← All articles

Täcks jag av NIS2? Beslutsguide för svenska organisationer 2026

Alexander Norman
nis2compliancepentestsäkerhetsverige

TL;DR

NIS2 omfattar dig om alla dessa är uppfyllda:

  1. Du verkar i en av 18 sektorer som direktivet listar (energi, transport, vård, digital infrastruktur, livsmedel, m.fl.)
  2. Du är medelstor eller större (≥50 anställda ELLER ≥10M EUR omsättning), eller utpekad oavsett storlek
  3. Du tillhandahåller tjänsten inom EU

Om alla tre stämmer: du har sannolikt anmälningsplikt till MSB och måste uppfylla art. 21 (riskhanteringsåtgärder).

Detaljerad beslutsträd nedan.

Steg 1. Är din sektor med?

NIS2 delar in entiteter i väsentliga (essential) och viktiga (important). Båda omfattas men med olika tillsynsnivå.

Väsentliga sektorer (Bilaga I)

  • Energi (el, fjärrvärme, olja, gas, vätgas)
  • Transport (luft, sjö, järnväg, väg)
  • Bankväsende
  • Finansiella marknadsinfrastrukturer
  • Hälsa
  • Dricksvatten
  • Avloppsvatten
  • Digital infrastruktur (DNS-leverantörer, TLD-registry, molntjänster, datacenter, CDN, IXP, TSP, e-com hostingoperatörer m.fl.)
  • ICT service management (B2B)
  • Offentlig förvaltning (på central nivå)
  • Rymd

Viktiga sektorer (Bilaga II)

  • Post- och budtjänster
  • Avfallshantering
  • Tillverkning av kritiska kemikalier
  • Livsmedelsproduktion + distribution
  • Tillverkning (medicinsk utrustning, IT-utrustning, elektronik, fordon, maskiner)
  • Digitala leverantörer (online-marknadsplatser, sökmotorer, sociala nätverk)
  • Forskningsorganisationer

Om du inte är i något av detta: du täcks troligen inte av NIS2. Men kunder och leverantörer som gör det kommer kräva säkerhet av dig genom kontrakt.

Steg 2. Är du tillräckligt stor?

NIS2 använder EU:s definition av medelstora företag:

  • ≥50 anställda ELLER
  • ≥10 miljoner EUR årsomsättning OCH samtidigt ≥10 miljoner EUR balansomslutning

Småföretag som ändå omfattas

Även om du är under tröskeln gäller NIS2 om du är:

  • Enda leverantör av en tjänst i en medlemsstat
  • Tillhandahåller en tjänst där avbrott skulle få betydande påverkan
  • Utpekad av MSB av andra skäl (kritisk samhällsfunktion)
  • TLD-registry, DNS-leverantör, molntjänstleverantör, datacenter, CDN, TSP (tillitstjänster, eIDAS), nummeroberoende kommunikationstjänster, dessa gäller oavsett storlek

Steg 3. Var verkar du?

NIS2 gäller om du tillhandahåller tjänsten inom EU. Huvudkontoret bestämmer vilken medlemsstat som är ansvarig myndighet. För svensk entitet → MSB.

Vad innebär det om jag täcks?

Tre konkreta skyldigheter:

1. Anmälningsplikt till MSB

Senast 17 januari 2026 (eller när du blir omfattad) ska du registreras hos MSB med:

  • Organisationens namn + organisationsnummer
  • Adress + kontaktuppgifter
  • Sektor + undersektor
  • Vilka tjänster du tillhandahåller inom NIS2

2. Riskhanteringsåtgärder (art. 21)

Du måste införa lämpliga och proportionerliga tekniska, operativa och organisatoriska åtgärder för att hantera risker. Direktivet listar tio åtgärdsområden som ledningens ansvar:

  1. Policyer för riskhantering
  2. Incidenthantering (inkl. CSIRT-anmälan)
  3. Affärskontinuitet, backup, krishantering
  4. Säkerhet i leverantörskedjan (vendor risk)
  5. Säkerhet vid förvärv, utveckling och underhåll av nätverk/IT-system (← här hamnar pentest)
  6. Mätning + utvärdering av åtgärdernas effektivitet
  7. Grundläggande cyberhygien + utbildning
  8. Kryptografi och kryptering
  9. HR-säkerhet, åtkomstkontroll, tillgångshantering
  10. Multifaktorautentisering + säkrade kommunikationskanaler

3. Incidentrapportering

Vid betydande incident:

  • Inom 24h: tidig varning till CSIRT (MSB/CERT-SE)
  • Inom 72h: incidentanmälan med klassificering
  • Inom 1 månad: slutrapport

4. Personligt ansvar för ledningen

Ledningens ledamöter ska godkänna riskhanteringsåtgärderna och övervaka deras genomförande. Vid uppsåtlig överträdelse kan ledningen hållas personligt ansvarig för skador.

5. Sanktioner

  • Väsentlig entitet: upp till 10 MEUR eller 2% av global omsättning (det högre)
  • Viktig entitet: upp till 7 MEUR eller 1.4% av global omsättning

Är pentest obligatoriskt enligt NIS2?

Inte explicit, direktivet listar inte "pentest" som krav. Men art. 21(2)(e) "säkerhet vid förvärv, utveckling och underhåll" + art. 21(2)(f) "mätning + utvärdering" gör penetrationstestning till de facto best practice. Tillsynsmyndigheter (MSB) anser pentest som rimlig åtgärd för att uppfylla "lämpliga och proportionerliga" tekniska åtgärder.

I praktiken: om du täcks av NIS2 och inte gör pentest, måste du dokumentera varför du inte gör det. Det är svårare än att bara göra ett pentest.

Vad gör pentesting.se för NIS2-täckta organisationer?

Pentesting.se mappar varje fynd direkt mot NIS2-artiklar i compliance-rapporten. Du får:

  • Daglig automatiserad skanning = "mätning + utvärdering" enligt art. 21(2)(f)
  • Sårbarheter i leveranskedjan (vendor scanning) = art. 21(2)(d)
  • Manuell pentest för djupare verifiering = art. 21(2)(e)
  • Incidentdokumentation redo att skicka till MSB inom 24h-fönstret

Allt data lagras i Sverige hos Adminor AB, ingen exponering mot US Cloud Act, vilket är relevant både för art. 21(2)(h) (kryptografi) och för art. 21(2)(d) leverantörsrisk-bedömning.

Vad gör jag nästa steg?

  1. Identifiera ditt sektorsperspektiv, använd checklistan ovan. Vid tveksamhet, ring MSB:s NIS2-team (08-XXX-XXXX) eller mejla [email protected].
  2. Registrera dig hos MSB om du täcks och inte redan gjort det.
  3. Genomför en gap-analys, vilka av de 10 åtgärdsområdena är på plats? Vilka saknas?
  4. Prioritera kritiska luckor, multifaktorautentisering, backup-strategi, leverantörsrisk-bedömning är ofta de snabbaste vinsterna.
  5. Etablera kontinuerlig övervakning, punktvisa årliga test räcker inte längre. Sårbarheter uppstår dagligen och NIS2-tillsynen tittar på processer, inte engångsåtgärder.

Behöver du hjälp att tolka om NIS2 gäller dig, eller en konkret pentest-baserad gap-analys? Kontakta oss, vi har genomfört NIS2-anpassade pentestuppdrag för svenska entiteter sedan direktivet trädde ikraft.