Omfattas verksamheten av NIS2

Många fler organisationer kommer att omfattas av NIS2 än av den tidigare NIS-regleringen. Den som omfattas av NIS2 kallas verksamhetsutövare. Verksamhetsutövarna finns i 18 olika sektorer, som bedriver någon av de specificerade verksamheterna. På den här sidan finns information om hur organisationer kan bedöma om verksamheten som omfattas eller inte.

Övergripande information

Informationen på sidan är övergripande. Mer information om verksamheters omfattning har vi först när den svenska regleringen är färdig. Vi uppdaterar innehållet löpande.

Vilka omfattas av NIS2?

Organisationen behöver själv bedöma om den omfattas av den kommande Cybersäkerhetslagen. Underlag för bedömningen finns i propositionen 2025/26:28 där kapitel 5.3-5.4 behandlar vilka som omfattas och EU-direktivets Bilaga 1 och 2.

Proposition: Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag

EU-direktivetOrganisationer omfattas som juridiska personer. Organisationsnummer utgör en sådan person.

Identifiering och analys av omfattning

För att omfattas av NIS2 måste tre aspekter uppfyllas. Aspekterna kan ses som en trappa. Det vill säga uppfyller organisationen det första steget så kan man gå vidare att titta på nästa.

  1. Typ av verksamhet
  2. Storlek
  3. Jurisdiktion

Typ av verksamhet

NIS2 omfattar verksamhet inom följande 18 sektorer:

  • Energi
  • Transporter
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvård
  • Dricksvatten
  • Avloppsvatten
  • Digital infrastruktur
  • Förvaltning av IKT-tjänster (mellan företag)
  • Offentlig förvaltning
  • Rymden
  • Post- och budtjänster
  • Avfallshantering
  • Tillverkning, produktion och distribution av kemikalier
  • Produktion, bearbetning och distribution av livsmedel
  • Tillverkning
    • Tillverkning, produktion och distribution av kemikalier
    • Produktion, bearbetning och distribution av livsmedel
    • Tillverkning av medicintekniska pro­ dukter och medicintekniska produkter för in vitro-diagnostik
    • Tillverkning av datorer, elektronikvaror och optik (SNI C26)
    • Tillverkning av elapparatur (SNI C27)
    • Tillverkning av övriga maskiner (SNI C28)
    • Tillverkning av motorfordon, släpfor­ don och påhängsvagnar (SNI C29)
    • Tillverkning av andra transportmedel (SNI C30)
  • Digitala leverantörer
  • Forskning

I varje sektor finns ett antal typer av entiteter/typer av verksamhetsutövare. I svensk lagstiftning används begreppet ”verksamhetsutövare”, och i NIS2-direktivet används begreppet ”entitet”. ”Verksamhetsutövare” och ”entitet” är synonymer i detta sammanhang.

Sektorerna, delsektorerna och typ av verksamhetsutövare återfinns i Bilaga 1 och Bilaga 2. Ni omfattas av regelverket om ni utgör en sådan typ av verksamhetsutövare som räknas upp i kolumn 3 i någon av bilagorna.

Bilaga 1 Högkritiska sektorer i direktivet på EU:s webbplats

Bilaga 2 Andra kritiska sektorer i direktivet på EU:s webbplats

Storleksbedömning

Storleksbedömningen görs utifrån antalet anställda eller omsättning. Det finns verksamhetsutövare som omfattas oavsett storlek då dessa har en särskild betydelse för samhället, dessa återfinns i Bilaga 1. Medelstora och stora företag omfattas av NIS2 om verksamhetens sektor återfinns i Bilaga 1 eller 2. Små och mikroföretag omfattas som huvudregel inte av NIS2, men det finns alltså undantag till denna regel.

För att räkna ut er verksamhets storlek måste ni beakta anknutna företag och partnerföretag. Det kan t.ex. ha att göra med om ni tillhör en koncern, eller om det finns förbindelse mellan ert företag och ett annat. Det finns flera aspekter ni måste beakta för att konstatera om ni anses ha anknutna företag eller partnerföretag, och om ni når upp till storlekskraven, och vi rekommenderar att ni tar hjälp av EU:s användarhandledning om definitionen av SMF-företag för denna bedömning.

Användarhandledning om definitionen av SMF-företag - Publications Office of the EU

Jurisdiktion

Vissa organisationer kan ha verksamheter i flera länder och då behöver man avgöra vilken lagstiftning som gäller. I NIS2 finns det fyra jurisdiktionsregler.

  1. Huvudregel: i det land där verksamheten är etablerad.
  2. Undantag: i det land där verksamheten tillhandahåller sina tjänster.
  3. Undantag: i det land där verksamheten har sitt huvudsakliga etableringsställe.
  4. Undantag (för offentliga förvaltningsenheter) : i den medlemsstat som inrättat den.

Mer information om detta finner du i NIS2 webbinariet ”Omfattning eller omfamning?”. (Läggs upp inom kort).

Väsentliga och viktiga verksamhetsutövare

När man som organisation identifierat att man omfattas av NIS2 behöver man även analysera om man omfattas i kategorin väsentlig eller viktig. För det finns två kategorier av verksamhetsutövare – väsentliga och viktiga. Kraven som ställs på verksamheten är i stort sett desamma, men reglerna för tillsyn och sanktioner skiljer sig åt.

Det är främst storleken på organisationen avgör om verksamhetsutövaren är väsentlig eller viktig, men även i vilken bilaga som typen av verksamhetsutövare återfinns (bilaga 1 eller bilaga 2).

