Viktoria ComplianceStart Assessment
Tillbaka till bloggen
NIS26 min readFebruary 28, 2026

Avkodning av NIS2:s omfattning: Vilka små och medelstora företag omfattas av direktivet - och vad det innebär för ditt företag

NIS2-direktivet (direktiv (EU) 2022/2555) utgör den mest betydande översynen av EU:s cybersäkerhetslagstiftning sedan det ursprungliga NIS-direktivet 2016. Genom att dramatiskt utöka sitt tillämpningsområde, införa striktare skyldigheter och införa betydande sanktioner tvingar NIS2 tusentals organisationer i hela Europa att omvärdera sin cybersäkerhet. För små och medelstora företag är utmaningen att förstå om och hur direktivet är tillämpligt på deras verksamhet.

Utvidgning av tillämpningsområdet: Vem omfattas?

Det ursprungliga NIS-direktivet gällde en snäv uppsättning operatörer av samhällsviktiga tjänster och leverantörer av digitala tjänster. I NIS2 ersätts detta med en mycket bredare klassificering: väsentliga enheter och viktiga enheter. Distinktionen är viktig eftersom den avgör hur intensiv tillsynen blir och hur stränga sanktionerna blir.

Väsentliga enheter

Väsentliga enheter omfattas av proaktiva tillsynsåtgärder på förhand. Denna kategori omfattar organisationer inom följande sektorer:

  • Energi (el, olja, gas, vätgas, fjärrvärme)
  • Transport (flyg, järnväg, vatten, väg)
  • Infrastruktur för banker och finansmarknader
  • Hälsa (vårdgivare, EU:s referenslaboratorier, läkemedelstillverkning)
  • Leverans och distribution av dricksvatten
  • Hantering av avloppsvatten
  • Digital infrastruktur (IXP, DNS-leverantörer, TLD-register, cloud computing, datacenter, CDN)
  • Hantering av ICT-tjänster inom B2B (leverantörer av managed services, leverantörer av managed security-tjänster)
  • Offentlig förvaltning (centralregeringen)
  • Utrymme

Viktiga enheter

Viktiga enheter är föremål för reaktiv tillsyn i efterhand. Sektorer inkluderar:

  • Post- och kurirtjänster
  • Avfallshantering
  • Tillverkning, produktion och distribution av kemikalier
  • Produktion, bearbetning och distribution av livsmedel
  • Tillverkning av medicintekniska produkter, datorer, elektronik, maskiner och motorfordon
  • Digitala leverantörer (marknadsplatser online, sökmotorer, sociala nätverksplattformar)
  • Forskningsorganisationer

Tröskelvärden för storlek

NIS2 tillämpar en regel om storlekstak. I allmänhet omfattar direktivet medelstora företag och uppåt: organisationer med 50 eller fler anställda eller en årlig omsättning (eller årlig balansomslutning) på 10 miljoner euro eller mer. Vissa enheter omfattas dock av direktivet oavsett storlek, bland annat leverantörer av DNS-tjänster, TLD-namnregister och enheter som är den enda leverantören av en kritisk tjänst i en medlemsstat.

Små och medelstora företag under dessa tröskelvärden är i allmänhet undantagna om de inte är verksamma inom någon av de särskilt angivna undersektorerna. Alla organisationer i leveranskedjan för en väsentlig eller viktig enhet kan dock ställas inför avtalsenliga cybersäkerhetsskyldigheter som åläggs av deras kunder för att uppfylla NIS2:s säkerhetskrav för leveranskedjan.

Viktiga förpliktelser enligt NIS2

1. Hantering av cybersäkerhetsrisker (artikel 21)

Enligt artikel 21 ska väsentliga och viktiga enheter vidta lämpliga och proportionerliga tekniska, operativa och organisatoriska åtgärder för att hantera risker för säkerheten i nätverks- och informationssystem. Dessa åtgärder måste åtminstone omfatta följande

  • Policyer för riskanalys och säkerhet i informationssystem
  • Rutiner för hantering av incidenter
  • Kontinuitet i verksamheten och krishantering (inklusive backuphantering och katastrofåterställning)
  • Säkerhet i leverantörskedjan, inklusive säkerhetsaspekter som rör relationer med direktleverantörer
  • Säkerhet vid anskaffning, utveckling och underhåll av nätverks- och informationssystem, inklusive hantering och avslöjande av sårbarheter
  • Policyer och förfaranden för att bedöma hur effektiva åtgärderna för hantering av cybersäkerhetsrisker är
  • Grundläggande cyberhygienrutiner och utbildning i cybersäkerhet
  • Policyer för användning av kryptografi och, där så är lämpligt, kryptering
  • Personalsäkerhet, policyer för åtkomstkontroll och hantering av tillgångar
  • Användning av multifaktorautentisering, säkrad kommunikation och säkrad nödkommunikation

2. Rapportering av incidenter (artiklarna 23 och 30)

NIS2 inför en skyldighet att rapportera incidenter i flera steg som är betydligt strängare än det ursprungliga direktivet:

  1. Tidig varning: Inom 24 timmar efter att ha fått kännedom om en betydande incident ska den behöriga myndigheten eller CSIRT-enheten underrättas. I den tidiga varningen ska det anges om incidenten misstänks ha orsakats av olagliga eller illvilliga handlingar och om den kan ha gränsöverskridande konsekvenser.
  2. Anmälan av incident: Inom 72 timmar ska en första bedömning göras, inklusive allvarlighetsgrad och påverkan, samt indikatorer på kompromettering om sådana finns tillgängliga.
  3. Slutrapport: Inom en månad ska du lämna en detaljerad beskrivning av incidenten, grundorsaken, vidtagna begränsningsåtgärder och gränsöverskridande konsekvenser, om det är relevant.

