NIS2 in Schweden

1. Schnellüberblick zur Anwendbarkeit für SMEs in Schweden

Gilt NIS2 für KMU in Schweden?

Ja — abhängig von Sektor und Größe.

• Automatische Anwendbarkeit auf mittelgroße Einrichtungen (≥50 Beschäftigte und ≥€10 Millionen Umsatz oder Bilanzsumme) in erfassten Sektoren.
• Kleine oder Kleinst-Einrichtungen sind nur einbezogen, wenn sie förmlich benannt werden oder in hochkritischen Sektoren tätig sind.
• Gilt für in Schweden ansässige Unternehmen und in bestimmten Fällen für ausländische digitale Anbieter, die den schwedischen Markt bedienen.

SMEs sollten ihre Einstufung im Rahmen des nationalen Cybersicherheitsrahmens Schwedens anhand der Sektorklassifizierung und gesetzlicher Schwellenwerte prüfen.

2. Überblick über die NIS2-Umsetzung in Schweden

Schweden hat die NIS2-Umsetzung mit dem Cybersäkerhetslagen (Cybersicherheitsgesetz, SFS 2025:1506) abgeschlossen, das der Riksdag am 10. Dezember 2025 verabschiedet hat und das seit dem 15. Januar 2026 in Kraft ist. Das neue Gesetz ersetzt das frühere Informationssicherheitsgesetz (2018:1174); parallel wurde die Cybersäkerhetsförordningen erlassen.

Schweden verpasste die Umsetzungsfrist vom 17. Oktober 2024 und erhielt am 7. Mai 2025 eine mit Gründen versehene Stellungnahme der EU-Kommission, die mit der Verabschiedung erledigt wurde. Das Gesetz folgt einem „Whole-Entity"-Ansatz und einem dezentralen Aufsichtsmodell: MSB (seit 1. Januar 2026 umbenannt in MCF — Myndigheten för civilt försvar, Schwedische Agentur für zivilen Verteidigungs- und Resilienzschutz) fungiert als nationaler Koordinator, zentrale EU-Anlaufstelle und nationales CSIRT, während PTS digitale Sektoren mitregulierung neben sektorspezifischen Behörden übernimmt.

Verpflichtende Schulungen der Leitungsorgane sind sanktionsbewehrt, Vertrauensdiensteanbieter müssen innerhalb von 24 Stunden (statt 72) melden, und betroffene Einrichtungen mussten sich bis zum 16. Februar 2026 registrieren (Frist verstrichen); das Meldeportal von MSB/MCF ist am 2. Februar 2026 online gegangen. Alle NIS2-Pflichten gelten seit dem 15. Januar 2026 ohne allgemeine Übergangsfrist.

3. Anwendungsbereich in Schweden

Der schwedische Anwendungsbereich spiegelt die Mindestsektorkategorien der Directive wider, ohne bestätigte strukturelle Ausweitung.

4. Größenschwellen und SME-Anwendbarkeit in Schweden

Die Basisschwellen gelten:

• ≥50 Beschäftigte und
• ≥€10 Millionen Jahresumsatz oder Bilanzsumme.

Einrichtungen, die beide Kriterien innerhalb der erfassten Sektoren erfüllen, fallen automatisch in den Anwendungsbereich.

Kleine und Kleinstunternehmen können förmlich benannt werden, wenn sie als kritisch für die nationale Sicherheit, die wirtschaftliche Stabilität oder die Aufrechterhaltung wesentlicher Dienste gelten.

Schwedische Behörden behalten formale Benennungsbefugnisse, wenn systemisches Risiko eine Einbeziehung rechtfertigt.

5. Klassifizierungsrahmen für Einrichtungen in Schweden

Einrichtungen werden wie folgt kategorisiert:

• Wesentliche Einrichtungen — Unterliegen einer proaktiven Aufsicht, einschließlich Inspektionen und strukturiertem Compliance‑Monitoring.
• Wichtige Einrichtungen — Unterliegen in erster Linie einer reaktiven Aufsicht, die durch bedeutende Vorfälle oder Compliance‑Bedenken ausgelöst wird.