Återfinns typen av verksamhetsutövare i bilaga 2 och är ett stort eller medelstort företag ses verksamhetsutövaren som viktig. Återfinns typen av verksamhetsutövare i bilaga 1 och är ett medelstort företag ses verksamhetsutövaren som viktig, men är verksamheten ett stort företag så ses verksamhetsutövaren som väsentlig

Det finns dock undantag för sektorn Digital infrastruktur och sektorn Offentlig förvaltning.

Det som skiljer sig mellan viktiga och väsentliga verksamheter är tillsynen och sanktionsavgifterna. För viktiga verksamhetsutövare är tillsynen händelsestyrd, det vill säga kan endast ske när tillsynsmyndigheten har anledning att anta att verksamhetsutövaren inte följer reglerna i cybersäkerhetslagen. Det kan t.ex. bli aktuellt efter en inträffad incident. För väsentliga verksamhetsutövare är tillsynen planlagd, och sanktionsavgifterna har ett högre maxtak än för viktiga.

Omfattas myndigheter, regioner och kommuner?

Statliga myndigheter omfattas av NIS2 om de har befogenhet att fatta beslut som påverkar fysiska eller juridiska personers rättigheter när det gäller gränsöverskridande rörlighet för personer, varor, tjänster eller kapital. Den kommande Cybersäkerhetslagen kommer även att gälla för de myndigheter som regeringen bestämmer även om inte kraven i 1 kap. 3-7 §§ är uppfyllda.

Regioner, kommuner och kommunalförbund omfattas oavsett storlek, under sektorn offentlig förvaltning. Sådana organisationer kan även ha annan verksamhet enligt Bilagorna 1 och 2, vilket kan innebära att de kan omfattas enligt flera sektorer, eventuellt med flera olika tillsynsmyndigheter.

CER

Verksamheter som omfattas av CER-direktivet omfattas per automatik även av NIS2. Mer information om detta kommer.

Här finner du mer information om CER-direktivet

Levererar organisationen tjänster eller produkter till en verksamhetsutövare som omfattas av NIS2?

Även om er organisation inte kommer att omfattas av den kommande Cybersäkerhetslagen, kan det vara en god idé att se över de krav på cybersäkerhet som ställs i den kommande lagen. Det ger er bättre förutsättningar att förstå vilka krav som kan komma att ställas på er som leverantör eller samarbetspartner till verksamheter som omfattas.

Tillsynsmyndigheternas information om omfattning

På tillsynsmyndigheternas hemsidor finns mer information för respektive sektor.

Statens energimyndighet

Statens energimyndighet är föreslagen att vara tillsynsmyndighet för sektorn energi.

Statens energimyndighets vägledning om NIS2 (Cybersäkerhetslagen)

Transportstyrelsen

Transportstyrelsen är föreslagen att vara tillsynsmyndighet för sektorerna:

  • Transporter
  • Tillverkning av motorfordon, släpfordon, påhängsvagnar och andra transportmedel

Transportstyrelsens information om NIS2

Finansinspektionen

Finansinspektionen är föreslagen att vara tillsynsmyndighet för sektorerna:

  • Bankverksamhet
  • Finansmarknadsinfrastruktur

Finansinspektionens information om NIS2

Inspektionen för vård och omsorg

Inspektionen för vård och omsorg är föreslagen att vara tillsynsmyndighet för sektorn vårdgivare i Hälso- och sjukvårdssektorn.

Inspektionen för vård och omsorgs information om NIS2

Läkemedelsverket

Läkemedelsverket är föreslagen att vara tillsynsmyndighet för sektorerna:

  • Hälso- och sjukvårdssektorn, med undantag för vårdgivare
  • Tillverkning av medicintekniska produkter och medicintekniska produkter för in vitro diagnostik

Livsmedelsverket

Livsmedelsverket är föreslagen att vara tillsynsmyndighet för sektorerna:

  • Avloppsvatten
  • Dricksvatten
  • Produktion, bearbetning och distribution
    av livsmedel

Livsmedelsverkets information om NIS2

Post och telestyrelsen

Post och telestyrelsen (PTS) är föreslagen att vara tillsynsmyndighet för sektorerna:

  • Digital infrastruktur
  • Förvaltning av IKT-tjänster (mellan företag)
  • Rymden
  • Post- och budtjänster
  • Digitala leverantörer

PTS e-tjänst ” Omfattas vi av CSL?”

Länsstyrelserna i Norrbottens, Skåne, Stockholms och Västra Götalands län

Länsstyrelserna är föreslagna att vara tillsynsmyndighet för sektorerna:

  • Avfallshantering
  • Forskning
  • Lärosäten med examenstillstånd
  • Offentlig förvaltning
  • Tillverkning, produktion och distribution av kemikalier
  • Tillverkning av datorer, elektronikvaror och optik
  • Tillverkning av elapparatur
  • Tillverkning av övriga maskiner

Fler länsstyrelser kan tillkomma.

Mer information om Tillsyn och sanktioner finns på NIS2 för berörda verksamheter

Saknar du svar på om din organisation omfattas?

Kriterierna för vad som gäller i Sverige kommer att anges i lag, förordning och föreskrifter. Dessa är inte fastställda ännu. Det går att få en bild om verksamheten omfattas genom att läsa regeringens proposition, samt bilaga 1 och 2 i direktivet.

Det finns dock verksamheter som kan komma att omfattas eller där det inte ännu finns en tydlig bild hur de kommer att omfattas av den kommande Cybersäkerhetslagen. Detta kommer att förtydligas när lagen träder i kraft och förordning, föreskrifter och vägledning blir tillgängliga.

Senast granskad: 18 november 2025

Till toppen av sidan