Tillbaka till insikter
COMPLIANCE

NIS2 är här: Sveriges cybersäkerhetslag sedan januari 2026

Vakteye TeamMar 10, 20267 min läsning

Sveriges cybersäkerhetslag (SFS 2025:1506) trädde i kraft den 15 januari 2026. Det finns ingen övergångsperiod. Om din organisation omfattas av NIS2 och du inte har påbörjat efterlevnadsarbetet bryter du redan mot lagen. Sista dagen för egenregistrering hos MCF var den 16 februari.

Det här är inte ett avlägset EU-direktiv. Det är svensk lag, Cybersäkerhetslagen, och MCF (Myndigheten för civilt försvar, tidigare MSB) tillsammans med sektorsspecifika tillsynsmyndigheter som PTS ansvarar för tillsynen.

Viktiga datum du behöver känna till

  1. December 2025 — SFS 2025:1506 utfärdad av regeringen
  2. 15 januari 2026 — Lagen träder i kraft. Ingen övergångsperiod.
  3. 16 februari 2026 — Sista dag för egenregistrering hos MCF
  4. Löpande — MCF och PTS tillsynsverksamhet är igång

Missade du registreringen den 16 februari? Registrera dig nu. Att vänta gör det bara värre.

Vem omfattas av NIS2 i Sverige?

NIS2 delar in organisationer i två nivåer: Väsentliga och Viktiga. Indelningen avgör både dina skyldigheter och de sanktioner du riskerar.

Väsentliga verksamheter inkluderar energi, transport, bankverksamhet, hälso- och sjukvård, vattenförsörjning, digital infrastruktur och offentlig förvaltning. Viktiga verksamheter omfattar posttjänster, avfallshantering, livsmedelsproduktion, tillverkning, digitala tjänster och forskningsorganisationer.

Tröskeln är generellt 50+ anställda eller 10+ miljoner euro i årsomsättning. Men vissa sektorer (DNS-leverantörer, TLD-register och digital infrastruktur) omfattas oavsett storlek.

Osäker på om du omfattas? Om du verkar inom någon av de 18 sektorer som listas i NIS2 bilaga I och II och uppfyller storlekskravet, gör du det nästan säkert. Vid tveksamhet, registrera dig hos MCF. Det finns inget straff för att registrera sig i onödan.

De 10 säkerhetsåtgärderna enligt artikel 21(2)

Artikel 21(2) i NIS2 listar tio kategorier av säkerhetsåtgärder. Alla är obligatoriska.

  • (a) Riskanalys och informationssäkerhetspolicyer
  • (b) Incidenthantering
  • (c) Driftskontinuitet och krishantering
  • (d) Säkerhet i leveranskedjan, inklusive leverantörer och underleverantörer
  • (e) Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem
  • (f) Strategier för att bedöma effektiviteten av cybersäkerhetsåtgärder
  • (g) Grundläggande cyberhygien och utbildning i cybersäkerhet
  • (h) Policyer för kryptografi och i förekommande fall kryptering
  • (i) Personalsäkerhet, åtkomstkontroll och tillgångshantering
  • (j) Flerfaktorsautentisering och säkrade kommunikationskanaler

Av dessa 10 åtgärder kan fyra testas direkt med automatiserad skanning: (d) leveranskedjans säkerhet, (e) nätverkssäkerhet, (g) cyberhygien och (h) kryptografi. De övriga sex kräver organisatoriska policyer och dokumentation. De kan inte verifieras genom att skanna din webbplats.

Incidentrapportering: 24 timmar till CERT-SE

Artikel 23 ställer strikta krav på incidentrapportering. Det här är inte valfritt och tidsfristerna är aggressiva.

  1. 24 timmar — Tidig varning till CERT-SE (via iron.mcf.se). Bara grunderna: vad som hänt, misstänkt orsak, gränsöverskridande påverkan.
  2. 72 timmar — Fullständig incidentanmälan. Uppdaterad bedömning, allvarlighetsgrad, påverkan, kompromissindikatorer.
  3. 1 månad — Slutrapport. Grundorsaksanalys, vidtagna åtgärder, gränsöverskridande konsekvenser.

CERT-SE är Sveriges nationella CSIRT, drivs av MCF. All rapportering sker via iron.mcf.se. Om din incident påverkar flera EU-medlemsstater koordinerar CERT-SE med andra nationella CSIRT:er.

