Men från och med nu är du — som styrelseledamot — personligt ansvarig om ert företag drabbas av ett cyberangrepp utan rätt skydd på plats. Det är inte IT-chefens problem längre. Det är ditt.
Kanske har du hört talas om NIS2. Kanske har du fått ett brev från en konsult som vill sälja dig en dyr utredning. Kanske tänkte du "vi tar det sen."
Det är precis där de flesta företag befinner sig just nu. Och det är okej. Problemet är att lagen inte bryr sig om att du inte haft tid.
NIS2 är en EU-lag fylld med juridisk text. Vad gäller för just ditt företag? Det är oklart.
De flesta säkerhetsfirmor siktar på stora bolag. Priserna är inte byggda för dig.
Sverige implementerade NIS2 i oktober 2024. Det är ingen framtidsfråga. Det är nu.
Som styrelseledamot kan du bötfällas personligen. Det är en ny del av lagen som många missar.
Vi förstår frustrationen. Ännu en EU-förordning. Ännu ett direktiv från byråkrater som aldrig drivit ett bolag. Ännu en gång ska svenska företag anpassa sig till regler skapade långt från verkligheten.
Det är en fullt rimlig reaktion. Men här är problemet: lagen bryr sig inte om din frustration. Tillsynsmyndigheten bryr sig inte om vem som kom på idén i Bryssel. De bryr sig om att ditt bolag följer reglerna — och om det inte gör det, är det du som sitter i styrelserummet som får räkningen.
Det farligaste du kan säga är: "IT tar hand om det."
NIS2 gör dig personligt ansvarig oavsett vad IT-avdelningen säger eller gör.
Lagen riktar sig mot dig som sitter i ledningen — inte mot dina system.
Tänk dig att alla företag i EU spelar ett spel med cyberattacker. NIS2 är de nya spelreglerna — och den som inte följer dem får böta.
NIS2 (Network and Information Security Directive) är en EU-lag som trädde i kraft 2024. Den säger att företag inom viktiga samhällssektorer måste ha ett grundläggande cyberskydd på plats.
Det handlar inte om att bli ett techföretag. Det handlar om att ha dokumenterade rutiner, ett system för att hantera incidenter, och — viktigast av allt — att ledningen tar ansvar.
I praktiken: om ditt företag drabbas av ett dataintrång och ni inte kan visa att ni tog säkerheten på allvar, kan tillsynsmyndigheten rikta sina åtgärder direkt mot dig personligen.
Tidigare var cybersäkerhet en IT-fråga. NIS2 ändrar det. Ledningsgruppen och styrelsen är nu direkt ansvariga för att cybersäkerhetsarbetet faktiskt fungerar — inte bara att det existerar på papper.
Det innebär att du som VD eller styrelseledamot behöver förstå riskerna, godkänna åtgärderna och kunna visa vad ni gjort om tillsynsmyndigheten (eller en domstol) frågar.
NIS2 gäller alla företag med fler än 50 anställda (eller omsättning över 10 MEUR) inom dessa sektorer. Är ditt bolag med på listan?
✳️ Markerade sektorer har högst prioritet under NIS2 och granskas först av tillsynsmyndigheterna.
Under NIS2 kan tillsynsmyndigheten kräva att en specifik styrelseledamot eller VD utestängs temporärt från sin roll om bolaget inte efterlever lagen. Det är inte bara böter till bolaget. Det är åtgärder riktade mot dig personligen.
Det bästa försvaret mot det? Att faktiskt ha gjort jobbet — och kunna visa det. Inte för att du måste. Utan för att det skyddar dig, dina ägare och dina anställda.
NIS2-efterlevnad handlar inte om en kostnad. Det handlar om att skydda det du redan har byggt upp. Titta på siffrorna — sedan bestäm.
En investering i NIS2-efterlevnad kostar en bråkdel av vad ett enda intrång eller en enda böter kostar. Det är inte en utgift — det är pengar i banken.
