NIS2 krav industriföretag — vad lagen kräver 2026

Den 15 januari 2026 trädde Cybersäkerhetslagen (SFS 2025) i kraft i Sverige. Lagen implementerar EU:s NIS2-direktiv (EU) 2022/2555 i svensk rätt. Fristen för EU-länder att transponera direktivet var 17 oktober 2024 — Sverige var sent. Lagen gäller nu. NIS2 krav industriföretag är inte längre en framtidsfråga.

Varje VD, HR-chef och produktionschef på ett tillverkande företag med 50 eller fler anställda behöver förstå vad lagen ställer för krav — inte i principiella termer utan i konkreta åtgärder, dokumentationskrav och ansvarsfrågor.

Det är inte en IT-fråga. Det är en ledningsfråga.

Vad är NIS2 och varför gäller det nu?

NIS2 ersätter NIS1 (direktiv 2016/1148). Den tidigare versionen träffade ett fåtal sektorer — energi, transport, vatten, digital infrastruktur — och lämnade tillverkningsindustrin i princip utanför. NIS2 ändrar det fundamentalt.

Direktivet (EU) 2022/2555 antogs av Europaparlamentet och rådet den 14 december 2022. Det definierar ett enhetligt regelverk för cyberresiliens inom EU och utvidgar tillämpningsområdet till 18 sektorer. Tillverkning inkluderas som viktig sektor i bilaga II. Det är ett medvetet val av EU: ransomware-attacker mot fabriksproduktion ökade med 87 procent mellan 2020 och 2022 enligt ENISA:s hotbedömning.

Sverige valde en sen transponering. Riksdagen antog Cybersäkerhetslagen 2025. Myndigheten för civilt försvar (MCF) är från 1 januari 2026 primär tillsynsmyndighet för NIS2 i Sverige och har publicerat vägledning för implementering tillgänglig på mcf.se. Vägledningen preciserar kraven i svensk kontext och ger operativ vägledning för entiteter som träffas av lagen.

Tre strukturella skillnader mot NIS1 är värda att markera direkt.

Första: ledningsansvar är explicit. Styrelseledamöter och VD kan hållas personligt ansvariga för bristande implementering enligt Cybersäkerhetslagen 6 kap 1 §, i linje med NIS2-direktivet artikel 20. Det är ett brott med den tidigare logiken att compliance är en IT-avdelnings angelägenhet.

Andra: leverantörskedjor ingår. Det räcker inte att säkra den egna operationen. Ni måste kartlägga och bedöma cybersäkerhetsrisker hos era kritiska leverantörer och ställa krav nedåt i kedjan.

Tredje: rapporteringsfristerna är hårdare. Allvarliga incidenter ska rapporteras till MCF inom 24 timmar (tidig varning) och kompletteras med fullständig incidentrapport inom 72 timmar. Slutrapport ska lämnas inom en månad.

Vilka tillverkande företag träffas — och var går trösklarna?

Kategoriseringen avgör vilka krav som gäller och vilken tillsynsnivå som tillämpas.

Tröskeln för viktig entitet är: 50 eller fler anställda ELLER en omsättning som överstiger 10 miljoner euro per år. Storlekskriteriet bedöms enligt EU:s definition av medelstora företag (EU-rekommendation 2003/361/EG) baserat på tvåårigt genomsnitt — inte enstaka månadstal.

Tröskeln för väsentlig entitet är: 250 eller fler anställda OCH en omsättning som överstiger 50 miljoner euro per år, alternativt en balansomslutning på mer än 43 miljoner euro.

I praktiken innebär detta tre typfall:

• Ett gjuteri med 80 anställda och 80 MSEK omsättning är en viktig entitet — fullt skyldig under NIS2.
• En komponenttillverkare med 350 anställda och 200 MSEK omsättning är en väsentlig entitet — strängare krav och skärpt tillsyn.
• En underleverantör med 30 anställda och 8 MEUR omsättning faller utanför lagens direkta räckvidd — men kan ändå beröras indirekt. Kunder som klassas som väsentliga entiteter är skyldiga att ställa säkerhetskrav på sina leverantörer. Det innebär att ett litet pressgjuteri kan få avtalskrav från sin kund även utan att själv träffas av lagen.

