NIS2 utbildning anställda — vad svenska SMB måste göra 2026
NIS2-direktivet är inte en framtidsfråga längre. Cybersäkerhetslagen som implementerar NIS2 i Sverige är beslutad, MSB börjar tillsyn 2026, och en av de saker tillsynsmyndigheten kommer att kontrollera först är hur ni utbildar era anställda i cybersäkerhet — och om ni kan bevisa det. Den här guiden går igenom utbildningskraven konkret, utan jurist-språk.
Vad NIS2 faktiskt är — i klartext
NIS2 är EU:s reviderade direktiv för nätverks- och informationssäkerhet. Sverige implementerar det genom cybersäkerhetslagen som trädde i kraft hösten 2025. Tillsynsmyndigheterna är primärt MSB (Myndigheten för samhällsskydd och beredskap) för de flesta sektorer, och PTS för telekom och digital infrastruktur.
Jämfört med gamla NIS1 är NIS2 bredare på fyra sätt: fler sektorer omfattas,fler företagsstorlekar omfattas, striktare krav på riskhantering och utbildning, och personligt ansvar för ledning om kraven inte uppfylls. Sanktionsutrymmet går upp till 10 miljoner euro eller 2 % av global omsättning — vilket är högre.
Gäller NIS2 er?
NIS2 omfattar två kategorier: väsentliga entiteter (essential entities) och viktiga entiteter (important entities). Sektorn ni verkar i + er storlek avgör vilken kategori — om någon — ni hamnar i.
| Sektor | Tröskelvärde | Kategori |
|---|---|---|
| Energi, transport, bank, hälsa, dricksvatten | ≥250 anställda eller ≥50 milj. EUR omsättning | Väsentlig |
| IT-tjänster, post, livsmedel, tillverkning, avfall | ≥50 anställda eller ≥10 milj. EUR omsättning | Viktig |
| Molntjänsteleverantörer, datacenter, DNS, registry | Storleksoberoende — alla omfattas | Väsentlig/viktig |
| MSP (Managed Service Providers) | ≥50 anställda | Viktig |
| Underleverantörer till väsentliga entiteter | Storleksoberoende om kritisk leverantör | Indirekt — kunden ställer kraven |
Det viktiga för SMB-bolag: även om ni själva inte omfattas direkt, så omfattas ni indirekt via era kunder. Ett mellanstort tillverkningsföretag som är leverantör till en större energiaktör kommer att få NIS2-frågorna i sin upphandling. Stora kunder kräver NIS2-kompatibla leverantörer i sina leverantörskedjor.
De 10 områdena NIS2 kräver att ni täcker
Artikel 21 i NIS2 listar tio konkreta åtgärder för cybersäkerhets-riskhantering. Här är dem översatta till klartext — och vad de praktiskt innebär för ett SMB-bolag på 50–250 anställda.
| Artikel 21-område | Vad det betyder i praktiken |
|---|---|
| (a) Policies för riskanalys och informationssäkerhet | Skriftliga policies, dokumenterad riskanalys, årlig översyn |
| (b) Incident-hantering | Process för att upptäcka, klassificera, hantera och rapportera incidenter |
| (c) Kontinuitetshantering | Backup-strategi, disaster recovery, testat återställning |
| (d) Supply chain-säkerhet | Bedöma och hantera risk i leverantörskedjan |
| (e) Säkerhet i utveckling/inköp av system | Säkerhet inbyggd från start, inte i efterhand |
| (f) Policies för att mäta åtgärdernas effektivitet | Mätbara nyckeltal — inte bara att åtgärder finns, utan att de funkar |
| (g) Cybersäkerhetshygien + utbildning | Återkommande utbildning av ALLA anställda inkl. ledning, dokumenterat |
| (h) Kryptografi-policies | Krav på kryptering i transit och vid lagring |
| (i) HR-säkerhet, åtkomstkontroll, tillgångshantering | Onboarding/offboarding-rutiner, åtkomstreview, IAM |
| (j) Multifaktor-autentisering | MFA på alla privilegierade konton och kritiska system |
Den här guiden fokuserar på område (g) — utbildning. Det är den pelare som tillsynsmyndigheten kollar först eftersom den är lättast att granska: antingen finns dokumenterad utbildning, eller så finns det inte.
