NIS2-guide

NIS2-guide · 6 min

NIS2:s införlivandestatus: i vilka EU-länder den gäller

NIS2 är ett EU-direktiv, vilket innebär att varje medlemsstat måste skriva in det i sin egen nationella lag innan det biter. Tidsfristen för införlivande var den 17 oktober 2024. Den passerade medan de flesta länder fortfarande skrev utkast, och de har kommit ifatt i mycket olika takt sedan dess. Den här sidan följer var och en av de 27 medlemsstaterna och varför skillnaderna berör dig även om ditt eget land är sent ute.

Viktigaste punkterna

  • NIS2 skulle vara i nationell lag senast den 17 oktober 2024; många medlemsstater missade det.
  • Skyldigheten når dig via dina kunder, inte bara via ditt eget lands lag.
  • Statusen ändras ständigt: bekräfta alltid mot de officiella EU- och nationella källorna.

Var de 27 medlemsstaterna står

20 av 27

nationell lag i kraft

7 av 27

införlivande pågår

Varför lapptäcket ändå når dig

Det är frestande att slappna av om ditt eget land inte har blivit klart med sin lag. Det är en feltolkning. NIS2:s leveranskedjeskyldighet (artikel 21.2 d) förs vidare genom avtal: om så bara en av dina kunder är etablerad i en medlemsstat där lagen redan gäller, måste den kunden bedöma och fortsätta bedöma din säkerhet, oavsett var du sitter. I praktiken sätter de tidigast införlivande länderna takten för alla som säljer till dem.

Status per land

Varje land länkar till sin egen sida: behörig myndighet, nationellt CSIRT, nationell lag och viktiga datum.

I kraft (20)

Pågår (7)

Hur vi håller detta aktuellt

Det nationella införlivandet är ett rörligt mål. Vi granskar varje land mot den officiella nationella myndigheten och Europeiska kommissionens införlivandespårare, och daterar varje post så att du ser hur färsk den är. För de dagsaktuella landsdetaljerna, använd landssidorna ovan eller kommissionens spårare direkt.

Europeiska kommissionens införlivandespårare

Se leverantörsövervakning på NIS2-nivå

En exempelrapport (fynd, NIS2-koppling och evidens) på två minuter.

7 dagars gratis · inget kreditkort · avsluta när som helst

Relaterade guider

Så uppfyller du NIS2: en steg-för-steg-färdplan

Stegen till NIS2-efterlevnad i ordning: bekräfta omfattning, registrera dig, ledningens ansvar (art. 20), åtgärderna i art. 21.2, leveranskedjesäkerhet, incidentrapportering (art. 23) och löpande, styrkt säkring.

Vem omfattas av NIS2? Väsentliga och viktiga aktörer, sektorer och storlekströsklar

Avgör om NIS2 gäller dig: de två nivåerna, sektorerna i bilaga I/II, storlekströsklarna, storleksoberoende undantag och hur leveranskedjan drar in dig även utan utpekning.

NIS2 för leverantörer: du är inte utpekad, men dina kunder är det

De flesta företag utpekas aldrig enligt NIS2, men många måste ändå följa den. Hur en omfattad kunds leveranskedjeskyldighet (artikel 21.2 d) flödar ner till dig, vad de begär och hur du svarar trovärdigt.

NIS2 och leveranskedjekravet: vad det innebär i praktiken

NIS2 kräver att väsentliga och viktiga aktörer bedömer cyberriskerna i sina leveranskedjor. Leverantörstierning, fjärdepartsrisk, Art. 23-anmälan och vad revisorer letar efter.

Leverantörens cyberriskbedömning: vad automatiserad NIS2-övervakning kontrollerar

Alla kontrollkategorier förklaras: ransomware, dark web-läckor, TLS/DNSSEC, cookie-säkerhet, CVE/EPSS, sanktioner, MX-svartlistor och SAQ. Fyndens livscykel och NIS2-artikelmappning.

