Väsentliga aktörer: Upp till 10 000 000 € eller 2 % av den totala globala årsomsättningen (föregående räkenskapsår), beroende på vilket som är högst. Viktiga aktörer: Upp till 7 000 000 € eller 1,4 % av den totala globala årsomsättningen (föregående räkenskapsår), beroende på vilket som är högst. Detta är maxtak som fastställs i direktivet (art. 34). De faktiska böterna beslutas nationellt och ska vara effektiva, proportionerliga och avskräckande, med hänsyn till allvar, varaktighet och ditt samarbete. Bekräfta de exakta reglerna i ditt lands införlivande med kvalificerad rådgivning.

NIS2-guide · 8 min

NIS2-böter och sanktioner: hur mycket, vem är ansvarig och hur du undviker dem

NIS2 ger tillsynsmyndigheterna verkliga befogenheter: omsättningsbaserade böter, bindande förelägganden och, för väsentliga aktörer, makten att tillfälligt återkalla en certifiering eller förbjuda en chef att utöva sin funktion. Den här guiden förklarar vad sanktionerna är, vem som är personligt ansvarig, hur tillsynen skiljer sig för väsentliga och viktiga aktörer, och det praktiska sättet att hålla sig ur knipa: genomför åtgärderna i artikel 21.2 och spara löpande, daterade bevis på att du gör det.

Viktigaste punkterna

Maxböterna är omsättningsbaserade: upp till 10 M€ eller 2 % av den globala årsomsättningen för väsentliga aktörer, och 7 M€ eller 1,4 % för viktiga aktörer, beroende på vilket som är högst.
Ledningsorganet måste godkänna och övervaka säkerhetsåtgärderna (art. 20) och kan hållas personligt ansvarigt; för väsentliga aktörer kan myndigheter tillfälligt förbjuda en chef att utöva sin funktion (art. 32.5).
Böter är en sista utväg: den dagliga exponeringen är bindande förelägganden, revisioner och kostnaden för att bevisa aktsamhet. Löpande, styrkt leveranskedjeövervakning är den billigaste försäkringen.

Vad NIS2-sanktioner omfattar

NIS2 (direktiv (EU) 2022/2555) införlivas i nationell rätt av varje medlemsstat, så de exakta beloppen och förfarandena fastställs nationellt, men direktivet fastställer golven för de maximala administrativa böterna och verktygslådan för efterlevnad. Sanktioner är kopplade till att en aktör inte uppfyller sina skyldigheter: riskhanteringsåtgärderna i artikel 21.2, incidentrapporteringsskyldigheterna i artikel 23, registrering och samarbete med myndigheterna.

Avgörande är att NIS2 inte bara handlar om pengar. Artikel 32 (väsentliga aktörer) och artikel 33 (viktiga aktörer) ger de behöriga myndigheterna en gradvis uppsättning befogenheter, från varningar till bindande instruktioner och, för väsentliga aktörer, återkallelse och ledningsförbud. Boten är rubriken; de operativa åtgärderna är det de flesta aktörer faktiskt möter.

Maxböterna

Väsentliga aktörer

Upp till 10 000 000 € eller 2 % av den totala globala årsomsättningen (föregående räkenskapsår), beroende på vilket som är högst.

Större aktörer i högkritiska sektorer: energi, transport, bank, finansmarknadsinfrastruktur, hälsa, dricks- och avloppsvatten, digital infrastruktur, IKT-tjänsthantering, offentlig förvaltning, rymden.

Viktiga aktörer

Upp till 7 000 000 € eller 1,4 % av den totala globala årsomsättningen (föregående räkenskapsår), beroende på vilket som är högst.

Övriga medelstora och stora aktörer i de omfattade sektorerna, inklusive post- och budtjänster, avfallshantering, kemikalier, livsmedel, tillverkning, digitala leverantörer och forskning.

Detta är maxtak som fastställs i direktivet (art. 34). De faktiska böterna beslutas nationellt och ska vara effektiva, proportionerliga och avskräckande, med hänsyn till allvar, varaktighet och ditt samarbete. Bekräfta de exakta reglerna i ditt lands införlivande med kvalificerad rådgivning.

