10 MEUR eller 2 % av global omsättning
Taket för väsentliga entiteter, det högre av beloppen. Sanktioner utdöms per överträdelse av artikel 21 eller 23. Viktiga entiteter riskerar upp till 7 MEUR eller 1,4 %.
NIS2 omfattar energi, transport, hälsa, digital infrastruktur, tillverkning, offentlig förvaltning och alla IT-leverantörer till dem. Styrelsen bär nu personligt ansvar om det går fel.
Från incidenthantering och säkerhet i leverantörskedjan till utbildning av styrelsen. Varje åtgärd ska dokumenteras.
Utan detektering dygnet runt missar ni fönstret. Klockan startar vid kännedom, inte när utredningen är klar.
Ledamöter kan tillfälligt förbjudas att inneha ledande befattningar vid bristande efterlevnad.
Anlitade av 100+ svenska kommuner, regioner och
EU-reglerade företag sedan 2002








Sveriges tillsynsmyndighet MCF (tidigare MSB) har aktiva tillsynsbefogenheter sedan 15 januari 2026. Granskningarna pågår redan.
Taket för väsentliga entiteter, det högre av beloppen. Sanktioner utdöms per överträdelse av artikel 21 eller 23. Viktiga entiteter riskerar upp till 7 MEUR eller 1,4 %.
Klockan startar vid kännedom. Tidig varning inom 24 timmar, anmälan inom 72 och slutrapport inom en månad.
Styrelser i väsentliga entiteter kan tillfälligt förbjudas att inneha ledande befattningar; styrelser i viktiga entiteter möter i stället bindande förelägganden och offentliggörande.
Sanktionen är bara en del av kostnaden. Återställning, driftstopp, juridik och skadat förtroende kostar oftast mer än sanktionen i sig. IBM Cost of a Data Breach Report 2025.
Utan aktiv övervakning dygnet runt upptäcker de flesta organisationer intrång månader efter att de skett, långt efter att 24-timmarsfristen löpt ut. IBM Cost of a Data Breach Report 2025.
Tre av fyra organisationer uppger att efterlevnad av NIS2 ger en konkurrensfördel och vinner avtal och upphandlingar som konkurrenter utan efterlevnad förlorar. CyberSmart NIS2 Research 2026.
Läs igenom punkterna. Stämmer tre eller fler in på er i dag har ni väsentliga brister som tillsynsmyndigheten kan agera på redan nu.
Er senaste säkerhetsincident upptäcktes via ett kundklagomål, en extern anmälan eller av en slump, inte av er egen övervakning.
Artikel 21(2)(b) kräver aktiv detekteringsförmåga. Upptäcker ni först i efterhand är 24-timmarsfönstret redan borta innan ni börjar räkna.
Ni har en lista över era IT-leverantörer. Ni har inga dokumenterade säkerhetsbedömningar kopplade till var och en.
Artikel 21(2)(d) kräver att varje relation med en extern ICT-leverantör bedöms, dokumenteras och hålls aktuell. Ett kalkylblad med leverantörsnamn räcker inte.
Er styrelse har inte genomfört någon utbildning i cybersäkerhet, eller så saknas dokumentation på att den gjort det.
Artikel 20 lägger utbildningsplikten på varje ledamot personligen. Att vidarebefordra en policy räknas inte. Genomförandet ska dokumenteras och kunna bevisas.
Ni vet inte säkert om ni klassas som väsentlig eller viktig entitet.
Klassningen avgör ert sanktionstak, er tillsynsmodell och vilka krav som gäller. Utan den kan ni inte veta hur ni ligger till.
Ni har firewall och antivirus. Ni har ingen dokumenterad plan för incidenthantering som täcker rapporteringskedjan i artikel 23.
Säkerhetsverktyg är inte samma sak som en testad process som producerar de anmälningar och underlag som myndigheten förväntar sig få in.
Varje krav i artikel 21, och tjänsten från eBuilder Security som uppfyller det direkt.
Dokumenterade policyer för riskbedömning, granskade regelbundet och bevisligen verksamma.
Aktiv detektering. Tidig varning inom 24 timmar, full rapport inom 72 timmar, slutrapport inom en månad.
Backuphantering, planer för katastrofåterställning och dokumenterad krishantering.
Bedömning av varje extern ICT-leverantör, dokumenterad och hållen aktuell.
Säkerhet inbyggd i upphandling, utveckling och förvaltning.
Regelbunden test och granskning av hur säkerhetsåtgärderna fungerar. Tillsynen granskar det här först.
Ett återkommande program för alla anställda. En engångsintroduktion uppfyller inte kravet.
