Många små och medelstora företag har tittat på NIS2 och tänkt att detta gäller några få, stora aktörer. Kraft, hälsa, transport, finans — samhällskritiska företag med hundratals anställda och miljarder i omsättning.
Det är rätt. På papperet.
Men det är inte där det stannar.
Samma företag är beroende av leverantörer. Och leverantörerna har i sin tur sina leverantörer. När kraven på säkerhet, kontroll och dokumentation skärps hos de som direkt omfattas, börjar samma krav dyka upp längre ner i kedjan. Inte nödvändigtvis som lagkrav – utan som frågor från kunder som själva omfattas av NIS2 och som behöver dokumentera att hela leverantörskedjan håller måttet.
I Danmark har under 2 000 företag registrerat sig som NIS2-skyldiga — långt färre än de 3 000 myndigheterna förväntade sig. Många vet helt enkelt inte att de omfattas. Och ännu fler vet inte att kraven kommer att drabba dem indirekt — genom deras kunder.
Det är den delen som är intressant för norska SMB.
När kunden frågar
De första frågorna handlar ofta om säkerhet. Har ni kontroll på åtkomst? Har ni loggning? Hur hanterar ni incidenter? Många svarar bra på detta — de har jobbat med säkerhet, kanske mot ISO 27001 eller motsvarande, och har fått mycket på plats.
Men så kommer nästa omgång.
Vilken sorts data behandlar ni egentligen? Varför har ni dem? Vem har åtkomst – i praktiken, inte på pappret? Hur länge lagras de? Vilka underleverantörer är involverade?
Och då blir det tyst.
Inte för att företaget inte har gjort något. Utan för att man har arbetat med säkerhet — och mindre med det som faktiskt händer med data över tid. Man har kontroll på systemen, men inte nödvändigtvis på användningen. Det är ett gap som många upptäcker först den dagen kunden ställer frågorna.
Två spår som hänger ihop
NIS2 handlar om robusthet — styrsystem, beredskap, incidenthantering, leveranskedjor. GDPR handlar om personuppgifter — ändamål, lagringstid, åtkomst, rättigheter.
De är inte samma sak. Men de överlappar mer än de flesta tror.
Du kan ha god kontroll på IT-säkerheten och samtidigt ha dålig kontroll på personuppgifter. Du kan ha tekniska åtgärder på plats och ändå sakna översikt över ändamål, lagringstid och faktiskt användning. Avtalen beskriver en sak — verkligheten utvecklas i en annan riktning. Åtkomst utökas gradvis, ofta utan att någon fattar ett medvetet beslut.
NIS2 säger uttryckligen att direktivet inte åsidosätter GDPR. De två regelverken existerar sida vid sida. Och för en verksamhet som vill svara bra när kunden frågar, är det helheten som räknas — inte bara det ena spåret.
Leverantörskedjan som efterlevnadstest
Det som gör NIS2 särskilt relevant för små och medelstora företag är fokus på leveranskedjor. Verksamheter som omfattas av NIS2 är skyldiga att bedöma riskerna i sina leverantörsrelationer. Det betyder att de kommer att ställa frågor nedåt — och förvänta sig dokumenterade svar.
Inte som formalitet. Som kvalifikationskrav.
Vi har redan sett detta i GDPR-sammanhang. Inköpsavdelningar kräver databehandlaravtal, underleverantörslistor, dokumentation om åtkomsthantering och avvikelsehantering. De som inte kan leverera, blir bortvalda.
NIS2 förstärker denna dynamik. Kraven blir bredare — inte bara personuppgifter, utan hela verksamhetens robusthet. Och de går djupare — inte bara avtalstext, utan faktiskt praktik.
Grant Thornton pekar på att många företag fortfarande inte har registrerat sig som NIS2-skyldiga, och att förväntningen är att tillsynsmyndigheterna kommer att tillämpa regelverket konsekvent. Det finns anledning att tro att samma sak kommer att gälla i Norge när regelverket implementeras fullt ut.
Vad ett litet eller medelstort företag faktiskt behöver
Inte allt. Men tillräckligt för att kunna svara.
Det innebærer att du bör kunna förklara vad du levererar, vilka system du använder, vilka data som är involverade, vem som har åtkomst, vilka leverantörer du använder, hur du hanterar incidenter — och hur du vet att det du säger faktiskt stämmer med det som händer.
Alla behöver inte kunna allt. Men alla behöver att kunde nog — i sitt eget område. Den som hanterar kunddata i CRM-systemet behöver inte förstå hela NIS2-direktivet. Men hon behöver veta vad hon har tillgång till, varför, och vad hon gör om något går fel.
Det är egentligen inte så annorlunda från god matlagning. Du behöver inte vara kock för att krydda maten riktigt. Men du behöver ha kryddorna där maten lagas — inte gömda i ett skåp som ingen öppnar.
Frågan är inte om du omfattas av NIS2
Det handlar om du är redo för den dagen kunden frågar.
För många kommer det där testet inte från myndigheterna. Det kommer från en kund som själv är under press – och som behöver veta att leverantörskedjan håller.
Det är inte ett hot. Det är en möjlighet. Verksamheter som kan dokumentera kontroll – över säkerhet och över integritetsskydd – står starkare i anbudsprocesser, i kundrelationer och vid oväntade händelser.
Du behöver inte göra allt på en gång. Men du behöver ha börjat.
Inspirerad av: Grant Thornton – «Talar ni NIS2? Många företag gör det inte» (mars 2026)
