NIS2 & cybersäkerhetslagen 2026: guide för företag

NIS2 och nya cybersäkerhetslagen: guide för svenska företag 2026

NIS2 är nu svensk lag. Vi reder ut vilka som omfattas, kraven på riskhantering och incidentrapportering, styrelseansvaret och de nya sanktionsavgifterna.

Vad du lär dig

1Cybersäkerhetslagen (2025:1506) trädde i kraft 15 januari 2026 och genomför NIS2-direktivet i svensk rätt – den gamla NIS-lagen är upphävd.

2Verksamheter i NIS2:s sektorer (bilaga 1/2) som är medelstora eller större omfattas och delas in i väsentliga (proaktiv tillsyn) och viktiga (reaktiv tillsyn) verksamhetsutövare.

3Riskhanteringen ska minst täcka tio åtgärdsområden – inklusive leveranskedjesäkerhet, incidenthantering, kontinuitet och kryptografi.

4Betydande incidenter ska rapporteras enligt en strikt tidslinje: tidig varning inom 24h, full anmälan inom 72h och slutrapport inom en månad.

5Ledningen ska utbildas och bär ansvar; en person kan förbjudas att inneha ledningsfunktion i 1–3 år vid allvarliga överträdelser.

6Sanktionsavgifter: väsentliga upp till 2 % av global omsättning eller 10 MEUR, viktiga 1,4 % eller 7 MEUR, offentliga upp till 10 MSEK.

Efter åratal av förberedelser är det skarpt läge. Cybersäkerhetslagen (2025:1506) trädde i kraft den 15 januari 2026 och genomför EU:s NIS2-direktiv (direktiv (EU) 2022/2555 av den 14 december 2022) i svensk rätt. Samtidigt upphävdes den gamla NIS-lagen från 2018. Skillnaden mot tidigare är dramatisk: antalet sektorer och verksamheter som omfattas mångdubblas, kraven blir mer detaljerade, och för första gången införs personligt ledningsansvar och kännbara sanktionsavgifter. Den här guiden går igenom vad lagen kräver – och vad ni konkret behöver göra under 2026.

Omfattas ni? Väsentliga och viktiga verksamhetsutövare

Den stora förändringen är räckvidden. Lagen utgår från de sektorer som anges i NIS2-direktivets bilaga 1 (sektorer med hög kritikalitet, t.ex. energi, transport, bankväsende, hälso- och sjukvård, dricksvatten, digital infrastruktur och offentlig förvaltning) och bilaga 2 (andra kritiska sektorer, t.ex. post, avfallshantering, livsmedelsproduktion, tillverkning och digitala leverantörer).

Grundregeln är en storlekströskel: lagen gäller verksamhetsutövare i dessa sektorer som är etablerade i Sverige och som storleksmässigt motsvarar eller är större än ett medelstort företag (enligt EU:s definition: i regel minst 50 anställda eller mer än 10 miljoner euro i omsättning/balansomslutning). Mindre företag kan ändå fångas in i särskilda fall – exempelvis om man är enda leverantören av en samhällsviktig tjänst i Sverige, eller tillhandahåller betrodda tjänster, DNS-tjänster, toppdomäner eller allmänna elektroniska kommunikationsnät, oavsett storlek.

Lagen delar in de omfattade i två klasser:

Väsentliga verksamhetsutövare – bl.a. statliga myndigheter, större kommuner och regioner, verksamheter i bilaga 1-sektorer över storlekströskeln, kvalificerade tillhandahållare av betrodda tjänster samt DNS- och toppdomänaktörer.
Viktiga verksamhetsutövare – övriga som omfattas men inte räknas som väsentliga (typiskt bilaga 2-sektorer och medelstora aktörer).

Skillnaden är inte kosmetisk: väsentliga aktörer står under proaktiv tillsyn (myndigheten kan granska utan misstanke om brist), medan viktiga aktörer i huvudsak granskas reaktivt – när tillsynsmyndigheten har skäl att anta att något inte följs. Sanktionstaken skiljer sig också åt (se nedan).

