Tidsplanen: tre steg under 2026

Cybersäkerhetslagen (SFS 2025:1506) trädde i kraft den 15 januari 2026, men lagen är skriven på en övergripande nivå och preciseras stegvis genom föreskrifter. Det första steget kom den 1 juli 2026, när MCFFS 2026:8 om incidentrapportering och informationsskyldighet trädde i kraft. Sedan dess lämnas incidentrapporter till NCSC, Nationellt cybersäkerhetscenter vid FRA, via incidentrapporteringsverktyget i cyberportalen.

Nästa steg är den 1 oktober 2026. Då träder två föreskrifter i kraft: föreskrifter om säkerhetsåtgärder och ledningens utbildning samt föreskrifter om säkerhetsrevisioner och säkerhetsskanningar. Det är det datum svenska väsentliga och viktiga verksamhetsutövare bör planera mot under sommaren och hösten.

Säkerhetsåtgärder och ledningens utbildning

Den första föreskriften preciserar lagens mest centrala krav: att verksamhetsutövaren ska vidta lämpliga och proportionella säkerhetsåtgärder enligt 2 kap. 3 §, och att personer i ledningen ska genomgå utbildning om säkerhetsåtgärder enligt 2 kap. 4 §.

För säkerhetsåtgärderna innebär det att de tio minimiåtgärdsområdena i lagen, från riskanalys och incidenthantering till leverantörskedjesäkerhet och kryptografi, får en tydligare svensk precisering. För ledningens del innebär det att utbildningsplikten går från en allmän skyldighet till ett krav som tillsynen kan följa upp mot föreskriftstext. Styrelser och verkställande ledningar som ännu inte genomfört och dokumenterat sin utbildning har ett konkret datum att förhålla sig till.

Säkerhetsrevisioner och säkerhetsskanningar

Den andra föreskriften gäller uppföljningen: hur verksamhetsutövaren kontrollerar att säkerhetsåtgärderna faktiskt fungerar. Det knyter an till lagens krav på utvärdering av åtgärdernas effektivitet, ett av de tio minimiåtgärdsområdena, och omfattar både säkerhetsrevisioner av styrning och rutiner och säkerhetsskanningar av tekniska miljöer.

I praktiken betyder det att en organisation behöver kunna visa en återkommande cykel: åtgärder införs, revideras, skannas och förbättras. En riskanalys som gjordes en gång i januari och sedan legat orörd uppfyller inte det mönstret.

Den riskbaserade ansatsen

Föreskrifterna bygger på en riskbaserad ansats: verksamhetsutövaren ska bedöma sina risker, värdera sina informationstillgångar och vidta säkerhetsåtgärder som är lämpliga i förhållande till riskerna. Det är en viktig skillnad mot en fast kravlista.

Konsekvensen är att två organisationer i samma sektor kan landa i olika åtgärdsnivåer och båda göra rätt, förutsatt att de kan visa hur de resonerat. Dokumentationen av riskbedömningen och värderingen av informationstillgångar blir därmed lika viktig som åtgärderna själva. Frågan tillsynen kan ställa är inte "har ni åtgärden" utan "varför valde ni just den här nivån".

Kopplingen till de tio minimiåtgärdsområdena

FöreskriftsområdeKoppling till cybersäkerhetslagen
Säkerhetsåtgärder2 kap. 3 §, de tio minimiåtgärdsområdena: riskanalys, incidenthantering, kontinuitet, leverantörskedja, systemsäkerhet, cyberhygien, kryptografi, åtkomstkontroll och MFA
Ledningens utbildning2 kap. 4 §, utbildningsplikt för personer i ledningen
SäkerhetsrevisionerUtvärdering av säkerhetsåtgärdernas effektivitet, styrning och rutiner
SäkerhetsskanningarTeknisk uppföljning: sårbarheter och exponering i nätverks- och informationssystem

Så förbereder ni er under sommaren och hösten

Tre månader räcker för att gå in i oktober med ordning, om arbetet delas upp:

  1. 1.Juli: inventera och värdera. Lista informationstillgångarna: system, data, beroenden och leverantörer. Värdera dem efter hur allvarlig en förlust av konfidentialitet, riktighet eller tillgänglighet skulle vara. Värderingen är grunden för hela den riskbaserade ansatsen.
  2. 2.Augusti: riskbedömning och gap-analys. Bedöm riskerna mot de värderade tillgångarna och jämför nuvarande åtgärder med de tio minimiåtgärdsområdena. Planera ledningens utbildning så att den hinner genomföras och dokumenteras före oktober.
  3. 3.September: besluta och protokollför. Låt ledningen fatta ett protokollfört beslut om åtgärdsplanen, lägg fast en återkommande cykel för revisioner och skanningar, och kontrollera att incidentrutinen pekar på NCSC och cyberportalen, inte på gamla kontaktvägar.

Nästa steg

I CyberKlars NIS2-samordnare är gap-analysen grupperad efter föreskriftsområdena, riskregistret kopplar värderingen av informationstillgångar till åtgärdsvalet, och utbildningsuppföljningen visar ledningens status mot den 1 oktober 2026. Organisationer som vill börja med en lägesbild gör diagnosen på cyberklar.se och får gap-listan att arbeta från.