Die Einstufung richtet sich nach Sektor und Größe. Behörden können Einrichtungen neu einstufen, wenn betriebliche Auswirkungen oder Risikobelastung eine verstärkte Aufsicht rechtfertigen.

Schweden folgt der zweistufigen Aufsichtsstruktur der Richtlinie.

6. Anforderungen an das Cybersicherheits-Risikomanagement in Schweden

Das nationale Regelwerk Schwedens entspricht dem Basisniveau der Richtlinie für das Risikomanagement der Cybersicherheit. Erfasste Einrichtungen müssen angemessene technische und organisatorische Maßnahmen umsetzen, die Folgendes adressieren:

• Risikoanalyse und Systemschutz
• Vorfallserkennung und -reaktion
• Geschäftskontinuität und Krisenmanagement
• NIS2-Lieferketten-Risikokontrollen in Schweden
• Sichere Beschaffung und Entwicklung von IKT‑Systemen
• Zugriffskontrolle und Identitätsmanagement
• Verschlüsselung und kryptografische Schutzmaßnahmen
• Verfahren zum Schwachstellenmanagement
• Schulungen der Mitarbeitenden zur Cybersicherheit

Maßnahmen müssen dem Stand der Technik und der organisatorischen Risikobelastung entsprechen. Eine Ausrichtung an ISO/IEC 27001 und an schwedischen Leitlinien zur Cybersicherheit wird empfohlen.

7. Haftung der Leitungsorgane und Governance in Schweden

Leitungsorgane müssen Maßnahmen des Cybersicherheits-Risikomanagements formell genehmigen und die Umsetzung überwachen.

Im schwedischen Rahmen:

• Aufsichtsgremien sind für die Überwachung der Compliance verantwortlich.
• Die oberste Leitung muss ausreichende Kompetenz im Bereich Cybersicherheit sicherstellen. Nach dem Cybersäkerhetslagen ist die Schulung der Leitungsorgane zu Sicherheitsmaßnahmen eine sanktionsbewehrte Pflicht — in die Leitung eingebundene Personen müssen an Schulungen zu Cybersicherheits-Risikomanagement teilnehmen.
• Verwaltungsrechtliche Sanktionen können Governance-Fehlleistungen ahnden.
• Mitglieder der Leitungsorgane wesentlicher Einrichtungen können in bestimmten Situationen als Durchsetzungsmaßnahme einem zeitlich befristeten Verbot der Wahrnehmung von Leitungsfunktionen unterworfen werden.

Die NIS2-Erwartungen an die Haftung der Leitungsorgane in Schweden heben die Cybersicherheits-Governance auf eine Verantwortung auf Führungsebene.

8. Meldepflichten für Sicherheitsvorfälle in Schweden

9. Aufsichtsbehörden und Durchsetzungsmodell in Schweden

MSB (Myndigheten för samhällsskydd och beredskap) fungiert als nationaler Koordinator, zentrale EU-Anlaufstelle und nationales CSIRT; seit dem 1. Januar 2026 umbenannt in MCF (Myndigheten för civilt försvar — Schwedische Agentur für zivilen Verteidigungs- und Resilienzschutz). MSB/MCF ist für die meisten Sektoren die bezeichnete Behörde für die Entgegennahme bedeutender Vorfallmeldungen.

Schweden betreibt ein dezentrales Aufsichtsmodell; sektorspezifische Behörden beaufsichtigen die Einrichtungen ihres Sektors. PTS (Post- och telestyrelsen — Schwedische Post- und Telekommunikationsbehörde) erlässt Vorschriften und beaufsichtigt digitale Infrastruktur, digitale Anbieter, ICT-Service-Management (B2B), Raumfahrt sowie Post- und Kurierdienste. MSB/MCF deckt die meisten übrigen Sektoren ab; einzelne Sektoren können zusätzliche bezeichnete Aufsichtsbehörden haben.

