NIS2 / Cybersäkerhetslagen

Vilka företag omfattas av NIS2 i Sverige

Snabbfakta

Antal sektorer: 18 (Bilaga I + II)
Huvudregel storlek: Minst 50 anställda eller 10 MEUR omsättning
Storlek oavsett: Digital infrastruktur, betrodda tjänster
Beslutande: Sektormyndigheten enligt SFS 2025:1507
Registreringsplikt: Ja, från ikraftträdandet

Förklaring

Omfattningsbedömningen sker i två steg. Först kontrolleras om verksamheten driver tjänster eller produkter inom någon av de 18 sektorerna. Därefter prövas storlekströskeln baserat på senaste räkenskapsåret. Företag som ligger under tröskeln men driver kritisk samhällsfunktion kan ändå pekas ut av sektormyndigheten i enskilt beslut.

Koncerntillhörighet styr inte automatiskt. Varje juridisk person bedöms separat utifrån sin egen sektor och storlek, även när moderbolaget är omfattat. Dotterbolag som levererar IT-tjänster internt till en omfattad koncern kan dock klassas som leverantör i kedjan enligt Art. 21(2)(d) och därmed omfattas indirekt av kraven.

För verksamheter i flera sektorer gäller den högsta klassningen. Ett företag som både driver datacentertjänster (Bilaga I, väsentlig) och tillverkar elektronik (Bilaga II, viktig) klassas som väsentlig entitet och rapporterar enligt den högre regimen.

Vanlig förväxling

Storlek under tröskel betyder inte automatiskt undantag

Sektormyndigheten kan peka ut en enskild verksamhet under storlekströskeln om den driver kritisk samhällsfunktion. Det gäller bland annat enskilda dricksvattenproducenter, sjukvårdsenheter och kommunala IT-leverantörer. Beslut sker individuellt och kan överklagas till förvaltningsdomstol.

Vanliga frågor

01

Räknas dotterbolag separat från koncern?

Ja, varje juridisk person bedöms för sig utifrån sin egen sektor och storlek. Dotterbolag kan vara omfattat även när moderbolaget inte är det, och tvärtom. Anställda och omsättning räknas på bolagsnivå, inte konsoliderat.

02

Omfattas vår verksamhet om vi har 40 anställda?

Som huvudregel nej, eftersom tröskeln är minst 50 anställda eller 10 miljoner euro i omsättning. Undantag finns för digital infrastruktur, betrodda tjänster, registrerare av toppdomäner och vissa offentliga aktörer som omfattas oavsett storlek. Sektormyndigheten kan dessutom peka ut enskild verksamhet under tröskel.

03

Måste vi själva registrera oss eller blir vi automatiskt registrerade?

Registreringsplikten ligger på entiteten. Anmälan sker till sektormyndigheten med uppgifter om verksamhet, kontaktpersoner och tjänster som omfattas. Underlåten registrering är en självständig överträdelse som kan föranleda sanktionsavgift även om övriga krav är uppfyllda.

04

Vad händer om vi är osäkra på vår klassificering?

Gör en strukturerad omfattningsbedömning utifrån sektor och storlek. Vid kvarstående osäkerhet kontaktas sektormyndigheten för förhandsbesked. Plattformen kör en automatisk klassning baserat på SNI-koder, anställda, omsättning och tjänsteutbud, och flaggar fall där manuell granskning krävs.

05

Kan en utländsk verksamhet utan svenskt dotterbolag omfattas?

Ja, om tjänsten levereras till svenska kunder och faller inom en av de 18 sektorerna. För digital infrastruktur och tjänsteleverantörer används huvudkontor i EU som primär jurisdiktion. Utländska entiteter ska utse representant i Sverige för tillsynsändamål.

Få det här hanterat åt er

CyberKlar Always-On bevakar regelverk, uppdaterar kontroller och levererar styrelse-PDF inom 72 timmar efter varje förändring. Sprinten levererar audit-ready-dokumentation på 60 dagar med pengar tillbaka-garanti.

Starta Sprint NIS2 Officer Always-On

Läs vidare