Policyer för kryptografi, åtkomstkontroll och personalsäkerhet, en aktuell tillgångsförteckning och MFA där det behövs.
Styrelsen godkänner, följer upp och genomför egen utbildning om åtgärder mot cyberrisk. Ansvaret gäller och går inte att delegera.
Kartlägger ert nuläge mot alla tio kontroller i artikel 21. Tar cirka 20 minuter. Resultatet går direkt till styrelsen.
Utan förpliktelser · data inom EU · resultatet gås igenom på 30 minuter.
Se var du står i förhållande till Artiklarna 20 och 21, bedömt på klarspråk. Resultatet är styrelseklart och speglar aktuell MCF-vägledning.
Ingen spam. EU-dataresidens.
Vi är inget globalt bolag som anpassat generiskt material för Sverige. Cybersäkerhetslagen, tillsynen från MCF (tidigare MSB) och kraven i svensk offentlig sektor är det vi bygger våra tjänster kring.
Se hela täckningen av artikel 21Analytiker som följer varje signal, varje minut, dygnet runt. Loggarna stannar i Sverige.
Branschens svarstider ligger i snitt på 1–24 timmar. Vi mäter våra i minuter och eskalerar hot snabbt nog för att göra skillnad.
Signerat på måndag. MDR live på torsdag. Complorer utrullat på onsdag.
Cybersäkerhet inom eBuilder, ett svenskt mjukvarubolag för företag som verkat sedan 2002.
Oberoende granskade och certifierade mot ISO 27001 för informationssäkerhet i vårt SOC.
Alla tjänster mappade mot riskåtgärderna i NIS2 artikel 21.
Övervakning med analytiker, säker datahantering och infrastruktur i linje med kraven i GDPR och Schrems II.
Frågor som en styrelse eller IT-chef faktiskt ställer inför NIS2, besvarade på två till tre meningar.
Cybersäkerhetslagen är den svenska lag som genomför EU:s NIS2-direktiv i nationell rätt och gäller sedan 15 januari 2026. NIS2 sätter ramen på EU-nivå; den svenska lagen anger hur tillsyn och sanktioner fungerar i Sverige, med MCF (tidigare MSB) som primär tillsynsmyndighet.
Möjligen. Trösklar gäller: väsentliga entiteter har 250+ anställda eller 50+ MEUR i omsättning, viktiga entiteter 50+ anställda eller 10+ MEUR. Tillsynsmyndigheten kan ändå peka ut mindre organisationer om de fyller en kritisk funktion. Utgå inte från att storleken friar er utan att först stämma av vilken funktion er organisation fyller. Gapanalysen avgör om ni omfattas.
Ja. Levererar ni ICT-tjänster till en entitet som omfattas kan ni pekas ut som viktig entitet enligt kraven på leverantörskedjan i artikel 21(2)(d). Er kommunkund måste bedöma och dokumentera varje leverantörsrelation, även er. Så hamnar de flesta IT-leverantörer inom NIS2 utan att först ha förstått det.
Väsentliga och viktiga entiteter ska själva registrera sig hos MCF (tidigare MSB) enligt Cybersäkerhetslagen. Registreringen kräver er klassning, er sektor och vilka tjänster ni levererar inom lagens ram. eBuilders CISO-rådgivning tar er genom processen, inklusive den årliga rapporteringen.
ISO 27001 täcker ungefär 70–80 % av kraven i NIS2 artikel 21, den starkaste grund ni kan ha. NIS2 lägger till krav som ISO 27001 inte uttryckligen ställer: incidentrapportering inom 24 timmar, specifik dokumentation av leverantörskedjan och obligatorisk styrelseutbildning enligt artikel 20. En riktad gapanalys visar exakt vad som återstår. För ISO 27001-certifierade organisationer tar gapanalysen oftast en vecka att gå igenom.
Sen eller utebliven incidentrapportering är i sig en brist som kan sanktioneras separat, oberoende av själva incidenten. Artikel 21(2)(b) kräver tidig varning inom 24 timmar, anmälan inom 72 timmar och slutrapport inom en månad. eBuilders SOC tar fram det underlag som krävs för alla tre tidsgränserna.
Tre saker: godkänna åtgärderna för hantering av cyberrisk, inte bara bli informerad om dem; följa upp genomförandet löpande; och personligen genomföra utbildning i cybersäkerhet. Utbildningsplikten är individuell och går inte att delegera. Ledamöter som inte kan visa upp intyg kan inte trovärdigt hävda att de uppfyllt sina skyldigheter enligt artikel 20.