En betydande incident definieras som en incident som har orsakat eller kan orsaka allvarliga driftstörningar eller ekonomisk förlust, eller som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att orsaka betydande materiell eller immateriell skada.

3. Säkerhet i leveranskedjan

I artikel 21.2 d krävs uttryckligen att enheterna ska ta itu med säkerheten i leveranskedjan. Detta innebär att man ska bedöma sina direkta leverantörers och tjänsteleverantörers cybersäkerhetsrutiner, införliva säkerhetskrav i upphandlingskontrakt och fortlöpande övervaka tredjepartsrisker. För många små och medelstora företag kommer denna skyldighet att komma indirekt genom avtalskrav som ställs av större kunder som själva är NIS2-reglerade enheter.

4. Ledningsorganets ansvarighet (artikel 20)

NIS2 lägger ett direkt ansvar på ledningsorganet (styrelse, verkställande ledning) för att godkänna och övervaka genomförandet av åtgärder för hantering av cybersäkerhetsrisker. Ledningsorganets medlemmar måste genomgå cybersäkerhetsutbildning och de kan hållas personligt ansvariga för överträdelser. Detta är en betydande avvikelse från det ursprungliga NIS-direktivet och anpassar styrningen av cybersäkerheten till den ansvarsnivå som gäller för finansiell reglering.

Nationell införlivande och verkställighet

Medlemsstaterna var skyldiga att införliva NIS2 i nationell lagstiftning senast den 17 oktober 2024. I början av 2026 hade majoriteten av medlemsstaterna slutfört införlivandet, även om tidsfristerna för genomförandet och de specifika kraven varierar. Organisationer bör konsultera det nationella införlivandet i varje medlemsstat där de bedriver verksamhet, eftersom kraven kan överstiga NIS2-minimum.

Påföljder

Påföljderna enligt NIS2 är betydande och differentierade efter typ av enhet:

  • Väsentliga enheter: Administrativa böter på upp till 10 miljoner euro eller 2% av den totala globala årsomsättningen, beroende på vilket belopp som är högst.
  • Viktiga enheter: Administrativa böter på upp till 7 miljoner euro eller 1,4% av den totala globala årsomsättningen, beroende på vilket belopp som är högst.

Tillsynsmyndigheterna kan också införa icke-monetära åtgärder, inklusive bindande instruktioner, förelägganden om att genomföra revisionsrekommendationer, förelägganden om att se till att säkerhetsåtgärderna överensstämmer med kraven och tillfälligt upphävande av certifieringar eller auktorisationer.

Praktiska steg för små och medelstora företag

Om din organisation omfattas av NIS2:s tillämpningsområde, eller om du är verksam i en reglerad enhets leveranskedja, ger följande steg en pragmatisk utgångspunkt:

  1. Bedömning av omfattning: Fastställ om din organisation är en väsentlig enhet, en viktig enhet eller utanför tillämpningsområdet. Beakta både sektorsklassificeringen och tröskelvärdena för storlek.
  2. Analys av brister: Jämför dina nuvarande cybersäkerhetsåtgärder med kraven i artikel 21. Identifiera områden där dina befintliga kontroller inte räcker till.
  3. Förberedelser för incidenthantering: Skapa eller förbättra din incidenthanteringsplan för att uppfylla rapporteringsfristerna på 24 timmar, 72 timmar och en månad.
  4. Granskning av leverantörskedjan: Utvärdera cybersäkerheten hos dina kritiska leverantörer och införliva säkerhetskrav i upphandlingsavtalen.
  5. Engagemang från ledningens sida: Informera styrelsen eller ledningen om deras NIS2-ansvar och ordna utbildning i cybersäkerhet.
  6. Dokumentation: Bevara bevis för alla cybersäkerhetsåtgärder, riskbedömningar och incidentrapporter. NIS2-efterlevnad är påvisbar efterlevnad.

NIS2-direktivet är inte en avlägsen rättslig angelägenhet. Det är en aktiv efterlevnadsskyldighet för tusentals europeiska organisationer. Små och medelstora företag som agerar nu för att förstå sina skyldigheter och täppa till sina cybersäkerhetsluckor kommer att vara betydligt bättre positionerade än de som väntar på att verkställighetsåtgärder ska tvinga fram dem.

Kontrollera din efterlevnadsberedskap

Kör vår kostnadsfria beredskapsbedömning för GDPR, NIS2 och AI-förordningen och få personliga rekommendationer på några minuter.

Starta kostnadsfri bedömning

EU Compliance Weekly

Get the latest regulatory updates, compliance tips, and enforcement news delivered to your inbox every week.

We respect your privacy. Unsubscribe anytime.