← Blog
20 april 2026 · 8 min · Nordic Defence

NIS2 i praktiken: Den kompletta 2026-guiden för nordiska företag

NIS2 är nu lag i hela EES. Vi skär genom juristspråket och förklarar vem som omfattas, de tio kärnkraven, tidsfristerna och sex konkreta steg för att bli efterlevnadsklara.

NIS2-direktivet (EU 2022/2555) är den mest omfattande cybersäkerhetsregleringen Norden någonsin har haft att förhålla sig till. I Sverige är det implementerat genom cybersäkerhetslagen. Norge, Danmark, Finland och Island har motsvarande nationella lagar. För tusentals företag som aldrig tänkt på sig själva som kritisk infrastruktur betyder det en helt ny verklighet.

Är du osäker på om ni omfattas eller vad ni faktiskt behöver göra — du är inte ensam. Den här guiden skär genom byråkratin och ger dig en tydlig bild.

Vad är NIS2 — och varför nu?

NIS2 ersätter det ursprungliga NIS-direktivet från 2016. Motiveringen är enkel: NIS1 var för snävt, ojämnt implementerat, och cyberhotet har exploderat. Jämfört med föregångaren täcker NIS2 fler sektorer, fler företag, ställer strängare krav och ger betydande böter vid brott.

Nytt för ledningsgrupper: NIS2 inför personligt ansvar. Styrelse och vd kan hållas ansvariga om bolaget saknar tillräcklig cybersäkerhet.

Omfattas vi? Storlek och sektor

NIS2 har två nivåer: väsentliga och viktiga verksamheter. Båda har i stort sett samma krav, men olika grad av tillsyn.

Väsentliga verksamheter (strängast tillsyn)

  • Energi (el, olja, gas, fjärrvärme, vätgas)
  • Transport (luft, järnväg, sjö, väg)
  • Bank och finansmarknadsinfrastruktur
  • Hälso- och sjukvård (sjukhus, läkemedelstillverkare, laboratorier)
  • Dricksvatten och avloppsvatten
  • Digital infrastruktur (moln, DNS, IXP, datacenter)
  • Offentlig förvaltning (centrala organ)
  • Rymd

Viktiga verksamheter

  • Post och kurir
  • Avfallshantering
  • Kemikalier
  • Livsmedelsproduktion och -distribution
  • Tillverkning (medicinteknik, datautrustning, fordon, maskiner)
  • Digitala leverantörer (marknadsplatser, sökmotorer, sociala medier)
  • Forskningsinstitutioner

De tio kärnkraven

NIS2 artikel 21 listar tio minimikrav varje omfattad verksamhet måste uppfylla. Det är inga bockkryss — tillsynsmyndigheten förväntar sig dokumenterad implementering.

  1. Riskanalys och informationssäkerhetspolicy — formell, uppdaterad, styrelsegodkänd.
  2. Incidenthantering — definierade processer, övade.
  3. Driftkontinuitet och krisberedskap — inklusive backup och återställning.
  4. Leverantörskedjesäkerhet — kartlägg och kontraktsäkra tredje parter.
  5. Säkerhet i upphandling, utveckling och underhåll — säker SDLC, patchning.
  6. Policyer för att mäta effekten av säkerhetsåtgärder.
  7. Grundläggande cyberhygien och utbildning — phishing-träning, lösenordsdisciplin.
  8. Kryptografi och kryptering — var och hur.
  9. Personalsäkerhet, åtkomstkontroll, tillgångshantering.
  10. Multifaktorautentisering och säkrad kommunikation.

Rapporteringskrav som kommer överraska er

Rapporteringsplikten är kanske den strängaste delen av NIS2. I samma ögonblick som ni upptäcker en 'betydande incident' — något som har eller kan få allvarlig operationell konsekvens — börjar klockan gå.

  1. Inom 24 timmar: Tidig varning till tillsynsmyndigheten med det ni vet.
  2. Inom 72 timmar: Uppdaterad bedömning inklusive attackvektor och initiala motåtgärder.
  3. Inom 1 månad: Fullständig slutrapport med rotorsaksanalys och stängda åtgärder.

Böter, personligt ansvar och tillsyn

Väsentliga verksamheter kan bötfällas med upp till 10 miljoner euro eller 2 procent av global årsomsättning — det högre talet gäller. För viktiga verksamheter är taket 7 miljoner euro eller 1,4 procent.

Personligt ansvar är det nya. Styrelseordförande och vd kan tillfälligt avstängas från ledande befattningar vid grov vårdslöshet. Det gör cybersäkerhet till en styrelsefråga — inte en IT-fråga.

Sex steg till efterlevnadsberedskap

  1. Klargör status: Omfattas vi? Väsentlig eller viktig? Registrera verksamheten hos tillsynsmyndigheten om det inte redan är gjort.
  2. Gap-analys: Mät nuläge mot de tio kraven. Var ärliga — det är billigare att hitta hål nu än efter en attack.
  3. Riskbaserad prioritering: Försök inte fixa allt samtidigt. Vilka är de mest troliga attackvägarna? Vad skulle skada mest? Börja där.
  4. Bygg incidenthantering: Definiera roller, skapa kontaktlista, öva på scenarier minst två gånger per år. 24-timmarsfönstret kräver att ni redan vet vad ni ska göra.
  5. Lås ner leverantörskedjan: Kartlägg kritiska tredje parter. Kontraktsäkra säkerhetskrav. Begär SOC 2-rapporter eller ISO 27001-certifikat.
  6. Dokumentera allt: Policyer, övningar, incidenter, åtgärder, beslut. Tillsynen vill se bevis — inte avsikter.

Vad kostar detta, realistiskt?

För ett medelstort företag (100–500 anställda) utan mogen säkerhet ligger första årets investering vanligtvis mellan 50 000 och 200 000 euro. Det inkluderar gap-analys, policyutveckling, tekniska kontroller (MFA, EDR, loggning), utbildning, och inledande etablering av incidenthantering.

Löpande drift: 1–3 procent av IT-budgeten är en vanlig tumregel för säkerhetsarbete efter etablering.

Hur Nordic Defence hjälper

Vi har kört NIS2-gapanalyser för nordiska företag sedan direktivet antogs. Vår metod är pragmatisk: vi dokumenterar vad ni har, identifierar det som saknas, och prioriterar efter faktisk risk — inte efter vad som är lättast att bocka av.

För verksamheter som saknar internt SOC erbjuder vi SOC-as-a-Service med 24/7 övervakning och incidentrespons inom NIS2-fristerna. Det gör er rapporteringsklara från dag ett.