Vad NIS2 specifikt kräver av utbildning
Tre saker står i texten — och alla tre måste finnas dokumenterade när MSB eller PTS gör tillsyn:
1. Alla anställda ska utbildas, inkl. ledning
Det räcker inte att IT-personalen vet vad ett phishing-mail är. Hela organisationen ska få "basic cyber hygiene practices and cybersecurity training" enligt Artikel 21(g). Detta är inkluderande — VD, ekonomichef, säljkår, produktion, lager. Alla.
Dessutom kräver Artikel 20 att ledningsorganen själva genomgår utbildning. Det betyder att VD och styrelseordförande inte kan delegera frågan till IT-chefen — de måste bevisa att de själva är utbildade i cybersäkerhetsrisk. Det här är ett av de starkaste personliga ansvars-elementen i NIS2.
2. Utbildningen ska vara återkommande
Engångsutbildning vid anställning räcker inte. Cybersäkerhetslandskapet förändras (QR-bluffar, BankID-attacker, AI-genererad phishing dyker upp i nya former varje kvartal), och utbildningen ska följa med. Ett rimligt mönster är var fjärde vecka eller varannan vecka — kort, regelbundet, kontinuerligt.
3. Bevisbördan ligger på er
Det här är den punkt företag oftast missar. Det är ni som ska kunna bevisa att utbildning har skett, inte tillsynsmyndigheten som ska bevisa motsatsen. I praktiken betyder det att ni behöver:
- En lista över vem som fått vilken utbildning och när
- Underlag som visar vad utbildningen innehöll
- Resultat eller bekräftelse på genomförande (kvitto på att kursen är klar)
- Exporterbar logg för revision — gärna i CSV eller PDF
Om en incident sker och MSB knackar på dörren, är det här underlaget skillnaden mellan en formell varning och en miljonsanktion.
Vanliga ämnen er utbildning behöver täcka
NIS2 specificerar inte enskilda ämnen — det säger bara "cybersäkerhetshygien". I praktiken har det följande betydelser baserat på vad MSB:s tidigare tillsynsrapporter har kollat efter och vad EU:s riktlinjer pekar ut:
- Phishing-igenkänning — kärnan i mänsklig risk. Inkl. QR-bluffar (quishing) och AI-genererad spear phishing
- Multifaktor-autentisering — varför det krävs, hur det fungerar, vad "MFA-fatigue"-attacker är
- Incident-rapportering — vad anställda ska göra när något suspekt händer, vem som ska kontaktas, vilka 24h-tidsfrister som gäller
- Social engineering — CEO-bedrägeri, telefonbluff (vishing), falska leverantörer
- Säker användning av Microsoft 365 — extern delning i SharePoint/OneDrive, Teams-gäster, OAuth-tillstånd
- Lösenordshygien — password managers, varför återanvändning är ett problem, FIDO2-passkeys
- Falska fakturor och Business Email Compromise (BEC) — verifiera nya kontonummer via annan kanal
- Ledningsorienterad NIS2-utbildning — specifikt för chefer enligt Artikel 20
Konsekvenser om ni inte uppfyller utbildningskravet
Den ekonomiska sanktionen för väsentliga entiteter är upp till 10 miljoner euro eller 2 % av global årsomsättning, vilket är högre. För viktiga entiteter är taket 7 miljoner euro eller 1,4 %. Men det är inte huvudpoängen.
Huvudpoängen för många IT-chefer är personligt ansvar för ledning. NIS2 gör det möjligt för tillsynsmyndigheten att tillfälligt avsätta VD eller styrelseledamöter om allvarliga brister inte åtgärdas. Det är ett dramatiskt steg upp från GDPR där ansvaret ligger på företaget som juridisk person.
Lägg till det upphandlingsrisken: stora företag kommer inte vilja köpa från leverantörer som inte kan bevisa NIS2-utövande. För SMB-bolag som är leverantörer till större aktörer är det ofta detta — inte tillsynsmyndighetens sanktion — som är den verkliga kostnaden av att inte göra det.