Personligt ansvar och ledningens ansvar

NIS2 lägger medvetet cybersäkerheten på styrelsens bord. Enligt artikel 20 måste ledningsorganet godkänna åtgärderna för hantering av cyberrisker, övervaka deras genomförande och kan hållas ansvarigt för brister. Ledamöter i ledningsorgan måste också genomgå utbildning och förväntas erbjuda liknande utbildning till sin personal.

För väsentliga aktörer går artikel 32.5 längre: när annan efterlevnad har misslyckats kan de behöriga myndigheterna tillfälligt återkalla en certifiering eller ett tillstånd och tillfälligt förbjuda en person på vd- eller juridisk företrädarnivå att utöva ledningsfunktioner. Denna personliga exponering är skälet till att NIS2-styrningen nu når högst upp i organisationen.

Se hur dina leverantörer faktiskt presterar

Starta gratis provperiod Visa exempelrapport

7 dagars gratis · inget kreditkort · avsluta när som helst

Verktygslådan för efterlevnad (utöver böter)

Före eller jämte ett bötesbelopp kan myndigheterna tillämpa en rad bindande åtgärder (art. 32 och 33). I praktiken är det detta du mest sannolikt möter:

Varningar och bindande instruktioner att åtgärda specifika brister inom en tidsfrist.
Förelägganden att följa reglerna, att informera berörda kunder om ett betydande hot eller att genomföra revisionsrekommendationer.
Obligatoriska säkerhetsrevisioner och inspektioner på plats, på din egen bekostnad.
Utseende av en övervakningsansvarig som granskar din efterlevnad under en bestämd period.
Offentliggörande av överträdelsen och förelägganden att göra delar av incidenten offentliga.
Endast för väsentliga aktörer: tillfällig återkallelse av certifiering eller tillstånd och ett tillfälligt ledningsförbud (art. 32.5).

Tillsynen skiljer sig per kategori

Väsentliga aktörer omfattas av proaktiv (ex ante) och reaktiv (ex post) tillsyn enligt artikel 32: regelbundna och riktade revisioner, inspektioner på plats, säkerhetsskanningar och begäranden om information kan ske oavsett om något problem misstänks.

Viktiga aktörer övervakas endast ex post enligt artikel 33: myndigheterna agerar när det finns bevis eller en indikation på bristande efterlevnad, vanligtvis efter en incident eller ett klagomål. Oavsett vilket ligger bevisbördan på dig att visa att lämpliga åtgärder fanns på plats, vilket är mycket enklare med löpande register än en ögonblicksbild en gång om året.

Källor: Direktiv (EU) 2022/2555 (NIS2), artiklarna 20, 32, 33 och 34 Maxbeloppen för böter fastställs i direktivet; de nationella införlivandena fastställer de exakta reglerna och förfarandena. Den här guiden är allmän information, inte juridisk rådgivning.

Hur norppa.io minskar din exponering

De flesta sanktioner kan spåras till två brister: otillräckliga åtgärder enligt artikel 21.2 (särskilt leveranskedjesäkerhet) och oförmåga att bevisa aktsamhet på begäran. norppa.io hanterar båda genom att löpande övervaka varje leverantörsdomän och koppla varje fynd till den NIS2-artikel det rör.

Eftersom varje övervakningscykel loggas har du ett löpande, daterat verifieringsunderlag, precis det bevis som tillsynen enligt artiklarna 32 och 33 efterfrågar, i stället för en ögonblicksbild. Det förvandlar ”vi hade för avsikt” till ”här är registret”, och är den billigaste försäkringen mot böterna och föreläggandena ovan.

Bevisa din leveranskedjas aktsamhet

Se en exempelleverantörsrapport (fynd, bevis och NIS2-artikelmappning) på ungefär två minuter.

Starta gratis provperiod Visa exempelrapport

7 dagars gratis · inget kreditkort · avsluta när som helst

Se exempel-dashboarden

Senast granskad: 19 juni 2026

Den här guiden är allmän information om EU-rätt, inte juridisk rådgivning. NIS2 träder i kraft genom varje EU-medlemsstats nationella genomförandelag, som kan skilja sig i detalj. Verifiera de skyldigheter som gäller dig med din behöriga myndighet eller juridiska rådgivare.

Relaterade guider

Så uppfyller du NIS2: en steg-för-steg-färdplan

Stegen till NIS2-efterlevnad i ordning: bekräfta omfattning, registrera dig, ledningens ansvar (art. 20), åtgärderna i art. 21.2, leveranskedjesäkerhet, incidentrapportering (art. 23) och löpande, styrkt säkring.

