Cybersäkerhetslagen i Sverige: vad innebär den praktiskt?

Bakgrund: från EU-direktiv till svensk lag

Den 16 januari 2023 trädde NIS2-direktivet (EU 2022/2555) i kraft på EU-nivå. Direktivet ersatte det första NIS-direktivet från 2016 och innebar en markant utvidgning av vilka organisationer som omfattas, vilka krav som ställs, och vilka sanktioner som kan utdömas vid bristande efterlevnad. I Sverige omsattes direktivet genom den nya Cybersäkerhetslagen (SFS 2025:1506) som trädde i kraft fullt ut i januari 2026 tillsammans med den kompletterande Cybersäkerhetsförordningen (SFS 2025:1507).

Det är viktigt att förstå att Cybersäkerhetslagen inte är en frivillig rekommendation eller ett ramverk att "aspirera till". Det är bindande lag med tillsynsmyndigheter, rapporteringsplikt och reella sanktionsavgifter. Den svenska implementeringen följer direktivet nära men innehåller också specifika svenska anpassningar, bland annat i fråga om tillsynsansvar och sektorsindelning.

Vilka organisationer omfattas?

NIS2, och därmed Cybersäkerhetslagen, delar in verksamheter i två kategorier: väsentliga entiteter och viktiga entiteter. Klassificeringen avgörs av en kombination av sektortillhörighet och organisationens storlek.

Väsentliga entiteter

Hit räknas organisationer inom sektorer av särskilt hög kritikalitet:

• Energi (el, fjärrvärme, olja, gas, vätgas)
• Transport (flyg, järnväg, väg, sjöfart)
• Bankverksamhet och finansmarknadsinfrastruktur
• Hälso- och sjukvård (sjukhus, laboratorier, läkemedelstillverkning)
• Dricksvattenförsörjning och avloppshantering
• Digital infrastruktur (IXP, DNS, TLD, molntjänster, datacenter)
• Offentlig förvaltning (centrala myndigheter)
• Rymdverksamhet

Storlekskravet innebär i normalfallet minst 250 anställda eller en omsättning över 50 MEUR, men vissa sektorer (digital infrastruktur och kvalificerade betrodda tjänster) omfattas oavsett storlek.

Viktiga entiteter

Utöver ovanstående tillkommer ytterligare sektorer:

• Post- och budtjänster
• Avfallshantering
• Kemikalier (tillverkning, produktion, distribution)
• Livsmedel (produktion, bearbetning, distribution)
• Tillverkning (medicintekniska produkter, datorer, elektronik, motorfordon, maskiner)
• Digitala tjänster (marknadsplatser, sökmotorer, sociala plattformar)
• Forskning

Medelstora företag (50–249 anställda eller 10–50 MEUR omsättning) inom dessa sektorer klassas som viktiga entiteter. Den praktiska konsekvensen är att tusentals svenska företag, varav många aldrig tidigare haft regulatoriska cybersäkerhetskrav, nu faller under tillsyn.

Tillsynsmyndigheter i Sverige

En central skillnad mot det första NIS-direktivet är att tillsynsansvaret i Sverige nu fördelas mellan ett stort antal sektorsspecifika myndigheter. Enligt 3 kap. Cybersäkerhetslagen och den kompletterande förordningen har följande myndigheter tillsynsansvar:

MCF (Myndigheten för civilt försvar, tidigare MSB) är gemensam kontaktpunkt enligt Cybersäkerhetsförordningen (2025:1507 § 23) och ansvarar för Sveriges CSIRT-enhet, CERT-SE (§ 31). Incidentrapporter enligt Cybersäkerhetslagen 2 kap. 5–8 §§ lämnas till CERT-SE. MCF är inte sektorsspecifik tillsynsmyndighet. Tillsyn utövas av de myndigheter som anges i tabellen ovan.

Tillsynsmyndigheterna har rätt att genomföra inspektioner (både planerade och oannonserade), begära dokumentation, kräva åtgärdsplaner och utfärda förelägganden. Vid allvarliga brister kan de förbjuda verksamhet eller ställa krav på ledningens personliga ansvar.