Zu den Aufsichtsbefugnissen gehören:

• Anforderungen von Unterlagen und Informationen
• Sicherheitsaudits
• Vor-Ort-Prüfungen
• Verbindliche Compliance-Anordnungen
• Teilnahme an EU-Koordinationsmechanismen für Cybersicherheit

Die Durchsetzungsstruktur steht im Einklang mit den Kooperationsanforderungen auf Richtlinienebene.

10. NIS2-Geldbußen und Sanktionen in Schweden

Schweden wendet richtlinienkonforme verwaltungsrechtliche Sanktionen an.

Bei der NIS2-Durchsetzung in Schweden können außerdem folgende Maßnahmen zur Anwendung kommen:

• Verbindliche Anordnungen zur Abhilfe
• Öffentliche Identifizierung nicht konformer Einrichtungen
• Aussetzung von Genehmigungen oder Zertifizierungen
• Zeitlich befristetes Verbot der Wahrnehmung von Leitungsfunktionen (für Mitglieder von Leitungsorganen wesentlicher Einrichtungen, in bestimmten Situationen)

Bis zu €7 Millionen oder 1,4 % des weltweiten Jahresgesamtumsatzes (je nachdem, welcher Wert höher ist)

11. NIS2 Lieferketten- und Lieferantensicherheit in Schweden

Einrichtungen müssen die Cybersicherheitsrisiken aus Drittparteien durch Folgendes managen:

• Risikobewertungen von Lieferanten
• Vertragliche Sicherheits-Flow-down-Klauseln
• Kontinuierliche ICT-Lieferantenüberwachung
• Analyse von Konzentrationsrisiken
• Eindämmung der Ausbreitung von Vorfällen

Der Ansatz Schwedens steht im Einklang mit den grundlegenden Erwartungen der Richtlinie an das Lieferantenrisikomanagement.

12. Pflichten zur Registrierung und Selbstidentifizierung in Schweden

Erfasste Einrichtungen müssen:

• Registrierung bei der zuständigen sektorspezifischen Aufsichtsbehörde — MSB/MCF für die meisten Sektoren, PTS für digitale Infrastruktur, digitale Anbieter, ICT-Service-Management (B2B), Raumfahrt sowie Post- und Kurierdienste. Die Registrierung sollte schnellstmöglich ab dem 15. Januar 2026 erfolgen; die ursprüngliche Registrierungsfrist für betroffene Einrichtungen war der 16. Februar 2026 (bereits verstrichen). Das Meldeportal von MSB/MCF wurde am 2. Februar 2026 aktiv.
• Unternehmensidentifikationsdaten bereitstellen
• Sektorzuordnung offenlegen — die Aufsichtsbehörde nutzt die Registrierungsangaben, um Einrichtungen als wesentlich oder wichtig einzustufen
• Aktualisierte Meldekontakte pflegen

Das Cybersäkerhetslagen folgt einem Whole-Entity-Ansatz: Fällt eine Einrichtung in den Anwendungsbereich, gilt die Compliance für ihre gesamte IT-Landschaft. Ergänzende Vorschriften von MSB/MCF und PTS (zu Meldung, Sicherheitsmaßnahmen, Schulung und Vorfallmeldung) wurden ab dem 15. Januar 2026 erlassen; weitere Vorschriften werden bis zum Ende des ersten Quartals 2026 erwartet.

Selbstidentifikation ist verpflichtend. Einrichtungen, die die Registrierungsfrist vom 16. Februar 2026 versäumt haben, sollten unverzüglich handeln — die Registrierung ist sanktionsbewehrt.

13. Zusammenspiel mit der GDPR und anderen Gesetzen in Schweden

Die General Data Protection Regulation gilt weiterhin parallel.