Uppskattningsvis 4 500 till 5 000 svenska tillverkande företag träffas av NIS2 som viktig eller väsentlig entitet, baserat på Tillväxtverkets företagsstatistik och NIS2-direktivets storlekskriterier. Det är en kraftig utvidgning mot NIS1 som berörde under 100 organisationer i Sverige.

Konkret: vilka tekniska och organisatoriska krav ställs?

NIS2-direktivet artikel 21 definierar tio obligatoriska åtgärdsområden. Cybersäkerhetslagen 4 kap implementerar dessa i svensk rätt. Nedan behandlas de fem som skapar mest operativt arbete för tillverkande SME.

Riskanalys och informationssäkerhetspolicys

En dokumenterad riskanalys ska täcka er OT-miljö (Operational Technology) — produktionsutrustning, PLC-system, SCADA och industriella nätverk — inte bara kontors-IT. Riskanalysen är ett levande dokument: den ska uppdateras regelbundet, godkännas av ledningen och vara spårbar. "Vi vet att det finns risker" är inte en riskanalys i lagens mening.

MCF:s vägledning rekommenderar att riskanalys genomförs minst en gång per år och vid väsentliga förändringar i verksamheten eller systemlandskapet.

Incidenthantering

Dokumenterade och testade procedurer ska finnas för att identifiera, klassificera, hantera och rapportera cybersäkerhetsincidenter. Rapporteringsskyldigheten till MCF gäller incidenter som "avsevärt påverkar tillhandahållandet av tjänster" — ett begrepp som i tillverkning konkret kan innebära produktionsstopp orsakade av ransomware, sabotage mot OT-system eller dataintrång i affärskritiska system.

24-timmarsregeln för tidig varning är inte frivillig. Företag som saknar en utsedd incidentresponsansvarig och dokumenterade eskaleringsvägar kommer att ha praktiska svårigheter att leva upp till kravet.

Kontinuitet, backup och krishantering

Lagen kräver att verksamheten hanterar driftskontinuitet — inklusive backup-rutiner, återställningsplaner och krishanteringsprocedurer. För en tillverkare innebär det konkret att ha dokumenterade planer för hur produktion kan återupptas efter ett IT- eller OT-haveri. Det ska vara testat, inte teoretiskt.

ENISA:s Threat Landscape 2023 visar att medelåterhämtningstiden vid ransomware mot industriell OT-miljö uppgår till 17 dagar utan förberedda återställningsrutiner. Med förberedda rutiner reduceras den till under 4 dagar. Det är ett direkt produktionsbortfall i kronor räknat — inte ett abstrakt risktal.

Leverantörskedjekontroll

Detta är det område som flest tillverkare underskattar. Artikel 21.2 (d) kräver att ni bedömer säkerheten i era leverantörsrelationer och ställer krav nedåt i kedjan. I praktiken innebär det:

• Kartlägg vilka IT- och OT-leverantörer ni är kritiskt beroende av.
• Genomför säkerhetsbedömningar av dessa leverantörer — eller kräv att de demonstrerar efterlevnad via certifieringar eller självdeklarationer.
• Inkludera cybersäkerhetskrav och rätt till revision i nya och reviderade leverantörsavtal.

Om ni är underleverantör till ett företag som klassas som väsentlig entitet, kommer de att ställa sådana krav på er. Det är en affärsrisk utöver den regulatoriska.

Behörighetskontroll och åtkomstsäkerhet

Åtkomstkontroll till kritiska system — produktionsnätverk, HR-system med personuppgifter, ERP — måste vara dokumenterad och principbaserad. MCF:s vägledning refererar principen om minsta privilegium: ingen användare ska ha mer åtkomst än vad arbetsuppgiften faktiskt kräver.