Anmälningsplikt: registrera er hos rätt myndighet

En av de mest akuta uppgifterna är att anmäla verksamheten. Lagen kräver att verksamhetsutövare anmäler sig "så snart det kan ske". Anmälan görs via en e-tjänst hos Myndigheten för civilt försvar (MCF) – efterföljaren till MSB:s civilförsvarsuppgifter – vars portal öppnade den 2 februari 2026. I anmälan anges bland annat sektor, klassning som väsentlig eller viktig samt kontaktperson. Ändras förhållandena ska det anmälas senast 14 dagar efter att förändringen ägde rum.

Vilken myndighet som är tillsynsmyndighet beror på sektor och preciseras i cybersäkerhetsförordningen och föreskrifter – för olika branscher pekas sektorsmyndigheter ut (t.ex. Energimyndigheten, PTS, Transportstyrelsen, Finansinspektionen och Livsmedelsverket), med MCF i en samordnande roll.

Kraven på riskhantering: tio åtgärdsområden

Hjärtat i lagen är skyldigheten att vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska säkerhetsåtgärder utifrån ett allriskperspektiv. Åtgärderna ska minst omfatta:

Strategier för riskanalys och informationssystemens säkerhet
Incidenthantering
Kontinuitetshantering och krishantering (inkl. backuper)
Säkerhet i leveranskedjan – även era leverantörer och underleverantörer
Säkerhet vid förvärv, utveckling och underhåll av system
Rutiner för att bedöma åtgärdernas effektivitet
Grundläggande cyberhygien och utbildning i cybersäkerhet
Strategier för kryptografi och, vid behov, kryptering
Personalsäkerhet, åtkomstkontroll och tillgångsförvaltning
Vid behov multifaktorautentisering samt säkrade kommunikations- och nödkommunikationssystem

Notera särskilt leveranskedjekravet: ansvaret stannar inte vid den egna IT-miljön. Ni behöver förstå och hantera risker hos de leverantörer ni är beroende av – molntjänster, driftpartners och systemutvecklare.

Incidentrapportering: 24 timmar, 72 timmar, en månad

Lagen inför en tydlig och pressad tidslinje för betydande incidenter (incidenter som orsakat eller kan orsaka allvarlig driftsstörning, ekonomisk skada eller betydande skada på andra). Processen ser ut så här:

Inom 24 timmar – en första upplysning ("tidig varning") till tillsynsmyndigheten så snart det kan ske, dock senast ett dygn efter att ni fått kännedom om incidenten.
Inom 72 timmar – en fullständig incidentanmälan. (För tillhandahållare av betrodda tjänster gäller här 24 timmar.)
Delrapport – statusuppdateringar på myndighetens begäran.
Inom en månad – en slutrapport efter incidentanmälan. Är incidenten fortfarande pågående lämnas en lägesrapport, följt av slutrapport inom en månad efter att incidenten hanterats.

Utöver myndighetsrapporteringen kan ni vara skyldiga att informera era kunder/användare om en betydande incident som påverkar tjänsten – och vid betydande cyberhot informera om skydds- och motåtgärder. Att inte rapportera i tid räknas uttryckligen som en allvarlig överträdelse.

Styrelse- och ledningsansvar

NIS2 flyttar uttryckligen upp cybersäkerhet på ledningsnivå, och den svenska lagen följer efter. Ledningen ska genomgå utbildning om säkerhetsåtgärder. Det är inte längre något som kan delegeras bort helt till IT-avdelningen – ledningsorganet förväntas förstå och kunna bedöma riskhanteringsåtgärderna.

