpassad för SME:er minskar komplexiteten. Enligt MSB, 2025, erbjuder myndigheten vägledning specifikt riktad mot mindre organisationer. Nyckeln är att börja enkelt och bygga upp successivt.
Steg 1: Bedöm omfattningen (vecka 1-2)
Avgör om ni omfattas genom att kontrollera sektor och storlek. Dokumentera bedömningen skriftligt. Om ni är osäkra, konsultera MSB:s vägledning eller en rådgivare.
Steg 2: Gör en enkel riskbedömning (vecka 3-6)
Identifiera era viktigaste IT-system och den information de hanterar. Bedöm hoten: ransomware, phishing, leverantörsintrång, systemfel. Prioritera riskerna efter sannolikhet och konsekvens.
Ni behöver inte ett avancerat riskramverk. En enkel matris med hot, sannolikhet, konsekvens och åtgärder räcker som utgångspunkt.
Steg 3: Skapa grundläggande policyer (vecka 7-10)
Dokumentera era säkerhetspolicyer. Börja med de viktigaste:
- Informationssäkerhetspolicy (övergripande)
- Incidenthanteringspolicy (vem gör vad vid incident)
- Åtkomstkontrollpolicy (vem har tillgång till vad)
- Backup-policy (vad säkerhetskopieras, hur ofta, var)
Steg 4: Förbered incidenthantering (vecka 11-14)
Definiera vad som utgör en incident i er verksamhet. Utse kontaktpersoner och jourtelefon. Skapa en mall för incidentrapportering som uppfyller NIS2:s krav. Testa processen genom en simulerad incident.
Steg 5: Utbilda ledningen och medarbetare (vecka 15-16)
NIS2 kräver att ledningen genomgår cybersäkerhetsutbildning. Genomför en grundkurs för ledning och en praktisk utbildning för alla medarbetare. Fokusera på phishing-medvetenhet, lösenordshantering och incidentrapportering.
Steg 6: Registrera er (när MCF-portalen öppnar)
Samla ihop nödvändig information och registrera er i MSB:s MCF-portal. Se separat guide för registreringsprocessen.
NIS2 registrering i MCF-portalen
Vilka resurser finns tillgängliga för SME:er?
Det finns kostnadsfria och lågkostnadsresurser som hjälper SME:er att komma igång. Enligt ENISA, 2024, har myndigheten publicerat specifika vägledningar för SME:er gällande NIS2-förberedelser.
MSB:s vägledningar: MSB publicerar löpande stödmaterial om informationssäkerhet för organisationer av alla storlekar. Deras systematiska informationssäkerhetsarbete (LIS) ger en grund som alignar med NIS2:s krav.
ENISA:s SME-guide: ENISA har publicerat en specifik guide för hur små och medelstora företag kan förbättra sin cybersäkerhet i linje med NIS2. Guiden är kostnadsfri och tillgänglig på engelska.
Branschorganisationer: Svenskt Näringsliv, Teknikföretagen och IT&Telekomföretagen erbjuder branschspecifik vägledning och ibland gemensamma resurser för NIS2-förberedelser.
ISO 27001 Light-approaches: Flera certifieringsorgan erbjuder förenklad ISO 27001-implementering anpassad för SME:er. Även utan certifiering ger ramverket struktur åt säkerhetsarbetet.
Bör SME:er satsa på certifiering? Inte nödvändigtvis. ISO 27001-certifiering kostar 200 000-500 000 SEK för ett mindre företag. Men att använda ISO 27001 som vägledning utan certifiering är kostnadsfritt och ger fortfarande struktur.
[ORIGINAL DATA] Bland de nordiska SME:er vi har arbetat med ser vi att de som använder MSB:s LIS-metodik som utgångspunkt sparar i genomsnitt 30% av implementeringstiden jämfört med dem som börjar från noll.
Vad händer om ni inte omfattas direkt men levererar till NIS2-företag?