Det gäller även externa konsulter, underhållstekniker och leverantörer med tillfällig nätverksåtkomst. Okontrollerad fjärråtkomst via VPN utan tidsbegränsning eller loggning är den vanligaste attackvektorn mot industriell OT-miljö, enligt ENISA:s sektorsanalys för tillverkning 2023.

Vad händer vid bristande efterlevnad?

Cybersäkerhetslagen 9 kap reglerar sanktioner. MCF kan utfärda sanktionsavgifter i linje med direktivets minimikrav:

• Väsentliga entiteter: sanktionsavgift upp till 10 miljoner euro eller 2 procent av föregående räkenskapsårs globala omsättning — det belopp som är högst gäller.
• Viktiga entiteter: sanktionsavgift upp till 7 miljoner euro eller 1,4 procent av global omsättning.

För ett familjeägt industriföretag med 150 MSEK omsättning som klassas som viktig entitet innebär 1,4 procent en potentiell sanktionsavgift på drygt 2 MSEK. Det är inte ett abstrakt tal — det belastar eget kapital direkt.

Utöver böter kan MCF utfärda förelägganden, kräva oberoende revisioner och — i allvarliga fall — tillfälligt förbjuda nyckelpersoner från att utföra ledningsfunktioner. Den sista åtgärden är ny jämfört med NIS1. Den träffar VD och styrelseledamöter personligt.

Tillsyn initieras antingen proaktivt av MCF eller reaktivt efter rapporterad incident. Reaktiv tillsyn innebär att MCF bedömer om korrekt förebyggande arbete faktiskt genomfördes — inte om ni hade för avsikt att göra det.

De vanligaste bristerna hos svenska industriföretag idag

MCF:s tillsynsrapporter och ENISA:s observationer från tillverkningssektorn pekar på ett konsekvent mönster. Följande brister är systematiskt förekommande:

Ingen dokumenterad riskanalys för OT-miljö. IT-säkerhet tas på allvar. Produktionsnätverket behandlas fortfarande som "inte uppkopplat" — trots att det ofta är det. Riskanalysen täcker servrar och kontorsdatorer men inte PLC, HMI eller industriella nätverkskomponenter.

Avsaknad av testade incidentrutiner. Många företag har en muntlig förståelse för vad som ska göras vid en incident. Det räcker inte. Lagen kräver dokumenterade, testade och spårbara procedurer — inte en uppfattning i ledningsgruppen.

Leverantörer saknar säkerhetskrav i avtal. Generella serviceavtal innehåller ingen paragraf om informationssäkerhetskrav, rapporteringsskyldigheter vid incidenter eller rätt till revision. Det är ett kontraktuellt hål som exponerar beställaren legalt.

Behörighetskartläggning saknas eller är inaktuell. Anställda som slutat har kvar systemåtkomst. Konsulter har bredare rättigheter än uppdraget kräver. Ingen regelbunden genomgång av aktiva behörigheter genomförs.

Ledningens engagemang är delegerat utan struktur. NIS2 kräver att ledningen aktivt styr och formellt godkänner säkerhetsåtgärder. "IT-chefen hanterar det" är inte en giltig position — varken legalt eller operativt.

Åtgärdschecklista: 8 steg en HR- eller QA-chef kan ta direkt

Dessa åtgärder kräver inte extern konsult i det första steget. De kräver mandat, struktur och avsatt tid.

