Hoppa till innehåll
SIAX.io
Teknisk konsult i Sverige
Cybersäkerhet & NIS2NIS2CybersäkerhetCompliance14 min läsning

NIS2 – så påverkas just ditt företag beroende på sektor

18 sektorer omfattas, men kraven ser olika ut. Här är en bransch-för-bransch-genomgång.

Simon Axelsson
Simon AxelssonIT-konsult & teknisk rådgivare
13 juni 2026Uppdaterad 11:00
00
NIS2 – så påverkas just ditt företag beroende på sektor
NIS2 omfattar 18 sektorer med olika kravnivåer.Photo: Unsplash

NIS2-sektorer och vad de betyder i praktiken för svenska bolag.

NIS2 är nu gällande lag i Sverige genom den nya cybersäkerhetslagen, och för första gången omfattas ett brett spektrum av samhällssektorer av tvingande cybersäkerhetskrav. Lagen skiljer på två kategorier – väsentlig verksamhet och viktig verksamhet – med olika krav på tillsyn, sanktioner och rapportering. Den här artikeln går igenom alla 18 sektorer och hjälper dig avgöra var ert bolag landar.

Jag genomför NIS2-gap-analyser och hjälper bolag att navigera sektorstillhörighet inom NIS2-compliance. Min erfarenhet är att många bolag underskattar hur brett direktivet träffar. Det räcker inte att vara ett IT-bolag för att omfattas, och tvärtom kan ett bolag i en traditionell bransch som transporter eller livsmedel bli överraskat av att lagen nu gäller dem. Den osäkerheten är onödig, för med rätt kartläggning går det snabbt att avgöra.

Hög kritikalitet (väsentlig verksamhet) kontra viktig verksamhet

NIS2 delar in de omfattade sektorerna i två grupper. Väsentlig verksamhet omfattar sektorer där ett avbrott får de allvarligaste samhällskonsekvenserna: energi, transport, bank, finansmarknadsinfrastruktur, hälsa, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning och rymd. Här är tillsynen striktast, sanktionerna högst och rapporteringskraven mest långtgående.

Viktig verksamhet omfattar sektorer som också är samhällskritiska men där konsekvenserna av ett avbrott bedöms som mindre akuta: post- och kurirtjänster, avfallshantering, kemikalietillverkning, livsmedelsproduktion, tillverkning, digitala leverantörer och forskning.

Skillnaden mellan kategorierna är inte akademisk. Som väsentlig entitet har ni skärpt tillsyn och sanktioner upp till högre belopp, medan viktiga entiteter har något lägre tryck men fortfarande långtgående krav på riskhantering. Båda kategorierna måste dock leva upp till artikel 21:s krav på riskhanteringsåtgärder.

Energi och kraftförsörjning

Energisektorn är en av de tyngst reglerade under NIS2. Här ingår elproduktion, eldistribution, fjärrvärme, olja och gas, inklusive leverantörer av laddinfrastruktur för elfordon. Kraven är omfattande: incidentrapportering, leverantörskedjehantering och kontinuitetsplanering måste vara på plats och testas regelbundet. För mindre energibolag som kanske inte har en dedikerad säkerhetsfunktion är gapet ofta stort mellan dagens läge och kraven.

Transport

Transportsektorn täcker luftfart, järnväg, sjöfart, vägtransporter och kollektivtrafik. Här är den operativa aspekten central: störningar i trafikledningssystem eller bokningsplattformar kan snabbt få samhällsstoppande effekter. Bolag inom transport bör särskilt fokusera på kontinuitetshantering och leverantörsrisker, eftersom sektorn är djupt beroende av externa system. Jag brukar rekommendera att börja med en kartläggning av vilka system som är mest kritiska för trafikflödet, ofta är det en mindre andel än man tror, och fokusera resurserna där.

Bank och finansmarknadsinfrastruktur

Finanssektorn har redan DORA (Digital Operational Resilience Act), som ställer långtgående krav på operativ resiliens. För finansbolag är DORA i praktiken det styrande regelverket, men NIS2 gäller parallellt och täcker områden som DORA inte fullt ut adresserar, som leverantörskedjor utanför finansiella tjänster. Jag går igenom skärningspunkten i DORA för fintech. För de flesta finansiella aktörer är det klokt att se DORA och NIS2 som komplementära snarare än överlappande.

Digital infrastruktur

Den här sektorn omfattar molntjänster, datacenter, CDN-leverantörer, DNS-tjänster och trust-tjänster. För moln- och infrastrukturbolag är NIS2 särskilt relevant eftersom de ofta är en kritisk leverantör till andra sektorer. Här är kraven på incidentrapportering och åtgärdsprogram mest detaljerade. Om ni driver en plattform som andra NIS2-omfattade bolag är beroende av, har ni ett särskilt ansvar.

Hälsa och sjukvård

Vårdgivare, sjukhus, laboratorier och digitala hälsoaktörer omfattas. Vårdsektorn har under senare år varit hårt drabbad av ransomware-attacker, och NIS2 skärper kraven på incidentberedskap och återställningsförmåga. För digitala vårdaktörer tillkommer ofta krav från både NIS2 och GDPR samtidigt.

Offentlig förvaltning

Statliga och kommunala verksamheter omfattas, och här är påverkan stor eftersom många offentliga organisationer historiskt haft mindre strukturerad cybersäkerhet. För leverantörer till offentlig sektor innebär NIS2 att era kunder ställer högre krav på er som tredjepart, vilket direkt påverkar avtal och upphandlingar.