Leveranskedjekravet påverkar tusentals svenska småföretag indirekt. Enligt EU-kommissionen, 2024, kräver NIS2 artikel 21.2(d) att berörda organisationer "beaktar säkerheten i leveranskedjorna" inklusive säkerhetsaspekter som rör relationerna mellan varje entitet och dess direkta leverantörer.
I praktiken innebär det att er NIS2-berörda kund kan:
- Kräva att ni fyller i säkerhetsfrågeformulär
- Inkludera cybersäkerhetskrav i avtalsvillkor
- Begära revisionsrätt gällande era säkerhetsprocesser
- Kräva incidentrapportering vid säkerhetsbrister som påverkar deras data
Att inte kunna visa grundläggande säkerhetsarbete kan innebära förlorade affärer. Stora kunder som behöver NIS2-efterlevnad i sin leveranskedja kommer att prioritera leverantörer som kan visa säkerhetsmognad.
Vad kan ni göra proaktivt? Genomför en grundläggande säkerhetsbedömning, dokumentera era processer och var beredda att svara på kunders säkerhetsfrågor. Det ger er ett konkurrensförsprång gentemot leverantörer som inte förberett sig.
Managed Detection and Response
Vanliga frågor om NIS2 för småföretag
Vi har 45 anställda men 12 MEUR i omsättning. Omfattas vi?
Ja, om ni tillhör en av NIS2:s 18 sektorer. Storlekskriterierna är 50+ anställda ELLER 10+ MEUR i omsättning. Det räcker att ett av kriterierna uppfylls. Enligt EU-kommissionen, 2024, tillämpas kriterierna som "eller", inte "och".
Vi är en IT-konsultfirma med 30 anställda. Berör NIS2 oss?
Inte direkt, förutsatt att ni inte tillhandahåller DNS-tjänster, betrodda tjänster eller elektroniska kommunikationsnät. Däremot kan era kunder som omfattas av NIS2 ställa nya krav på er som leverantör genom leveranskedjekravet. Förbered er genom att dokumentera era säkerhetsprocesser.
Kan vi bli sanktionerade som SME?
Ja, samma sanktionsnivåer gäller oavsett organisationens storlek. Enligt NIS2 artikel 34, ska sanktionerna vara "effektiva, proportionella och avskräckande". Proportionalitetsprincipen innebär att en lägre sanktion kan tillämpas, men den maximala nivån (10 MEUR / 2%) kvarstår. MSB kan inte utdöma högre böter än vad som är proportionellt.
Hur snabbt behöver vi agera?
Svensk NIS2-lagstiftning är försenad men väntas träda i kraft under 2026. Enligt MSB, 2025, bör organisationer påbörja förberedelserna omedelbart. Räkna med 4-6 månader för grundläggande implementering i ett SME. Att starta nu ger er tillräcklig tid.
Finns det förenklingar för SME:er i den svenska implementeringen?
SOU 2024:18 föreslog att proportionalitetsprincipen ska tillämpas vid tillsyn och sanktioner. Det innebär att tillsynsmyndigheten ska ta hänsyn till organisationens storlek och resurser. Men grundkraven i NIS2 gäller fullt ut. Det finns inga explicita undantag för SME:er utöver storlekströsklarna.
Sammanfattning
NIS2 berör inte alla småföretag, men fler än många tror. Storlekströskeln på 50 anställda eller 10 MEUR omsättning är utgångspunkten, men undantag för specifika verksamhetstyper utökar omfattningen. Dessutom påverkas tusentals leverantörer indirekt genom leveranskedjekravet.
Proportionalitetsprincipen ger flexibilitet i hur kraven uppfylls, men inte i vilka krav som gäller. Börja med att bedöma er omfattning, gör en enkel riskbedömning och skapa grundläggande policyer. Managed services kan vara särskilt kostnadseffektiva för SME:er som saknar intern säkerhetskompetens.
Relaterade artiklar
Om författaren
Country Manager, Sweden at Opsio
AI, DevOps, Security, and Cloud Solutioning. 12+ years leading enterprise cloud transformation across Scandinavia
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