Praktisk 16-veckors utbildningsplan
Ett konkret förslag på hur ni kan rulla ut grund-NIS2-utbildning över 16 veckor med varannan vecka. Åtta kurser, varje 2–3 minuter, skickas till hela organisationen inklusive ledning. Detta är ett minimi-mönster — komplettera med branschspecifika ämnen.
| Vecka | Ämne | Målgrupp |
|---|---|---|
| 1 | Känn igen phishing-mail i Outlook | Alla |
| 3 | Multifaktor-autentisering — varför och hur | Alla |
| 5 | Vad gör ni när något sker — incident-rapportering | Alla |
| 7 | CEO-bedrägeri och social engineering | Alla (ekonomi extra) |
| 9 | Säker fildelning i SharePoint och OneDrive | Alla |
| 11 | Lösenordshygien och password managers | Alla |
| 13 | Falska fakturor och leverantörsbedrägeri | Alla (ekonomi extra) |
| 15 | Vad ledningen behöver veta om NIS2 | Ledning + chefer |
Efter 16 veckor har varje anställd genomgått åtta korta kurser, vilket totalt blir ungefär 20 minuter utbildning per person — fördelat så det inte stör arbetet. Loggen över genomförande blir er bevisbörda när MSB knackar på dörren.
Vad NIS2-utbildning inte räcker till
Det är viktigt att vara ärlig om vad utbildning inte löser. NIS2 har tio krav i Artikel 21, och utbildning är ett av dem — inte alla. Ni behöver också:
- En skriftlig cybersäkerhetspolicy och dokumenterad riskanalys (Art 21(a))
- En incidenthanteringsprocess med 24h-rapporteringsförmåga till MSB/PTS (Art 23)
- Backup och disaster recovery med testad återställning (Art 21(c))
- Bedömning av supply chain-risk för era leverantörer (Art 21(d))
- Tekniska kontroller: MFA på alla privilegierade konton (Art 21(j))
- Krypterad lagring av känslig data (Art 21(h))
Den utbildningspelare RememberIT levererar löser inte dessa områden. För dem behöver ni antingen egen IT-organisation, MSP-partner, eller specialistkonsulter. Var skeptisk mot leverantörer som påstår sig "lösa hela NIS2" — det finns ingen sådan produkt.
Så jobbar RememberIT med utbildningspelaren
RememberIT Security Training är specialiserat på just utbildningskravet i Artikel 21(g) — inget mer, inget mindre. Vi har paketerat det som NIS2 Essentials, ett strukturerat program på åtta ämnen som täcker det tillsynsmyndigheter och EU-riktlinjer pekar ut som grundläggande.
Tre konkreta saker som gör det enkelt för svenska SMB-bolag:
- Skickas direkt i Outlook-inkorgen via Microsoft Graph — inga separata inloggningar, inget "ladda ner appen". Era anställda får en två-minuters mikrokurs i samma verktyg de redan jobbar i.
- Microsoft Entra-integration — användarlistor kan importeras från er Entra-katalog så ingen anställd missas, och rätt e-postadresser används vid utskick.
- Audit-logg per användare — vem som fått vilken utbildning, när, och om de klarat eventuellt quiz. Underlag som kan presenteras vid tillsyn från MSB eller PTS.
All AI-bearbetning sker på Azure OpenAI i Sweden Central — er data lämnar aldrig svenska datacenter. Det gäller både kursinnehållsgenerering och Outlook-tilläggets phishing-analys. Applikation, databas och e-postutskick körs också i EU (Vercel + Supabase EU-regionerna, Microsoft Graph via vår svenska M365-tenant). GDPR-säkert med personuppgiftsbiträdesavtal (DPA) tecknat vid avtalsstart. Läs vårt DPA.
Vill ni se hur det ser ut?
Testa exempelkursen i två minuter. Det är samma format som era anställda får i sin inbox — ingen registrering, ingen e-postadress behövs.
Disclaimer: Den här artikeln är en praktisk guide, inte juridisk rådgivning. NIS2-tolkning kan variera mellan tillsynsmyndigheter och sektorer. För specifik bedömning av era krav, konsultera er compliance-funktion eller juridisk rådgivare. Senast uppdaterad 2026-05-22.