• Fastställ om ni träffas av lagen. Räkna anställda och kontrollera omsättning mot trösklarna. Dokumentera bedömningen, datum och vem som ansvarar för NIS2-efterlevnad i er organisation. Anmälan av er som verksamhetsutövare sker till MCF.
• Utse en NIS2-ansvarig. Det behöver inte vara en ny tjänst. Det ska vara en namngiven person med mandat att eskalera till VD och styrelse — och med tid avsatt för uppgiften.
• Inventera kritiska system. Lista vilka IT- och OT-system som är affärskritiska: ERP, MES, produktionsnätverk, HR-system, externa uppkopplingar. Ange för varje system: ägare, tillgänglighetsgrad och nuvarande säkerhetsstatus.
• Genomför en dokumenterad riskanalys. Utgå från MCF:s mall tillgänglig på mcf.se. Prioritera OT-miljön om ni har produktionsutrustning med nätverksanslutning. Säkerställ att analysen godkänns och signeras av VD eller styrelse.
• Upprätta incidentrutiner. Definiera: vad klassas som en rapporteringspliktig incident? Vem beslutar om rapportering? Vem kontaktar MCF och inom vilken tid? Hur dokumenteras händelseförloppet? Testa rutinen i en bordövning — minst en gång per år.
• Granska leverantörsavtal. Identifiera de fem mest kritiska IT/OT-leverantörerna. Kontrollera om avtalen innehåller krav på informationssäkerhet och incidentrapportering. Om inte — inled omförhandling vid nästa avtalstillfälle.
• Genomför en behörighetsrevision. Gå igenom aktiva konton i era system. Inaktivera konton för tidigare anställda och konsulter vars uppdrag avslutats. Dokumentera proceduren och genomför revisionen med regelbundet intervall — minst halvårsvis.
• Informera styrelsen. Presentera en kortfattad NIS2-statusbedömning. Lagen ställer krav på att ledningen är informerad och aktivt godkänner säkerhetsåtgärder. Protokollför diskussionen — det skapar dokumentation av att styrelsen fullgjort sin skyldighet.

Vad en plattform bör hantera åt dig

En stor del av NIS2-efterlevnad handlar om dokumentation, spårbarhet och processevidens. Det är arbete som i dagsläget görs manuellt — i kalkylblad, e-post och mappar på delade servrar. Det skapar tre problem: versioner divergerar, ansvarskedjor försvinner, och vid en MCF-revision finns ingenting att visa upp som faktisk evidens.

En digital plattform för compliance och operativ HR bör hantera följande automatiskt:

Dokumenterad behörighetshistorik. Vem hade åtkomst till vilket system, från vilket datum till vilket datum. Med spårbar logg — inte rekonstruerat i efterhand inför en revision.

Kompetens- och utbildningsstatus kopplat till roller. NIS2 kräver att personal med säkerhetsrelevanta roller har adekvat utbildning. En plattform ska kunna visa att en specifik medarbetare genomförde en specifik utbildning ett specifikt datum, och flagga automatiskt när certifieringar eller behörigheter löper ut.

Leverantörsdokumentation och avtalsspårning. Aktiva avtal, säkerhetskrav per leverantör och påminnelsesystem för omförhandlingsdatum. Inte en mapp på en server — ett styrbart register med ansvarig, datum och status.

Incidentlogg med tidsstämplar. Varje avvikelse, säkerhetshändelse eller potentiell incident ska loggas med datum, beskrivning, vidtagen åtgärd och ansvarig person. En MCF-revision kräver att ni kan visa spårbarhet — inte bara försäkra att ni hanterade det.

Riskanalys med versionskontroll. Riskanalysen är ett levande dokument under NIS2. En plattform ska hantera versioner, godkännandeflöden och automatiska påminnelser om obligatorisk uppdatering.

Automatisk uppföljningsstruktur. Tidsfrister för incidentrapportering, förnyade riskanalyser och leverantörsbedömningar ska trigga notifikationer — inte bero på att rätt person råkar komma ihåg vid rätt tillfälle.

Tillsynsmyndigheten begär inte avsiktsförklaringar. Den begär evidens. Evidens skapas av system med spårbarhet inbyggd — inte av goda avsikter dokumenterade i efterhand.