"Det sa man om GDPR 2018 också — ingen kommer att bli bötfälld. 2025 delade EU:s tillsynsmyndigheter ut 2,1 miljarder euro i GDPR-böter. På ett enda år."
NIS2 är skrivet av samma myndigheter, med samma modell, samma tillsynslogik — och med ännu skarpare personligt ansvar för styrelsen. Sveriges cybersäkerhetslag trädde i kraft 15 januari 2026. Klockan tickar.
Tre olika situationer. Samma slutsats.
Du är personligt ansvarig som styrelseledamot. Varje dag utan åtgärd är en dag du bär en risk som du inte behöver bära. Myndigheten behöver inte vänta på ett intrång för att agera — bristande efterlevnad räcker.
Men det finns en uppsida: dina konkurrenter är lika långsamma. Den som agerar nu hinner bli efterlevnadsklar medan andra fortfarande diskuterar det — och får ROI:n av konkurrensfördelen snabbare.
NIS2 kräver att du aktivt säkerställer säkerheten i hela din leverantörskedja. En sårbar underleverantör är din risk — inte bara deras. Om de drabbas av ett intrång och det påverkar er verksamhet, är det ni som måste svara inför tillsynsmyndigheten.
Och precis som med era egna konkurrenter: de leverantörer som hanterar detta snabbt stärker sin position. Hjälp din kedja bli efterlevnadsklar — det skyddar dig och gör dig till en starkare partner.
Stora kunder och offentlig sektor väljer redan leverantörer som kan bevisa sin cybersäkerhet. Dina konkurrenter är troligen inte klara. Ni har redan gjort jobbet — använd det aktivt i era offerter, ramavtal och partnerdialoger. Compliance är inte bara ett skydd. Det är ett säljargument.
Oavsett vilket läge du är i — vi kan hjälpa dig ta nästa steg.
Boka ett samtal →Tre verktyg som hjälper dig att förstå var ni står och vad som krävs — innan vi ens pratar.
10 ja/nej-frågor. 5 minuter. Se din riskprofil direkt — och vilket område du bör åtgärda först.
Öppna checklistan →Fyll i omsättning, antal anställda och sektor — se din maximala böterisk och uppskattad intrångskostnad.
Öppna kalkylatorn →Komplett dokumentationsguide för styrelseledamöter och VD — krav, checklistor, rapporteringstider och underskriftsblock.
Öppna styrelsepaketet →NIS2 kräver inte perfektion. Det kräver att ni tar ansvar och kan visa vad ni gjort. Här är de viktigaste kraven:
Ni behöver veta vilka digitala risker som finns i er verksamhet — och ha en plan för dem. Tänk: "Vad händer om vår e-post slutar fungera i en vecka?"
Om något går fel — ett dataintrång, ett viruset — måste ni ha en process. Och ni måste rapportera det till myndigheten inom 72 timmar.
Era leverantörer och samarbetspartners är en del av er säkerhet. Ni ansvarar även för att de följer rimliga säkerhetskrav.
Ni måste ha säkerhetskopior och en plan för hur ni återhämtar er om systemen kraschar eller om ni utsätts för ransomware.
Personalen behöver grundläggande säkerhetsutbildning. Och ni behöver skriftliga rutiner — inte bara "vi brukar göra såhär."
Styrelsen och VD måste aktivt godkänna säkerhetsarbetet — och dokumentera det. Det räcker inte att delegera det till IT-avdelningen och sedan glömma bort det.
20 minuter. Du berättar om din verksamhet — vi ger dig en ärlig bild av var ni står i förhållande till NIS2.
Vilka krav gäller för er? Vad saknas idag? Du får en tydlig bild utan teknisk jargong.
Konkret. Prioriterat. Utan att du behöver bli expert på cybersäkerhet för att förstå det.
Boka ett gratis 30-minuterssamtal. Vi berättar exakt vad NIS2 innebär för ditt företag, vad ni troligen behöver göra — och vad det inte behöver kosta. Inget säljtryck. Bara ett ärligt samtal.
Boka ditt gratis samtal →Eller skicka ett mejl direkt till support@trustedmarketing.se