Cybersecurity

Ert cybersäkerhetsansvar är nu personligt

Tysklands NIS2-lag gör ledningen personligt ansvarig för cybersäkerheten, sätter en strikt registreringsfrist och ger BSI rätt att granska och bötfälla. Vad ägare måste göra nu.

Av Leon Soliman · 2026-06-30 · 3 min lästid

Varför denna lag når längre än ni tror

Genomförandelagen för NIS2 gäller i Tyskland sedan december 2025, och den berör inte bara kraftverk och banker. Den omfattar omkring 29.500 företag inom 18 sektorer, från logistik och livsmedelsproduktion till maskinbyggnad, avfallshantering och digitala tjänster. Tröskeln är låg. Ett företag med 50 eller fler anställda, eller 10 miljoner euro i omsättning, inom en av dessa sektorer omfattas automatiskt.

De flesta ägare inom Mittelstand har aldrig betraktat sitt företag som kritisk infrastruktur. Lagen frågar inte efter den självbilden. Den ser till sektorn och storleken, klassar er som en viktig eller en särskilt viktig enhet och knyter bindande säkerhetsskyldigheter till det, skyldigheter som inte fanns för ett år sedan.

Plikten som landar personligen på ägaren

Den skarpaste förändringen gäller vem som bär plikten. Enligt den nya tyska lagen måste ledningen godkänna riskåtgärderna för cybersäkerhet och övervaka att de verkligen är på plats. Detta är inte en uppgift ni kan lämna till en IT-leverantör och glömma. När ledningen handlar grovt oaktsamt eller uppsåtligt tillåter lagen böter mot personerna själva och, i allvarliga fall, ett tillfälligt förbud mot att inneha en ledningsroll.

För ett ägarlett företag är det här den avgörande delen. Den som skriver under för företaget skriver nu också under för dess cybersäkerhet. Ett rent utläggningsavtal flyttar inte ansvaret bort från ledningen. Det ändrar bara vem ni ringer när något går fel, och då har plikten redan prövats.

Registreringslistan som ingen berättade om

Att vara väl skyddad räcker inte i sig. Berörda företag måste registrera sig hos den federala myndigheten för informationssäkerhet, BSI, och ge sig till känna. Den lagstadgade fristen var mars 2026, och fram till dess hade bara omkring 11.500 av de cirka 29.500 företagen gjort det. Mer än hälften saknades på listan.

BSI har satt en sista förlängning till den 31 juli 2026 och har signalerat att myndigheten kommer att pröva de första sanktionerna efter sommaren. Utebliven registrering är i sig en bötesgrundande överträdelse, upp till 500.000 euro, skild från varje intrång. Den tysta risken är inte en cyberattack. Det är att vara ett företag som tillsynsmyndigheten inte hittar på en lista som den nu aktivt kontrollerar.

Vad ni bör sätta i gång detta kvartal

Tre steg bär det mesta av tyngden. Bekräfta om ert företag omfattas, eftersom testet av sektor och storlek är mekaniskt och lätt att läsa fel. Registrera er hos BSI före julifristen om ni omfattas. Lägg sedan fram en dokumenterad riskhanteringsprocess för er ledning, så att godkännande- och tillsynsplikten uppfylls och dokumenteras, inte bara förutsätts.

Inget av detta kräver en stor säkerhetsavdelning. Det kräver en tydlig bild av var ni står, bevis för att ledningen har granskat risken och en dokumentation ni kan visa om tillsynsmyndigheten frågar. De företag som får det svårt blir de som behandlade en nationell cybersäkerhetslag som en IT-fotnot.

Läs vidare: Din hårdvara är nu reglerad mjukvara · Är ert cyberförsvar redo för attacker i maskinhastighet?

Vanliga frågor

Gäller NIS2 mitt företag om vi varken är ett försörjningsbolag eller en bank?

Mycket möjligt. Lagen omfattar 18 sektorer, däribland logistik, livsmedel, tillverkning, avfall och digitala tjänster, och gäller varje företag i dem med 50 eller fler anställda eller 10 miljoner euro i omsättning. Många Mittelstand-företag omfattas utan att inse det.

Kan jag delegera denna plikt till min IT-leverantör?

Nej. Ni kan lägga ut det tekniska arbetet, men den tyska lagen lägger plikten att godkänna och övervaka cybersäkerhetsåtgärderna på ledningen själv. Ansvaret, och det personliga ansvaret, stannar hos ledningen.

Vad är den omedelbara risken om vi inte har registrerat oss?

Utebliven registrering hos BSI är en separat bötesgrundande överträdelse på upp till 500.000 euro, och den sista fristen är den 31 juli 2026. Därefter har BSI sagt att myndigheten kommer att pröva sanktioner, med början i de tydliga registreringsförsummelserna.

En lag som pekar ut er ledning efter dess funktion väntar inte på en incident för att bli verklig. Plikten gäller redan, och den enda öppna frågan är om era bevis gör det.

NIS2 Cybersicherheit ITSicherheit Mittelstand Familienunternehmen Geschaeftsfuehrerhaftung BSI Compliance Risikomanagement Informationssicherheit Unternehmensfuehrung KritischeInfrastruktur NIS2Richtlinie CyberSecurity Servola