Artikel 21(2)(d) kräver att varje relation med en extern ICT-leverantör riskbedöms, dokumenteras och hålls aktuell: cloud-leverantörer, mjukvaruleverantörer, driftpartner och alla med åtkomst till ert nät eller era data. Avtalen ska innehålla säkerhetskrav, skyldighet att anmäla incidenter och rätt till granskning. eBuilders CISO-rådgivning bygger och underhåller det leverantörsregistret.
Ja, men sanktionen skiljer sig åt mellan entitetstyperna. Enligt artikel 20 ansvarar ledningsorganen i både väsentliga och viktiga entiteter direkt för att godkänna och följa upp åtgärderna mot cyberrisk. För just väsentliga entiteter kan nationella myndigheter besluta om tillfälligt förbud för enskilda att inneha ledande befattningar (art. 32.5); viktiga entiteter möter i stället bindande förelägganden och offentliggörande av överträdelsen. Ledamöter som inte fått utbildning kan inte trovärdigt visa att de uppfyllt sina skyldigheter enligt artikel 20, oavsett entitetstyp.
Väsentliga entiteter står under förhandstillsyn: MCF kan granska innan någon incident inträffat. Sanktionstak upp till 10 MEUR eller 2 % av global årsomsättning. Viktiga entiteter står under efterhandstillsyn, som utlöses efter en anmäld incident. Sanktionstak upp till 7 MEUR eller 1,4 % av global årsomsättning. Båda typerna måste uppfylla alla tio kraven i artikel 21.
Ja. Tillsynsbefogenheterna aktiverades när Cybersäkerhetslagen trädde i kraft 15 januari 2026. MCF (tidigare MSB) kan granska väsentliga entiteter i förväg och viktiga entiteter i efterhand, utlöst av en incident eller ett klagomål. Granskningarna pågår nu, inte vid ett framtida datum.
Ja. Sanktioner enligt NIS2 gäller bristande efterlevnad av säkerhetskraven i sig, inte bara när ett intrång sker. Att inte införa åtgärderna, att inte registrera sig hos MCF eller att sakna den dokumentation som krävs är var för sig sanktionerbart. Kravet är att ha programmet på plats, inte bara att undvika incidenter.
Ett angrepp som rör personuppgifter utlöser både NIS2 (tidig varning till MCF inom 24 timmar) och GDPR (anmälan till IMY inom 72 timmar) samtidigt: två tidsgränser, två myndigheter, en incident. DORA gäller finansiella entiteter och har företräde framför NIS2 för ICT-risk i den sektorn. eBuilder hanterar alla tre i ett samlat program så att arbetet inte görs dubbelt.
Inte automatiskt. De tekniska säkerhetsåtgärderna i NIS2 artikel 21 och GDPR artikel 32 överlappar kraftigt: båda kräver kryptering, åtkomstkontroll, upptäckt av intrång och utbildning av personalen. GDPR lägger till krav som NIS2 inte täcker: samtyckeshantering, registrerades rättigheter, dataskyddsombud och konsekvensbedömningar. Det tekniska programmet från eBuilder uppfyller säkerhetskraven i båda regelverken.
DORA har företräde framför NIS2 för finansiella entiteter; det är sektorsspecifik lagstiftning. DORA lägger till krav som NIS2 saknar: ett informationsregister över alla ICT-avtal med tredje part, TLPT vart tredje år för betydande entiteter och incidentklassning i linje med EBA. Vår tjänst CISO-rådgivning hanterar båda i ett samlat program.
De flesta organisationer med en mogen IT-grund når påvisbar efterlevnad inom 3–6 månader. Vi börjar med en gapanalys (2–3 veckor) och därefter en prioriterad åtgärdsplan. Tjänster som SOC-övervakning dygnet runt kan aktiveras på några dagar och uppfyller direkt kraven i artikel 21(2)(b) och (f). Gapanalysen visar var ni står innan ni binder er till något.
Gapanalysen tar 2–3 veckor och ger en poängsatt rapport mot alla tio kontroller i artikel 21, en prioriterad åtgärdsplan och en sammanfattning formaterad för styrelsen. Den kartlägger ert nuläge ärligt, inklusive det ni redan har på plats, så att åtgärdsplanen blir rimlig och effektiv i stället för en ombyggnad från grunden.
Ja, det är den vanligaste modellen. eBuilders MDR/SOC förstärker ert befintliga teams förmåga i stället för att ersätta den. Vi integrerar med era verktyg, ger den bevakning dygnet runt som teamet inte klarar ensamt och lämnar tillbaka berikade larm med dokumenterad kontext. Ert team behåller styrningen; vi står för det alltid påslagna lager som artikel 21 kräver.
Boka en kostnadsfri genomgång på 30 minuter med en rådgivare i Sverige. Vi säger exakt var ni står och vad som behöver göras, utan förpliktelser.
Boka en säkerhetsgenomgång på 30 minuter