Övriga sektorer i korthet

Dricksvatten och avloppsvatten omfattar leverantörer och distributörer. Post- och kurirtjänster är viktig verksamhet med något lättare krav. Avfallshantering och kemikalietillverkning har särskilda krav kring farliga ämnen. Livsmedelsproduktion omfattar producenter och grossister. Tillverkning täcker en bred kategori av industribolag. Digitala leverantörer som sökmotorer och sociala medieplattformar. Rymd omfattar rymdinfrastruktur och tjänster. Forskning täcker forskningsinstitutioner.

Checklista för att avgöra er sektorstillhörighet

  • Identifiera er huvudsakliga verksamhet. Vilken sektor hör den till enligt NIS2:s definition? Läs direktivets bilagor noggrant, inte bara sammanfattningar.
  • Kontrollera storleken. NIS2 har en storlekströskel för vissa sektorer, men den är lägre än många tror. Små och medelstora bolag kan omfattas om de är kritiska i en leverantörskedja.
  • Bedöm er roll. Är ni en direkt aktör i sektorn eller en kritisk leverantör till en? Leverantörer till NIS2-omfattade bolag påverkas indirekt men starkt.
  • Dokumentera slutsatsen. Om ni kommer fram till att ni inte omfattas, dokumentera resonemanget. Det är ert skydd om frågan kommer senare.

Vad kategorin betyder för ert arbete

Oavsett om ni klassas som väsentlig eller viktig entitet är artikel 21 grunden: riskhanteringsåtgärder inom sju områden. Skillnaden ligger i hur tillsynen ser ut och vilka sanktioner som kan bli aktuella. För väsentliga entiteter är myndighetstillsynen mer ingripande, och böterna kan bli kännbara. Men i praktiken är den största risken för de flesta bolag inte böter utan affärspåverkan: kunder som kräver NIS2-efterlevnad i sina upphandlingar och avtal. Den risken gäller oavsett kategori.

Här gör jag mid-vägs alltid samma sak: en sektorkartläggning som avgör om och hur ert bolag omfattas. Utan den går resten av arbetet inte att prioritera rätt. Vill ni ha den gjord ingår det i NIS2-compliance.

Vanliga missförstånd om sektorstillhörighet

Ett vanligt missförstånd är att NIS2 bara gäller stora bolag. Storlekströskeln finns men är låg, och många medelstora bolag omfattas. Ett annat är att sektorn avgörs av vad ni själva kallar er, men det är er faktiska verksamhet som räknas. Ett tredje är att bara den som äger kritisk infrastruktur omfattas, i själva verket täcker direktivet ett mycket bredare spektrum av verksamheter. Att reda ut de här missförstånden tidigt sparar både tid och pengar och är en förutsättning för att lägga resurserna rätt.

Relaterat

Vill du ta det vidare?

Jag hjälper svenska bolag att avgöra sin NIS2-sektorstillhörighet och bygga efterlevnad utifrån just era förutsättningar. Boka ett samtal så går vi igenom ert läge.

Många bolag underskattar hur brett NIS2 träffar. Ett bolag i en traditionell bransch som transporter kan bli överraskat av att lagen nu gäller dem.

- Simon Axelsson

Vanliga frågor

Omfattas mitt bolag av NIS2?
Det beror på er sektor och storlek. NIS2 omfattar 18 sektorer uppdelade i väsentlig och viktig verksamhet. För de flesta sektorer finns en storlekströskel, men den är låg, och bolag som är kritiska i en leverantörskedja kan omfattas oavsett storlek. Börja med att identifiera er huvudsakliga verksamhet och mappa mot direktivets sektorer.
Vad är skillnaden mellan väsentlig och viktig verksamhet?
Väsentlig verksamhet (energi, transport, bank, hälsa, digital infrastruktur, offentlig förvaltning, rymd) har striktare tillsyn och högre sanktioner. Viktig verksamhet har något lägre kravtryck men måste fortfarande uppfylla artikel 21:s riskhanteringskrav. Båda kategorierna måste rapportera incidenter och ha en fungerande riskhantering.
Gäller NIS2 även mina leverantörer?
Indirekt ja. Om ni omfattas av NIS2 måste ni hantera risker i er leverantörskedja enligt artikel 21. Era leverantörer påverkas därmed genom avtalskrav och granskningar, även om de inte själva omfattas av direktivet. Det är en av de största praktiska effekterna av NIS2 för underleverantörer.
Måste jag göra något om jag kommer fram till att jag inte omfattas?
Dokumentera ert resonemang. Om tillsynsmyndigheten senare bedömer att ni omfattas, har ni ett underlag som visar att ni gjort en medveten bedömning. Och även om ni inte omfattas idag kan många kunder ändå kräva NIS2-motsvarande säkerhet i avtalen, så det är sällan bortkastad tid att bygga grunden.
Taggar:NIS2CybersäkerhetComplianceSektorer
Simon Axelsson
Simon AxelssonIT-konsult & teknisk rådgivare

Simon Axelsson är senior IT-konsult och grundare av SIAX Technology AB. Han hjälper nordiska företag med molninfrastruktur, dataplattformar och AI-automation.

Fler artiklar

More from the Blog

Visa alla
AI & Automation

GPT-5.4 och GPT-5.3-Codex: En praktisk utvärdering efter 60 dagar

2026-04-15T14:30:00.000Z
AI & Automation

Gemini 3.1 Flash-Lite: När edge-AI blir på riktigt

2026-04-12T11:00:00.000Z
Moln & Infra

DeepSeek V4 och den kinesiska AI-stacken: Vad europeiska CTO:er bör veta

2026-04-10T08:15:00.000Z
Moln & Infra

Open-weights-renaissansen: Llama 4.X, Mistral och Gemma 4 i produktion

2026-04-08T10:45:00.000Z