Labs Support
SV EN
EU-direktiv 2022/2555 - i Sverige: Cybersäkerhetslagen (SFS 2025:1506), i kraft sedan 15 januari 2026

NIS2 har utökat cybersäkerhetskraven till tusentals företag. Är ni ett av dem?

Från kritisk infrastruktur till tillverkning, livsmedel och digitala tjänster. NIS2 gäller fler sektorer, ställer hårdare krav och gör ledningen personligt ansvarig. I Sverige genomförs kraven genom cybersäkerhetslagen.

18 sektorer omfattas av direktivet
24 timmar för tidig varning vid incident
Personligt ansvar för ledningen vid bristande efterlevnad
Boka en demo
Självtest

Omfattas ni av NIS2?

Svara på fyra frågor så får ni en första indikation, och konkreta nästa steg oavsett resultat.

Omfattas ni av NIS2?

Svara på fyra frågor så får ni en indikation.
Kaskadeffekten

Även om ni inte omfattas direkt, era kunder gör det

NIS2 kräver att organisationer bedömer cybersäkerhetsrisker i hela sin leveranskedja. Det innebär att kraven når er, oavsett om ni själva faller under direktivet.

1 EU antar NIS2 med krav på 18 sektorer
2 Stora företag i scope måste uppfylla kraven
3 De måste bedöma leveranskedjans cybersäkerhet
4 Ni får krav från era kunder, oavsett er egen NIS2-status

Leveranskedjan stannar inte vid er dörr

NIS2 artikel 21 kräver att organisationer i scope hanterar cybersäkerhetsrisker i sina leverantörsrelationer. Det innebär riskbedömningar, avtalskrav och löpande uppföljning av er.

I praktiken: era storföretagskunder kommer att kräva att ni visar hur ni hanterar informationssäkerhet. Inte för att vara petiga, utan för att lagen kräver det av dem.

Svensk lag

Cybersäkerhetslagen - NIS2 är nu svensk lag

Sedan 15 januari 2026 gäller cybersäkerhetslagen (SFS 2025:1506). NIS2-direktivets krav är inte längre något som "kommer" - de är svensk lagstiftning med svenska tillsynsmyndigheter och svenska sanktioner.

Samma krav, svensk tillämpning

Cybersäkerhetslagen genomför NIS2 i Sverige. Kraven på riskhantering, incidentrapportering och ledningens ansvar är desamma, men tillsynen sköts av svenska myndigheter under samordning av Myndigheten för civilt försvar (MCF).

Sanktionsavgifter

Väsentliga verksamhetsutövare: upp till 2 % av global årsomsättning eller 10 miljoner euro. Viktiga verksamhetsutövare: 1,4 % eller 7 miljoner euro. Offentliga verksamhetsutövare: upp till 10 miljoner kronor.

Incidentrapportering

Tidig varning inom 24 timmar. Incidentanmälan inom 72 timmar. Slutrapport inom en månad. Rapportering sker till tillsynsmyndigheten och CERT-SE.

Ledningen ska utbildas

Cybersäkerhetslagen kräver att ledningen genomgår utbildning om säkerhetsåtgärder. Det räcker inte att godkänna åtgärderna - ledningen ska förstå dem.

NIS2 & ISO 27001

NIS2 och ISO 27001 överlappar, och AmpliFlow stödjer båda

Har ni redan ett ISO 27001-ramverk ligger ni bra till. Här ser ni hur NIS2-kraven mappas mot ISO 27001 och var AmpliFlow hjälper.

NIS2-krav ISO 27001-kontroll AmpliFlow-stöd
Riskhanteringsåtgärder A.8 – Hantering av informationssäkerhetsrisker Riskmatriser med sannolikhet × konsekvens, åtgärdsplaner, uppföljning
Incidenthantering A.5.24–A.5.28 – Incidenthantering Avvikelsehantering med kategorisering, rotorsaksanalys och tidslinjer
Säkerhet i leveranskedjan A.5.19–A.5.23 – Leverantörsrelationer Leverantörsregister för att hålla koll på leverantörer och kontaktuppgifter
Driftskontinuitet A.5.29–A.5.30 – Kontinuitetsplanering Sidor (wiki) för kontinuitetsplaner, checklistor för övningar
Säkerhetsmedvetenhet A.6.3 – Medvetenhet och utbildning Kompetensmatriser och utbildningsplanering
Kryptering och åtkomstkontroll A.8.24 – Kryptering, A.5.15 – Åtkomstkontroll Sidor (wiki) för dokumenterade policyer och rutiner
Vad ni behöver ha på plats

Fyra områden som NIS2 kräver, och som AmpliFlow stödjer

Organisatorisk styrning, inte tekniska verktyg. AmpliFlow hanterar processerna och dokumentationen, inte brandväggar eller intrångsdetektering.

Riskhantering

NIS2 kräver att ni identifierar, bedömer och hanterar cybersäkerhetsrisker. Inte som ett engångsprojekt, utan löpande, med dokumenterade beslut.

Riskmatriser i AmpliFlow

Incidenthantering

Tidig varning till tillsynsmyndighet inom 24 timmar. Incidentanmälan inom 72 timmar. Slutrapport inom en månad. Utan ett arbetsflöde missar ni tidsfristerna.

Avvikelsehantering i AmpliFlow

Säkerhet i leveranskedjan

Ni ansvarar för att era leverantörer inte är en svag länk. Det kräver riskbedömning, avtalskrav och löpande uppföljning.

Leverantörsregister i AmpliFlow

Driftskontinuitet

Planer för att upprätthålla kritiska tjänster vid cyberincidenter. Testad, dokumenterad och uppdaterad.