Vem omfattas av NIS2? Väsentliga och viktiga aktörer, sektorer och storlekströsklar

Avgör om NIS2 gäller dig: de två nivåerna, sektorerna i bilaga I/II, storlekströsklarna, storleksoberoende undantag och hur leveranskedjan drar in dig även utan utpekning.

NIS2 för leverantörer: du är inte utpekad, men dina kunder är det

De flesta företag utpekas aldrig enligt NIS2, men många måste ändå följa den. Hur en omfattad kunds leveranskedjeskyldighet (artikel 21.2 d) flödar ner till dig, vad de begär och hur du svarar trovärdigt.

NIS2 och leveranskedjekravet: vad det innebär i praktiken

NIS2 kräver att väsentliga och viktiga aktörer bedömer cyberriskerna i sina leveranskedjor. Leverantörstierning, fjärdepartsrisk, Art. 23-anmälan och vad revisorer letar efter.

Leverantörens cyberriskbedömning: vad automatiserad NIS2-övervakning kontrollerar

Alla kontrollkategorier förklaras: ransomware, dark web-läckor, TLS/DNSSEC, cookie-säkerhet, CVE/EPSS, sanktioner, MX-svartlistor och SAQ. Fyndens livscykel och NIS2-artikelmappning.

NIS2 Art. 21(2): säkerhetschecklista för leverantörer

Checklista för inköps- och säkerhetsteam: vad man ska fråga, vilka bevis man ska samla in och hur man reagerar när en leverantör brister. Inkluderar förslag på styrkande dokument.

NIS2-leverantörsenkät (SAQ): vad du ska fråga, hur du poängsätter och en gratis mall

Vad du ska fråga leverantörer enligt art. 21.2 d, hur du poängsätter svar och hanterar brister, varför självdeklaration behöver verifieras, plus en gratis enkätmall.

NIS2-incidentrapportering: 24- och 72-timmarsfristerna förklarade

Vad som är en betydande incident, tidslinjen i artikel 23 (24-timmars tidig varning, 72-timmars anmälan, slutrapport på en månad) och när en leverantörs incident blir din skyldighet.

NIS2 och ledningens ansvar: vad styrelse och ledning måste veta

Vad NIS2 förväntar sig av ledningsorganet: godkännande- och tillsynsplikt, personligt ansvar (art. 20), utbildning, styrelse-KPI:er och sanktionerna enligt art. 34.

ISO 27001 och NIS2: vad ditt LIS redan täcker, och luckorna det inte gör

Om du har ISO 27001: vad som förs över till NIS2 och inte (lagstadgad incidentrapportering, ledningens ansvar, registrering och kontinuerlig leveranskedjesäkring) och hur du täpper till luckan.

NIS2 vs DORA: hur de skiljer sig, var de överlappar och vilken som gäller dig

Hur de två EU-regelverken skiljer sig och överlappar, varför DORA är lex specialis för finansiella enheter, vilken som gäller dig, och vad båda innebär för tredjepartsrisk.

GDPR vs NIS2: överlapp, skillnader och när en incident utlöser båda

Hur GDPR och NIS2 skiljer sig och överlappar, när en incident utlöser båda (GDPR art. 33 72 h till tillsynsmyndigheten vs NIS2 art. 23 24 h/72 h/en månad till CSIRT), art. 35-samarbetet och förbudet mot dubbel sanktion, och vad båda innebär för leverantörsgranskning.

EU:s cyberresiliensförordning (CRA): omfattning, tidslinje och vad den betyder för din leveranskedja

Vad CRA kräver, dess stegvisa datum (i kraft 2024, rapportering sep 2026, full efterlevnad dec 2027), vem som omfattas och varför ren SaaS ofta inte gör det, hur den kompletterar NIS2 och vad den betyder för upphandling och leverantörsgranskning.

EU:s AI-förordning: risknivåer, tidslinjen och vad tillhandahållare av AI i drift måste göra (artikel 26)

Vad EU:s AI-förordning kräver: risknivåerna, de stegvisa datumen (i kraft 2024, förbjudet feb 2025, GPAI aug 2025, hög risk aug 2026), skyldigheterna i drift enligt art. 26, hur den staplas med NIS2 och GDPR, och vad den betyder för AI-upphandling.