Cybersäkerhetslagen, hur den påverkar små och medelstora företag

På Fortiad arbetar vi främst med små till medelstora bolag. Därför har vi gjort en analys av hur den nya cybersäkerhetslagen påverkar arbetet med informationssäkerhet för företag i vår målgrupp.

Regeringens proposition ”Ett starkt skydd för nätverks- och informationssystem” (Prop. 2025/26:28) genomför EU:s NIS2-direktiv i svensk lag. Även om lagen formellt riktar sig mot medelstora och stora verksamhetsutövare inom samhällsviktiga och digitala sektorer, kommer effekterna att nå betydligt längre ned i leverantörskedjan.

För att uppfylla kraven måste större aktörer säkerställa att deras leverantörer och underleverantörer uppfyller likvärdiga säkerhetsnivåer. Det innebär att även små och medelstora IT-företag, molnleverantörer, driftpartners och konsultbolag som levererar tjänster till NIS2-klassade organisationer indirekt kommer att omfattas av krav på informationssäkerhet, riskhantering, incidentrapportering och dokumentation.

Vad lagen säger om leverantörer och leveranskedjor?

Lagen slår fast att säkerhetsåtgärder ska omfatta relationerna mellan varje verksamhetsutövare och dess direkta leverantörer och tjänsteleverantörer.
Företag ska bland annat beakta:

  • Sårbarheter som är specifika för varje leverantör.
  • Kvaliteten på leverantörens cybersäkerhetsarbete, inklusive rutiner för säker utveckling.
  • Resultat från gemensamma säkerhetsriskbedömningar på EU-nivå.

Riskhantering i flera led

Regeringen betonar att även om lagen formellt omfattar direkta leverantörer, ska verksamhetsutövare även ta hänsyn till risker i flera led av leveranskedjan.
Det kan innebära att företag behöver:

  • Inhämta information om underleverantörers säkerhetsnivå.
  • Vidta åtgärder vid kända brister hos underleverantörer.
  • Reglera säkerhetskrav i avtal – så att även leverantörer i första ledet ansvarar för kraven vidare i kedjan.

Avtalskrav och kontroll

Den exakta nivån på kraven anges inte i lagen utan ska bedömas från fall till fall.

Det innebär att större kunder kan komma att:

  • Införa säkerhetsvillkor i leverantörsavtal.
  • Kräva dokumentation, rapportering och revisionsrätt.
  • Revidera befintliga avtal för att möta de nya lagkraven.

Utkontraktering och molntjänster

Kravet på säkerhet gäller även utkontrakterade tjänster, molnlösningar och licensierade system – inte bara vid egna IT-inköp. Det betyder att molntjänster, driftpartners och IT-leverantörer omfattas på samma sätt som interna system och processer. Den nya cybersäkerhetslagen ställer alltså inte bara krav på de stora aktörerna – utan även på deras leverantörer.

Vill du veta vad det här innebär i praktiken och hur ni som leverantör kan börja anpassa er till de nya kraven?

Boka ett möte med oss

This website uses cookies. By continuing to use this site, you accept our use of cookies.