De tio minimiåtgärderna i artikel 21

Cybersäkerhetslagens kärna ligger i 2 kap. 3 §, som implementerar NIS2 artikel 21. Här ställs krav på att organisationer ska vidta "lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder" för att hantera risker mot nätverks- och informationssystem. Lagen specificerar tio minimiåtgärder:

1. 1.Riskanalys och informationssäkerhetspolicyer. Organisationen ska ha en systematisk process för att identifiera, bedöma och behandla risker. Policyer ska vara dokumenterade, kommunicerade och regelbundet uppdaterade.

1. 1.Incidenthantering. Rutiner för att upptäcka, analysera, begränsa och återhämta sig från säkerhetsincidenter, inklusive eskaleringskedjor och kontaktlistor.

1. 1.Driftskontinuitet och krishantering. Kontinuitetsplaner (BCP), katastrofåterställning (DR), reservrutiner och krisorganisation ska finnas dokumenterade och övas.

1. 1.Säkerhet i leverantörskedjan. Riskbedömning av direkta leverantörer och tjänsteleverantörer, inklusive avtalskrav, löpande övervakning och rätt till revision.

1. 1.Säkerhet vid förvärv, utveckling och underhåll av system. Krav på säker utvecklingslivscykel, sårbarhetsbedömning, patchhantering och konfigurationsstyrning.

1. 1.Utvärdering av åtgärdernas effektivitet. Regelbunden testning och granskning, inklusive penetrationstester, säkerhetsrevisioner och interna kontroller.

1. 1.Cyberhygien och utbildning. Grundläggande säkerhetsrutiner, medarbetarutbildning, lösenordspolicyer och medvetandehöjande program.

1. 1.Kryptografi och kryptering. Policyer och rutiner för användning av kryptografiska kontroller, inklusive nyckelhantering och val av algoritmer.

1. 1.Personalresurser, åtkomstkontroll och tillgångshantering. Behörighetshantering baserad på minsta privilegium, identitetsverifiering, tillgångsregister och processer vid anställning och avslut.

1. 1.Flerfaktorsautentisering och säkrad kommunikation. Krav på MFA för åtkomst till kritiska system och säkrade kommunikationskanaler vid behov.

Rapporteringsplikt: tre tidsfönster

Cybersäkerhetslagen 2 kap. 5–8 §§ reglerar rapportering av betydande incidenter till CSIRT-funktionen (CERT-SE vid MCF). Rapporteringsplikten följer NIS2 artikel 23 och innebär tre distinkta rapporteringstillfällen:

• Tidig varning inom 24 timmar (2 kap. 5 §). En initial anmälan som bekräftar att en betydande incident inträffat, anger misstänkt orsak och huruvida gränsöverskridande påverkan kan föreligga.

• Incidentanmälan inom 72 timmar (2 kap. 6 §). En uppdaterad och mer detaljerad rapport som inkluderar en preliminär bedömning av incidentens allvar, påverkan och indikatorer på kompromettering (IoC). För betrodda tjänster gäller 24 timmar.

• Slutrapport inom en månad efter incidentanmälan (2 kap. 8 §). En fullständig redogörelse som inkluderar grundorsaksanalys, vidtagna åtgärder, kvarstående risker och lärdomar. Denna rapport är den som tillsynsmyndigheten typiskt granskar mest noggrant. På begäran ska även en delrapport lämnas enligt 2 kap. 7 §.

En incident räknas som "betydande" om den har medfört, eller kan medföra, allvarlig störning av tjänsterna, ekonomisk förlust eller skada för fysiska eller juridiska personer.

