Idag träder nya cybersäkerhetslagen i kraft – detta innebär den

Vad är den nya cybersäkerhetslagen?

Den nya cybersäkerhetslagen är Sveriges sätt att genomföra EU:s NIS2-direktiv. Cybersäkerhetslagen ersätter det ursprungliga NIS-direktivet, där NIS är en förkortning för “The Directive on Security of Network and Information Systems”. Syftet med lagen är att höja den gemensamma nivån av cybersäkerhet inom både offentlig och privat sektor.  

Vilka är skillnaderna mot NIS-direktivet, och vilka omfattas av den nya lagen? 

Cybersäkerhetslagen omfattar verksamhetsutövare inom 18 sektorer – en stor skillnad mot det ursprungliga NIS-direktivet som “endast” omfattade sju sektorer. Dessa 18 sektorer innefattar exempelvis energi, transport, hälso- och sjukvård, livsmedelsförsörjning, finans, digital infrastruktur, offentlig förvaltning och forskning. För privata verksamheter finns ett storlekskrav på minst 50 anställda eller 10 miljoner euro i omsättning – men även mindre aktörer än så kan pekas ut som särskilt kritiska.  

Dessutom omfattas leverantörer och underleverantörer som är viktiga ur driftsynpunkt, samt företag som hanterar kritiska tjänster åt andra, även om de själva inte är samhällskritiska. 

En annan skillnad mot tidigare NIS-direktiv är att kraven numera kommer att gälla för hela den berörda verksamheten och inte bara de delar som erbjuder digitala tjänster eller anses vara samhällsviktiga.

Vad behöver alla verksamheter som omfattas av den nya cybersäkerhetslagen göra?  

• Anmäla sin verksamhet till Myndigheten för civilt försvar (tidigare MSB). En nationell anmälningstjänst öppnar under våren 2026.
• Utse en företrädare i vissa fall, särskilt för gränsöverskridande verksamheter.
• Göra regelbundna riskanalyser, ha dokumenterade rutiner för incidenthantering, samt arbeta med kontinuitetsplanering och återställning.
• Säkerställa säkerhet i leverantörskedjan.
• Utbilda ledningen i cybersäkerhet. Verksamhetens ledning måste ha tillräcklig kunskap för att kunna identifiera risker, bedöma vilka säkerhetsåtgärder som ska vidtas och följa upp att organisationens skyddsnivå är tillräcklig.
• Rapportera in en varning till Myndigheten för civilt försvar inom 24 timmar och en incidentanmälan inom 72 timmar efter en allvarlig incident. 

Hanteras samtliga berörda aktörer likadant?

Det finns två kategorier av verksamhetsutövare: väsentliga och viktiga. Väsentliga verksamhetsutövare är under striktare tillsyn och har mer omfattande krav på sig. De kan också få högre bötesbelopp om de inte uppfyller kraven.

Väsentliga verksamhetsutövare är bland annat statliga myndigheter, kommuner och regioner samt större företag med samhällskritiska funktioner. Exempel på sektorer som räknas till väsentliga verksamhetsutövare är energi, transport, bankverksamhet samt hälso- och sjukvårdssektorn.

Viktiga verksamhetsutövare är aktörer som omfattas av lagen och som är centrala för samhällets funktion, men betraktas som något mindre kritiska än de väsentliga. Exempel på sektorer som klassas som viktiga verksamhetsutövare är digital infrastruktur, avfallshantering och tillverkning. 

Vilken myndighet är tillsynsmyndighet och vad händer om man inte följer lagen? 

Varje sektor kommer att omfattas av tillsyn från en eller flera tillsynsmyndigheter. Myndigheten för civilt försvar har ett övergripande samordningsansvar. Detta omfattar samordning på nationell nivå gentemot tillsynsmyndigheter och verksamhetsutövare, samt rollen som nationell kontaktpunkt gentemot EU och andra medlemsstater. 

Vid bristande efterlevnad kan tillsynsmyndigheterna utfärda förelägganden, ingripa organisatoriskt och ta ut sanktionsavgifter.

Hur och när ska man anmäla sin verksamhet?

Myndigheten för civilt försvar kommer lansera en nationell anmälningstjänst under våren 2026. Om din verksamhet omfattas av den nya lagen kan ni anmäla er där så fort den är tillgänglig. Informationen från tjänsten kommer att användas för att skapa en samlad förteckning över vilka verksamhetsutövare som tillhör vilka sektorer. Förteckningen kommer sedan att ges till tillsynsmyndigheterna.