Väsentliga verksamheter: upp till 10 000 000 euro eller 2 % av den globala årsomsättningen, beroende på vilket som är högst. Viktiga verksamheter: upp till 7 000 000 euro eller 1,4 % av den globala årsomsättningen.

NIS2-direktivet, artikel 34 — Administrativa sanktionsavgifter

Sanktioner: Riktiga siffror, verkliga konsekvenser

NIS2-sanktionerna följer GDPR:s modell: en andel av global omsättning eller ett fast belopp, beroende på vilket som är högst. För ett svenskt företag med 100 miljoner euro i omsättning är taket för väsentliga verksamheter 2 miljoner euro. För viktiga verksamheter 1,4 miljoner euro.

Men böter är inte den enda risken. NIS2 ger även tillsynsmyndigheter rätt att utfärda bindande förelägganden, beordra säkerhetsrevisioner och, för väsentliga verksamheter, tillfälligt suspendera ledningsansvar. Företagsledningen kan hållas personligt ansvarig.

Kontrollera din NIS2-exponering

Vakteye skannar din infrastruktur mot de fyra skannbara NIS2-åtgärderna i artikel 21(2): nätverkssäkerhet, leveranskedja, kryptografi och cyberhygien. Få en grundbedömning på några minuter.

Kör en gratis skanning

Vad Vakteye täcker för NIS2

Vakteyes NIS2-efterlevnadsskanning utvärderar de fyra tekniskt verifierbara åtgärderna från artikel 21(2):

  • Leveranskedjans säkerhet (d) — Tredjepartsskript, CNAME-maskering, beroendeanalys
  • Nätverks- och systemsäkerhet (e) — TLS-konfiguration, HTTP-säkerhetsrubriker, DNS-säkerhet, öppna portar
  • Cyberhygien (g) — Cookiehantering, samtyckeimplementering, dataminimering
  • Kryptografi (h) — Certifikatvaliditet, krypteringssviter, HSTS-implementering

För de sex organisatoriska åtgärderna (riskpolicyer, incidenthantering, driftskontinuitet, effektivitetsbedömning, personalsäkerhet, MFA) ger vi vägledning i efterlevnadsrapporten. Dessa kräver dokumentation och processer, inte en webbplatsskanning.

MCF och PTS: vem har tillsyn över vad

MCF är den allmänna tillsynsmyndigheten för NIS2 i Sverige. PTS (Post- och telestyrelsen) utövar tillsyn över telekomoperatörer och leverantörer av digital infrastruktur.

MCF har signalerat att det initiala tillsynsfokuset kommer att ligga på egenregistrering och beredskap för incidentrapportering. Räkna med att tillsynsgranskningar av tekniska säkerhetsåtgärder börjar senare under 2026.

Vänta inte på en granskning för att hitta dina brister. När MCF knackar på dörren behöver du redan ha bevis på efterlevnad, inte en plan att börja jobba med det.

NIS2-efterlevnad börjar med synlighet

Du kan inte åtgärda det du inte kan se. Vakteye kartlägger din tekniska NIS2-exponering med bevisunderbyggda fynd, samma typ av bevis som MCF:s granskare letar efter.

Starta din NIS2-bedömning
Föregående

45 miljoner kronor i böter: Så läckte Meta Pixel hälsodata från svenska apotek

Nästa

Så gör du din cookie-banner IMY-kompatibel: en steg-för-steg-guide

Relaterade artiklar

COMPLIANCE5 min läsning

IMY:s cookie-tillslag: Vad ATG, Aller Media och Warner Music betyder för dig

I april 2025 fattade IMY sina första formella beslut om cookie-banners mot tre svenska företag. Överträdelserna var klassiska mörka mönster, och din sajt har sannolikt samma problem.

COMPLIANCE6 min läsning

EDPB 2026: Varför transparenstillsyn drabbar svenska företag

EDPB:s samordnade tillsyn 2026 fokuserar på transparens. Om din integritetspolicy inte stämmer med vad din webbplats faktiskt gör är du ett mål.

COMPLIANCE8 min läsning

GDPR i Sverige: IMY:s tillsynstrender 2025

Hur Integritetsskyddsmyndigheten tillämpar GDPR och vad det innebär för ditt företag.