Omfattas vi av NIS2? Så avgör ni det
NIS2 är i Sverige genomfört genom Cybersäkerhetslagen (SFS 2025:1506), som trädde i kraft den 15 januari 2026. Många bolag är osäkra på om de omfattas. Här är en praktisk genomgång.
Vem är direkt omfattad?
Två villkor ska normalt vara uppfyllda samtidigt: att ni är verksamma i en av de utpekade sektorerna, och att ni når storlekströskeln.
- Sektorer: energi, transport, bank, finansiell infrastruktur, hälsa, dricksvatten, avlopp, digital infrastruktur, IKT-tjänstehantering (B2B), offentlig förvaltning, rymd, samt post, avfall, kemikalier, livsmedel, tillverkning, digitala leverantörer och forskning.
- Storlek: som huvudregel medelstora och större företag, det vill säga minst 50 anställda eller minst 10 miljoner EUR i omsättning.
Väsentlig eller viktig entitet?
Väsentliga entiteter (större bolag i de mest kritiska sektorerna) står under proaktiv tillsyn. Viktiga entiteter står under reaktiv tillsyn. Klassificeringen avgör tillsynens intensitet, men båda ska uppfylla samma grundläggande säkerhetskrav.
Leverantörskedjan drar in även mindre bolag
Även om ni själva ligger under tröskeln träffas ni indirekt: omfattade kunder är skyldiga att ställa säkerhetskrav på sina leverantörer. I praktiken innebär det avtalsklausuler, säkerhetsformulär och krav på bevisning, oavsett er egen storlek.
Vad ni bör göra nu
Kartlägg om ni är direkt omfattade, klargör klassificeringen, och bygg ett grundläggande bevisunderlag som håller för både tillsyn och kundgranskning. Ett svar utan dokumentation är i praktiken inte bevisbart.
Så hjälper PowerQuant
- Gör det gratis scope-testet på 2 minuter och se om och hur ni omfattas.
- Quick Scan (fast pris): en signerad readiness-rapport ni kan visa kund och revisor.
Vanliga frågor
Gäller NIS2 bara IT-bolag? Nej. Sektorlistan är bred och omfattar bland annat tillverkning, livsmedel och avfall. Även bolag utanför listan träffas ofta via leverantörskedjan.
När trädde den svenska lagen i kraft? Cybersäkerhetslagen (SFS 2025:1506) trädde i kraft den 15 januari 2026.
Vägledande översikt, inte juridisk rådgivning. Verifierat mot direktiv (EU) 2022/2555 och Cybersäkerhetslagen (SFS 2025:1506) per 1 juli 2026.