Den nya cybersäkerhetslagen är här – men berör den er?
Sedan den 15 januari 2026 har Sverige en ny cybersäkerhetslag som genomför EU:s NIS2-direktiv. Tidningarna har skrivit om det, konsulterna har skickat sina nyhetsbrev, och i många chefsfika-rum sitter småföretagare och försöker förstå en sak: behöver vi göra något?
Det är en bra fråga, och den har inget enkelt svar. Men det viktigaste är att inte ignorera den, för svaret påverkar allt från riskhantering till vilka kunder ni kommer åt framöver.
Det här är NIS2 i en mening
NIS2 (i Sverige: cybersäkerhetslagen, 2025:1506) är ett EU-direktiv som skärper kraven på cybersäkerhet för organisationer i samhällsviktiga och kritiska sektorer. Antalet sektorer har utökats från 7 till 18 jämfört med den tidigare NIS-lagen, och kraven på riskhantering, incidentrapportering, ledningsansvar och leverantörskontroll har skärpts påtagligt.
Tillsynen sköts av Myndigheten för civilt försvar (tidigare MSB) tillsammans med sektorsspecifika myndigheter som Finansinspektionen, Energimyndigheten och Transportstyrelsen. Sanktioner kan landa på upp till 2 procent av global omsättning eller 10 miljoner euro – vilket som är högst.
Berörs ert företag direkt?
Två villkor behöver vara uppfyllda för att ni ska omfattas direkt:
1. Ni verkar inom någon av de 18 sektorerna. Här ingår energi, transport, hälso- och sjukvård, finanssektorn, digital infrastruktur, IT-tjänster, posttjänster, vattenförsörjning, avfallshantering, livsmedelsproduktion, tillverkning av vissa produkter, kemikalier och flera till. Det är värt att läsa hela listan i bilaga 1 och 2 till direktivet – många blir överraskade över att vara med.
2. Ni når storlekströskeln. Som huvudregel: minst 50 anställda eller en årsomsättning över 10 miljoner euro tillsammans med en balansomslutning över 10 miljoner euro. Mindre företag inom sektorerna kan ändå omfattas i specifika fall, exempelvis om ni är ensamma om en samhällsviktig tjänst.
För många SMB innebär det här att man inte omfattas direkt. Det är information värd att verkligen vara säker på – men det är också där den vanligaste missuppfattningen börjar.
Den dolda fällan, leverantörskedjan
Här är poängen som de flesta SMB missar: även om ni inte omfattas av lagen direkt, finns det stor chans att era kunder gör det. Och NIS2 kräver uttryckligen att de organisationer som omfattas också hanterar risker i sin leverantörskedja.
I praktiken betyder det:
- Era kunder kommer att skicka säkerhetsfrågeformulär ni inte sett tidigare
- Avtal kommer att innehålla nya klausuler om incidentrapportering, sårbarhetshantering och åtkomstkontroll
- Vid offentliga upphandlingar kommer NIS2-relaterade krav att dyka upp som kvalificeringsvillkor
- Stora företagskunder kommer att börja kräva dokumenterade säkerhetsåtgärder, även från leverantörer som inte själva har juridiskt krav på det
Det är via den här bakdörren som NIS2 plötsligt blir relevant för en stor andel av landets små och medelstora företag. Inte som en lag de måste följa, utan som en marknadsförutsättning som avgör vilka affärer de kommer åt.
Vad innebär kraven konkret?
För de som omfattas, direkt eller via kund, handlar det i praktiken om sex saker:
Systematisk riskhantering. Identifiera, dokumentera och hantera era cyberrisker löpande, inte bara en gång per år.
Säkerhetspolicies. Tydliga regler för åtkomst, lösenord, mobila enheter, distansarbete och klassificering av information.
Incidenthantering och rapportering. Allvarliga incidenter ska rapporteras till tillsynsmyndighet inom 24 timmar (initial varning) och 72 timmar (uppdaterad bedömning).
Backup och återställning. Säkerhetskopior ska finnas, testas regelbundet och gå att återställa inom rimlig tid.
Leverantörskontroll. Ni ska bedöma och dokumentera era egna leverantörers säkerhetsnivå.
Utbildning av ledningen. Det här är nytt och viktigt, styrelse och VD ska genomgå utbildning i cybersäkerhet och bär uttryckligt ansvar för verksamhetens säkerhetsarbete.
Tre vanliga fällor
1. Att avfärda det med ”vi är för små”. Storlekströskeln gäller för direkt omfattning. Marknaden bryr sig inte om tröskeln.
2. Att över-implementera. Många försöker ta sig an NIS2 som om det vore en fullskalig ISO 27001-certifiering. Det leder ofta till halvfärdiga projekt och förlorad energi. Bättre att börja med grunderna och bygga vidare.
3. Att vänta tills en kund frågar. När frågan kommer är det oftast i samband med en upphandling där svaret behöver finnas på plats, inte börja byggas.
Hur ni kommer igång
Tre steg som passar för de flesta SMB:
- Bedöm omfattning. Är ni direkt berörda (ja? anmäl er till MCF), indirekt berörda via kund, eller varken eller? Bara att svara på den frågan är värt en arbetsvecka.
- Bygg grunderna. En övergripande informationssäkerhetspolicy, fungerande backup, en enkel incidenthanteringsrutin, MFA på alla viktiga konton och en grundläggande säkerhetsutbildning för anställda. Det tar er förbi en stor del av riskerna.
- Dokumentera. Det ni gör måste kunna visas upp. Ett enkelt säkerhetsregister med era åtgärder är värt mer än fina policies som ingen hittar.
Klykk, från lagtext till verkstad
På Klykk hjälper vi små och medelstora företag att navigera cybersäkerhetslagen utan att översätta den till kostsamma certifieringsprojekt. Vi börjar oftast med en rak bedömning: är ni berörda, hur, och vad är prioriterat just hos er?
Eftersom vi också arbetar med digitalisering och digital marknadsföring förstår vi att säkerhetsarbetet inte sker i ett vakuum. Det måste fungera tillsammans med det ni redan har, era system, era kundrelationer och er affär. Det är där skillnaden ligger mellan en policy som följs och en som dammas bort efter sex månader.
Är ni osäkra på var ni står? Hör av er, så bjuder vi på ett första samtal där vi går igenom er situation och pekar ut de tre viktigaste sakerna att börja med.
Lämna ett svar