Polaris
Tillbaka till Insikter
NIS2 13 min läsning · 18 juni 2026

Cybersäkerhetslagen & NIS2 för svenska SME — den kompletta guiden

Cybersäkerhetslagen trädde i kraft 15 januari 2026 och genomför NIS2 i Sverige. Här är allt en SME behöver veta: omfattas ni, vad krävs, vilka deadlines gäller och vad det kostar att inte agera.

NIS2 har gått från EU-direktiv till svensk lag. Den 15 januari 2026 trädde cybersäkerhetslagen (2025:1506) i kraft, och med den kom konkreta krav, hårda sanktioner och en deadline som många svenska bolag fortfarande inte har på radarn. Om du sitter med IT-, säkerhets- eller ledningsansvar och inte är säker på om lagen gäller er — den här guiden är skriven för att ge dig ett svar du kan agera på, inte en juridisk avhandling.

Vi går igenom vilka som omfattas, vad lagen faktiskt kräver, de datum som spelar roll under 2026, och — kanske viktigast — varför kraven träffar tusentals SME-bolag även om de inte själva står på listan.

Vad är cybersäkerhetslagen, kort och konkret

Cybersäkerhetslagen är Sveriges genomförande av EU:s NIS2-direktiv. Jämfört med det gamla NIS-regelverket ställer den tydligare krav på riskhantering, incidentrapportering och säkerhet i leverantörskedjan — och den omfattar betydligt fler organisationer och fler sektorer. Lagen flyttar också ansvaret uppåt: ledningen har ett direkt ansvar för cybersäkerheten och förväntas ha tillräcklig kompetens för att godkänna och följa upp säkerhetsåtgärderna.

I praktiken betyder det att cybersäkerhet inte längre kan parkeras hos en ensam IT-ansvarig. Det är en ledningsfråga med personligt ansvar och kännbara sanktioner i botten.

Omfattas ert företag?

Det här är den fråga de flesta vill ha svar på först. Tre saker avgör:

Storlek. Som tumregel träffas medelstora företag och större av lagen direkt — alltså verksamheter med minst 50 anställda eller en årsomsättning/balansomslutning över 10 miljoner euro. Mindre bolag faller normalt utanför det direkta tillämpningsområdet, med vissa undantag för särskilt samhällsviktiga aktörer.

Sektor. NIS2 omfattar 18 sektorer, uppdelade i “väsentliga” och “viktiga” verksamhetsutövare — bland annat energi, transport, hälsa, dricks- och avloppsvatten, digital infrastruktur, livsmedelsproduktion i större skala, tillverkning och vissa digitala tjänster. Faller er kärnverksamhet inom någon av dessa, och ni når storlekströsklarna, är ni sannolikt skyldiga att registrera er.

Leverantörskedjan. Det här är den punkt som överraskar flest. Även om ni inte själva omfattas direkt, kan era kunder göra det — och då blir ni indirekt berörda (mer om det nedan).

Om du efter de här tre frågorna fortfarande är osäker, är det ett tecken på att frågan behöver utredas formellt, inte avfärdas. Vår Compliance Health Check ger dig en snabb första indikation på var ni står.

Vad lagen kräver i praktiken

Kraven kan se överväldigande ut, men de kokar ner till några konkreta byggstenar:

Riskhantering och säkerhetsåtgärder

Ni ska ha ett systematiskt arbetssätt för att identifiera och hantera cyberrisker — riskanalyser, tekniska och organisatoriska säkerhetsåtgärder, åtkomststyrning, kryptering där det är motiverat och kontinuitetsplanering. Det handlar inte om att köpa en produkt, utan om att kunna visa att ni arbetar metodiskt och kan stå för era val.

Incidentrapportering

En av de mest kännbara nyheterna är skyldigheten att rapportera allvarliga incidenter inom snäva tidsramar — en första tidig varning mycket snabbt, följt av mer detaljerad rapportering. Det förutsätter att ni har en incidentrutin på plats innan det smäller. Vi har skrivit en praktisk genomgång av hur de första timmarna bör se ut i Incidenthantering inom 72 timmar.

Leverantörskedjans säkerhet

Ni ansvarar för säkerheten i hela er leverantörskedja. Konkret betyder det att ni måste ställa krav på era egna leverantörer — och vara beredda att svara på era kunders krav.

Ledningens ansvar

Ledningen ska godkänna säkerhetsåtgärderna och kan hållas ansvarig om arbetet försummas. Det gör cybersäkerhet till en stående punkt i styrelse- och ledningsarbetet, inte en delegerad teknikfråga.