Lagen ger också tillsynsmyndigheten en kraftfull befogenhet: för väsentliga verksamhetsutövare kan en domstol, på myndighetens ansökan, tillfälligt förbjuda en person att inneha ledningsfunktion (lägst ett och högst tre år) vid allvarliga, upprepade överträdelser som orsakats uppsåtligen eller av grov oaktsamhet. Personligt ansvar är alltså inte längre en teoretisk risk.

Tillsyn och sanktionsavgifter

Tillsynsmyndigheterna får omfattande befogenheter: begära in uppgifter, få tillträde till lokaler, genomföra säkerhetsrevisioner (regelbundet för väsentliga aktörer, riktat vid särskilda skäl för övriga) och säkerhetsskanningar. Förelägganden kan förenas med vite.

De ekonomiska konsekvenserna är betydande och anges direkt i lagen. En sanktionsavgift bestäms till lägst 5 000 kronor och högst till:

Väsentlig (enskild) verksamhetsutövare: det högsta av 2 % av den totala globala årsomsättningen föregående räkenskapsår eller motsvarande 10 000 000 euro.
Viktig (enskild) verksamhetsutövare: det högsta av 1,4 % av global årsomsättning eller motsvarande 7 000 000 euro.
Offentlig verksamhetsutövare: upp till 10 000 000 kronor.

Vid valet av ingripande väger myndigheten in överträdelsens allvar, varaktighet, om den varit uppsåtlig och vilken ekonomisk fördel den gett. Beslut överklagas till allmän förvaltningsdomstol.

En viktig avgränsning: DORA och säkerhetsskydd

Allt regleras inte av cybersäkerhetslagen. Finansiella aktörer som omfattas av DORA-förordningen (EU 2022/2554) är undantagna från lagens säkerhets- och rapporteringskrav – DORA gäller i stället. På motsvarande sätt gäller särskilda regler för verksamhet som omfattas av säkerhetsskyddslagen. Finns det andra författningar med minst likvärdiga krav på säkerhetsåtgärder och incidentrapportering kan de ha företräde. Det är därför viktigt att kartlägga exakt vilket regelverk som träffar just er verksamhet.

Vad ni konkret bör göra under 2026

Avgör om ni omfattas – sektor (bilaga 1/2), storlek och eventuella särfall. Klassa er som väsentlig eller viktig.
Anmäl verksamheten till rätt myndighet via MCF:s portal – och håll uppgifterna uppdaterade.
Genomför en gap-analys mot de tio åtgärdsområdena och dokumentera nuläget.
Etablera incidentrutiner som klarar 24h/72h/1-månadstidslinjen, med tydligt ansvar och kontaktvägar.
Granska leveranskedjan – ställ säkerhetskrav i avtal med molnleverantörer och driftpartners.
Utbilda ledningen och förankra cybersäkerhet i styrelsearbetet.

För många organisationer innebär detta ett ordentligt lyft av både teknik, processer och dokumentation – ofta med start i en strukturerad nulägesanalys. På ZORC arbetar vi med säker arkitektur, robust drift och incidentberedskap för digitala tjänster. Vill ni veta hur ett konkret upplägg skulle kunna se ut för just er verksamhet kan ni beskriva behovet i offertkalkylatorn eller höra av er via kontakt – så hjälper vi er att översätta lagkraven till praktiska åtgärder.

NIS2 och nya cybersäkerhetslagen: guide för svenska företag 2026

Omfattas ni? Väsentliga och viktiga verksamhetsutövare

Anmälningsplikt: registrera er hos rätt myndighet

Kraven på riskhantering: tio åtgärdsområden

Incidentrapportering: 24 timmar, 72 timmar, en månad

Styrelse- och ledningsansvar

Tillsyn och sanktionsavgifter

En viktig avgränsning: DORA och säkerhetsskydd

Vad ni konkret bör göra under 2026

Källor

Fler artiklar

eIDAS 2.0 och EU:s digitala plånbok: vad svenska företag behöver veta

Webhooks och event-driven arkitektur: så pratar dina system i realtid

Observability 2026: håll din produktion uppe – och felsök snabbt