Ledningens ansvar

Cybersäkerhetslagen lägger ledningens ansvar i två lagrum: 2 kap. 4 § kräver att personer i ledningen genomgår utbildning om säkerhetsåtgärder, och 4 kap. 6 § ger tillsynsmyndigheten möjlighet att ansöka om förbud att inneha ledningsfunktion vid uppsåtlig eller grovt oaktsam överträdelse hos en väsentlig verksamhetsutövare. Sammantaget innebär det att:

• Ledningen ska faktiskt vidta de tio minimiåtgärderna enligt 2 kap. 3 §, vilket i praktiken förutsätter formellt godkännande och löpande tillsyn.
• Ledningen ska genomgå utbildning om säkerhetsåtgärder enligt 2 kap. 4 §.
• Vid uppsåt eller grov oaktsamhet hos befattningshavare i en väsentlig verksamhet kan förbud att inneha ledningsfunktion meddelas av allmän förvaltningsdomstol enligt 4 kap. 6–8 §§. Förbudet meddelas på minst ett och högst tre år.
• Det operativa arbetet kan delegeras till CISO eller säkerhetsavdelning, men ansvaret för att åtgärderna faktiskt vidtas ligger kvar hos verksamhetsutövaren och dess ledning.

Sanktionsavgifter enligt 4 kap. 9–10 §§ riktas mot verksamhetsutövaren, inte mot enskilda ledamöter. Förbudet att inneha ledningsfunktion är den personliga konsekvensen som finns inskriven i lagen.

Sanktioner

Sanktionsnivåerna i Cybersäkerhetslagen följer NIS2-direktivets maximinivåer:

• Väsentliga entiteter: Upp till 10 000 000 EUR eller 2 % av den globala årsomsättningen (det högsta beloppet gäller).
• Viktiga entiteter: Upp till 7 000 000 EUR eller 1,4 % av den globala årsomsättningen.

Sanktionsavgifterna utfärdas av tillsynsmyndigheten och kan överklagas till förvaltningsdomstol. Utöver ekonomiska sanktioner har tillsynsmyndigheterna möjlighet att:

• Utfärda förelägganden med krav på specifika åtgärder inom en given tidsfrist.
• Offentliggöra tillsynsbeslut (publicering med namn).
• Tillfälligt förbjuda ledningspersoner att utöva sina befattningar.
• Besluta om förbud att tillhandahålla en viss tjänst tills bristerna är åtgärdade.

Tidslinjer och nästa steg

Cybersäkerhetslagen trädde i kraft den 15 januari 2026. Organisationer som omfattas ska:

1. 1.Redan ha genomfört en omfattningsbedömning och identifierat vilken kategori (väsentlig/viktig) de tillhör.
2. 2.Ha registrerat sig hos berörd tillsynsmyndighet. Registreringsplikt gäller och utebliven registrering är i sig en överträdelse.
3. 3.Ha implementerat eller påbörjat implementering av de tio minimiåtgärderna.
4. 4.Ha etablerat incidentrapporteringsprocesser med kontaktpersoner gentemot CERT-SE.
5. 5.Ha dokumenterat ledningens godkännande av riskhanteringsåtgärder och planerat utbildning.

Tillsynsmyndigheterna har aviserat att de under 2026 i första hand kommer att fokusera på registrering, grundläggande riskhantering och incidentrapporteringsförmåga. Proaktiva organisationer som redan har ISO 27001 eller liknande ramverk har ett försprång, men bör genomföra en gap-analys specifikt mot Cybersäkerhetslagens krav, eftersom certifieringar inte automatiskt täcker alla NIS2-specifika krav.

Sammanfattning

Cybersäkerhetslagen innebär den mest genomgripande regulatoriska förändringen av cybersäkerhet i Sverige sedan NIS-direktivet 2018. Lagen omfattar väsentligt fler organisationer, ställer skarpare krav på dokumentation och riskhantering, introducerar personligt ledningsansvar och höjer sanktionsnivåerna dramatiskt. Organisationer som ännu inte påbörjat sitt arbete bör omedelbart genomföra en omfattningsbedömning, utse ansvarig och påbörja implementering av de tio minimiåtgärderna. Det går inte längre att vänta och se.