NIS2 Art. 21(2): säkerhetschecklista för leverantörer

Checklista för inköps- och säkerhetsteam: vad man ska fråga, vilka bevis man ska samla in och hur man reagerar när en leverantör brister. Inkluderar förslag på styrkande dokument.

NIS2-leverantörsenkät (SAQ): vad du ska fråga, hur du poängsätter och en gratis mall

Vad du ska fråga leverantörer enligt art. 21.2 d, hur du poängsätter svar och hanterar brister, varför självdeklaration behöver verifieras, plus en gratis enkätmall.

NIS2-incidentrapportering: 24- och 72-timmarsfristerna förklarade

Vad som är en betydande incident, tidslinjen i artikel 23 (24-timmars tidig varning, 72-timmars anmälan, slutrapport på en månad) och när en leverantörs incident blir din skyldighet.

NIS2 och ledningens ansvar: vad styrelse och ledning måste veta

Vad NIS2 förväntar sig av ledningsorganet: godkännande- och tillsynsplikt, personligt ansvar (art. 20), utbildning, styrelse-KPI:er och sanktionerna enligt art. 34.

ISO 27001 och NIS2: vad ditt LIS redan täcker, och luckorna det inte gör

Om du har ISO 27001: vad som förs över till NIS2 och inte (lagstadgad incidentrapportering, ledningens ansvar, registrering och kontinuerlig leveranskedjesäkring) och hur du täpper till luckan.

NIS2-böter och sanktioner: hur mycket, vem är ansvarig och hur du undviker dem

Vad NIS2-sanktioner är: taken i artikel 34 (10 M€ / 2 % för väsentliga, 7 M€ / 1,4 % för viktiga aktörer), ledningens personliga ansvar (art. 20, art. 32), icke-monetära åtgärder och hur du undviker dem.

NIS2 vs DORA: hur de skiljer sig, var de överlappar och vilken som gäller dig

Hur de två EU-regelverken skiljer sig och överlappar, varför DORA är lex specialis för finansiella enheter, vilken som gäller dig, och vad båda innebär för tredjepartsrisk.

GDPR vs NIS2: överlapp, skillnader och när en incident utlöser båda

Hur GDPR och NIS2 skiljer sig och överlappar, när en incident utlöser båda (GDPR art. 33 72 h till tillsynsmyndigheten vs NIS2 art. 23 24 h/72 h/en månad till CSIRT), art. 35-samarbetet och förbudet mot dubbel sanktion, och vad båda innebär för leverantörsgranskning.

EU:s cyberresiliensförordning (CRA): omfattning, tidslinje och vad den betyder för din leveranskedja

Vad CRA kräver, dess stegvisa datum (i kraft 2024, rapportering sep 2026, full efterlevnad dec 2027), vem som omfattas och varför ren SaaS ofta inte gör det, hur den kompletterar NIS2 och vad den betyder för upphandling och leverantörsgranskning.

EU:s AI-förordning: risknivåer, tidslinjen och vad tillhandahållare av AI i drift måste göra (artikel 26)

Vad EU:s AI-förordning kräver: risknivåerna, de stegvisa datumen (i kraft 2024, förbjudet feb 2025, GPAI aug 2025, hög risk aug 2026), skyldigheterna i drift enligt art. 26, hur den staplas med NIS2 och GDPR, och vad den betyder för AI-upphandling.

NIS2 leverantörsavtalsklausuler: vad du bör kräva av dina leverantörer

Avtalsklausulerna som gör NIS2:s leveranskedjeskyldighet verkställbar: säkerhetsnivå, anmälningsfönster, bevis- och granskningsrätt, vidareföring till underleverantörer, och löpande verifiering.

Senast granskad: 19 juni 2026

Den här guiden är allmän information om EU-rätt, inte juridisk rådgivning. NIS2 träder i kraft genom varje EU-medlemsstats nationella genomförandelag, som kan skilja sig i detalj. Verifiera de skyldigheter som gäller dig med din behöriga myndighet eller juridiska rådgivare.