Überschneidungen betreffen insbesondere:

• 72-Stunden-Meldepflicht bei Verletzungen des Schutzes personenbezogener Daten
• Koordination der Aufsichtsbehörden

14. Grenzüberschreitende Anwendbarkeit

Einrichtungen mit ihrer Hauptniederlassung in Schweden unterliegen für grenzüberschreitende Dienste der Aufsicht schwedischer Behörden.

Ausländische digitale Anbieter, die Dienste in Schweden erbringen, können je nach Niederlassungsstruktur nationalen Pflichten unterliegen.

Vertretungspflichten folgen den Standards der Richtlinie für Anbieter außerhalb der EU, die den schwedischen Markt bedienen.

15. Umsetzungszeitplan in Schweden

• Annahme der Richtlinie: 2022
• Nationale Gesetzesänderungen: Cybersäkerhetslagen (SFS 2025:1506) vom Riksdag am 10. Dezember 2025 verabschiedet; Cybersäkerhetsförordningen parallel erlassen; ersetzt das Gesetz 2018:1174
• Inkrafttreten: 15. Januar 2026, ergänzende Vorschriften seit dem gleichen Datum wirksam
• Notifizierung an die Kommission: Mit Gründen versehene Stellungnahme der EU-Kommission vom 7. Mai 2025; mit Verabschiedung und Inkrafttreten erledigt
• Compliance-Meilenstein: Registrierungsfrist 16. Februar 2026 (verstrichen); alle Pflichten gelten unmittelbar ab dem 15. Januar 2026 ohne allgemeine Übergangsfrist; MSB/MCF-Meldeportal seit 2. Februar 2026 aktiv

Schweden hat seine NIS2-Umsetzung am 15. Januar 2026 abgeschlossen, nachdem die EU-Frist verpasst wurde. Alle Pflichten gelten unmittelbar ohne Übergangsfrist. Die Registrierungsfrist vom 16. Februar 2026 ist abgelaufen — noch nicht registrierte Einrichtungen sollten umgehend handeln.

16. Zentrale Erkenntnisse für KMU in Schweden

• Mittelgroße Einrichtungen in abgedeckten Sektoren fallen automatisch in den Anwendungsbereich. Das Cybersäkerhetslagen ist seit dem 15. Januar 2026 in Kraft und folgt einem Whole-Entity-Ansatz.
• Kleine Einrichtungen können benannt werden, wenn sie für die nationale oder wirtschaftliche Stabilität kritisch sind.
• Aufsicht auf Vorstandsebene ist verpflichtend. Schulungen der Leitungsorgane zu Sicherheitsmaßnahmen sind sanktionsbewehrt, und Mitglieder der Leitungsorgane wesentlicher Einrichtungen können einem zeitlich befristeten Verbot der Wahrnehmung von Leitungsfunktionen unterliegen.
• Vorfallmeldungen erfolgen nach Fristen von 24h / 72h / 1 Monat, wobei Meldungen an MSB/MCF (oder die sektorspezifische Aufsichtsbehörde) gehen. Vertrauensdiensteanbieter müssen sowohl die Frühwarnung als auch die Vorfallmeldung innerhalb von 24 Stunden einreichen.
• Geldbußen können bis zu €10 Millionen oder 2% des weltweiten Umsatzes erreichen.
• Vendor Risk Management ist erforderlich.
• Die Registrierungsfrist vom 16. Februar 2026 ist abgelaufen — registrieren Sie sich umgehend bei der zuständigen Aufsichtsbehörde (MSB/MCF für die meisten Sektoren; PTS für digitale Sektoren). Alle Pflichten gelten seit dem 15. Januar 2026 ohne Übergangsfrist, und ergänzende Vorschriften werden laufend erlassen und müssen beobachtet werden.

FAQ: NIS2 Sweden KMU-Leitfaden