Datumen som gäller under 2026

Tidslinjen är tajt, och flera datum har redan passerat:

  • 15 januari 2026 — cybersäkerhetslagen trädde i kraft.
  • 2 februari 2026 — föreskrifterna om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare började gälla.
  • 30 september 2026 — sista dag att registrera sig för de organisationer som omfattas.

Den 30 september är den deadline som bör stå i kalendern hos varje berört bolag just nu. Vi går igenom registreringen i detalj i en separat artikel — men huvudbudskapet är: vänta inte till september med att utreda om ni omfattas.

Vad det kostar att inte agera

Sanktionerna är medvetet kännbara. För väsentliga verksamhetsutövare kan administrativa sanktionsavgifter uppgå till det högsta av 10 miljoner euro eller 2 % av den globala årsomsättningen. För viktiga verksamhetsutövare ligger taket på 7 miljoner euro eller 1,4 % av omsättningen. Utöver det tillkommer det affärsmässiga priset: kunder som väljer bort leverantörer som inte kan visa att de uppfyller kraven.

Den dolda effekten: kundkraven

Här är poängen som gör NIS2 relevant även för bolag långt under storlekströsklarna. Företag som omfattas ansvarar för sin leverantörskedja, och de kommer att kräva säkerhetsbevis från sina leverantörer — via upphandlingar, säkerhetsklausuler i avtal och återkommande granskningar.

Resultatet: tusentals svenska SME-bolag som inte själva omfattas av lagen kommer ändå behöva visa en motsvarande säkerhetsnivå för att få fortsätta göra affärer med större kunder. Vi har beskrivit den här utvecklingen närmare i Kundkravens nya våg — för många mindre bolag är det här, inte lagtexten, som blir den verkliga drivkraften att agera.

Det betyder också att compliance inte bara är en kostnad. Den som kan svara snabbt och trovärdigt på kundernas säkerhetskrav vinner affärer som konkurrenter tappar. Vi utvecklar det resonemanget i Compliance som tillväxtmotor.

Så kommer ni igång — en pragmatisk ordning

Om ni börjar från noll, ta det i den här ordningen:

  1. Avgör om ni omfattas — direkt (storlek + sektor) eller indirekt (via kundkrav). Dokumentera bedömningen.
  2. Kartlägg nuläget — vilka säkerhetsåtgärder finns redan, var är luckorna?
  3. Etablera en incidentrutin — vem gör vad de första timmarna, och hur rapporterar ni i tid?
  4. Ställ krav i leverantörskedjan — och förbered svar på era kunders krav.
  5. Förankra i ledningen — gör cybersäkerhet till en stående punkt med tydligt ägarskap.

Inget av det här kräver ett stort, dyrt projekt för att börja. Det kräver ett strukturerat första steg.

Var Polaris kommer in

Polaris bygger en AI-driven compliance-plattform för svenska SME som gör just det här hanterbart — så att NIS2, GDPR och kundkrav blir något ni kan visa upp, inte något ni oroar er för. Plattformen lanseras under H2 2026.

Vill du veta var ni står idag? Gör vår Compliance Health Check — tio frågor, färgkodat resultat, och en första bild av era luckor. Och om ni vill vara med från start: Founding 50 ger de 50 första bolagen 50 % rabatt år ett, prislåst i tre år.

Den här artikeln är allmän vägledning, inte juridisk rådgivning. Hur cybersäkerhetslagen tillämpas beror på er specifika verksamhet — stäm av med er jurist eller behörig myndighet när det gäller er konkreta situation.

Pre-launch · Founding Members

Vill ni se hur Polaris kan hjälpa er med detta?

Vi söker 50 founding members som vill forma plattformen innan lansering. 50% rabatt år 1, prislåsning år 2 och 3 — ingen betalning innan det är live.

Bli Founding Member Gör Health Check först
Läs vidare

Fler insikter.

Alla insikter
NIS2 8 min

NIS2 för SME: när och hur berörs ni egentligen?

Den enkla guiden till om NIS2 träffar er — och vad ni behöver göra om så är fallet.

5 maj 2026 Läs
Allmänt 7 min

Compliance som tillväxtmotor – inte bromskloss

Varför ordning på dokumentationen kortar säljcykler och stärker upphandlingar.

15 april 2026 Läs
Informationssäkerhet 6 min

Incidenthantering på 72 timmar – ett mallflöde

En process som hjälper er agera när det räknas och dokumentera det som krävs.

2 april 2026 Läs