Sidor och checklistor i AmpliFlow
Boka en demo
Ledningens ansvar

NIS2 och cybersäkerhetslagen gör cybersäkerhet till en ledningsfråga

Artikel 20 i NIS2 är tydlig: ledningen ska godkänna riskhanteringsåtgärder, övervaka implementeringen, och kan hållas personligt ansvarig vid bristande efterlevnad.

Vad det innebär i praktiken

Ledningen kan inte längre delegera cybersäkerhetsansvaret till IT-avdelningen och hoppas på det bästa. NIS2 kräver att ledningen aktivt deltar i beslut om riskhantering och att dessa beslut är dokumenterade.

Vid bristande efterlevnad kan enskilda ledamöter hållas personligt ansvariga, med potentiella böter och tillfälligt förbud mot att utöva ledningsfunktioner.

AmpliFlow ger ledningen översikt och dokumentation

  • Riskbedömningar som ledningen kan granska, med spårbarhet på beslut och ansvariga
  • Revisionsplaner som visar att cybersäkerhetsåtgärder följs upp systematiskt
  • Incidenthistorik som dokumenterar hur organisationen hanterade säkerhetshändelser
  • Samlad bild av efterlevnadsstatus: policyer, åtgärder och ansvariga på ett ställe
Vanliga frågor

Frågor om NIS2 och AmpliFlow

Vad är NIS2-direktivet?

NIS2 (EU-direktiv 2022/2555) är EU:s uppdaterade direktiv för cybersäkerhet. Det utvidgar det ursprungliga NIS-direktivet till fler sektorer, ställer högre krav på riskhantering och incidentrapportering, och inför personligt ansvar för ledningen. För finanssektorn fungerar DORA som lex specialis: DORA-krav ersätter NIS2 där de överlappar.

Vilka verksamheter omfattas av NIS2?

NIS2 omfattar "väsentliga" och "viktiga" verksamheter i sektorer som energi, transport, hälso- och sjukvård, vattenförsörjning, digital infrastruktur, bankverksamhet, tillverkning, livsmedel, kemikalier, avfallshantering, post, digitala tjänster och offentlig förvaltning. Storlekskriterier avgör om ni klassas som väsentliga eller viktiga.

Vad är skillnaden mellan väsentliga och viktiga verksamheter?

Väsentliga verksamheter (essential entities) finns i sektorer som energi, transport, hälsa, dricksvatten, digital infrastruktur och bankverksamhet. De har strängare tillsyn och högre böter (upp till 10 miljoner euro eller 2 % av omsättningen). Viktiga verksamheter (important entities) omfattar sektorer som tillverkning, livsmedel, kemikalier, post och digitala tjänster. De har lägre böter (upp till 7 miljoner euro eller 1,4 %) och reaktiv tillsyn snarare än proaktiv. Storlekskriterier spelar också roll: medelstora företag (50+ anställda) klassas normalt som viktiga, medan stora företag (250+ anställda) i samma sektor klassas som väsentliga. Vissa verksamheter är väsentliga oavsett storlek, till exempel kvalificerade betrodda tjänster och DNS-leverantörer.

Hur förhåller sig NIS2 till ISO 27001?

ISO 27001 ger ett strukturerat ramverk för informationssäkerhet som överlappar med många av NIS2:s krav. En ISO 27001-certifiering täcker riskhantering, policyer och säkerhetsåtgärder. NIS2 ställer dock ytterligare krav på incidentrapportering till myndigheter inom specifika tidsfrister och på säkerhet i leveranskedjan.

Vilka sanktioner finns vid bristande efterlevnad?

Väsentliga verksamheter riskerar böter på upp till 10 miljoner euro eller 2 % av den globala årsomsättningen. Viktiga verksamheter riskerar upp till 7 miljoner euro eller 1,4 %. Utöver böter kan ledningen hållas personligt ansvarig.

Hur stödjer AmpliFlow arbetet med NIS2?

AmpliFlow hanterar den organisatoriska styrningen: riskbedömning via riskmatriser, incidenthantering genom avvikelseprocessen, sidor (wiki) för policyer och rutiner, leverantörsregister för kontaktuppgifter, revisionsplanering och kompetensuppföljning. AmpliFlow ersätter inte tekniska säkerhetslösningar som brandväggar eller SIEM-system.

Vi är inte direkt i scope. Behöver vi bry oss?

Sannolikt ja. Organisationer som omfattas av NIS2 måste bedöma cybersäkerhetsrisker i sin leveranskedja. Om ni är leverantör till en NIS2-organisation kommer de ställa krav på er informationssäkerhet, oavsett om ni själva faller under direktivet.

Vad är cybersäkerhetslagen?

Cybersäkerhetslagen (SFS 2025:1506) är den svenska lag som genomför NIS2-direktivet. Den trädde i kraft den 15 januari 2026 och ersatte den äldre lagen om informationssäkerhet för samhällsviktiga tjänster (SFS 2018:1174). Kraven på riskhantering, incidentrapportering och ledningens ansvar är i stort sett desamma som i NIS2, men tillsynen sker genom svenska myndigheter under samordning av Myndigheten för civilt försvar.

Relaterat

Utforska mer

ISO 27001

Internationell standard för informationssäkerhet

Riskhantering

Riskmatriser och riskbedömningar i AmpliFlow

Avvikelsehantering

Hantera incidenter och avvikelser

Leverantörsregister

Leverantörsregister och kontaktuppgifter

Cyber Resilience Act

EU:s förordning för cybersäkerhet i produkter

DORA

Digital operativ motståndskraft för finanssektorn

Vill ni se hur AmpliFlow stödjer arbetet med NIS2 och cybersäkerhetslagen?

Boka en demo så visar vi hur riskhantering, incidentrapportering och dokumentstyrning fungerar i praktiken. Vi anpassar visningen efter era förutsättningar.