Läser in
Vid acceptans laddas Google Analytics 4. Inget körs om ni avböjer. Integritetspolicy ·
Läser in
Lagen har gällt sedan 15 januari 2026, men det är föreskrifterna som gör kraven operativa. Det första steget kom 1 juli 2026: MCFFS 2026:8 reglerar vilka incidenter som är rapporteringspliktiga, hur rapporteringen går till och vilka uppgifter som ska lämnas. Samtidigt öppnade incidentrapporteringsverktyget i cyberportalen (cyberportal.ncsc.se), och mottagare är NCSC, Nationellt cybersäkerhetscenter, en del av FRA. Fristerna: upplysning senast 24 timmar efter att incidenten identifierats som rapporteringspliktig, incidentanmälan senast 72 timmar, slutrapport senast en månad efter incidentanmälan.
Det andra steget träder i kraft 1 oktober 2026 och består av två författningar: föreskrifter om säkerhetsåtgärder och ledningens utbildning samt föreskrifter om säkerhetsrevisioner och säkerhetsskanningar. De bygger på en riskbaserad ansats: verksamhetsutövaren ska bedöma sina risker, värdera sina informationstillgångar och vidta lämpliga säkerhetsåtgärder utifrån sina förutsättningar. Områdena motsvarar minimiåtgärderna i cybersäkerhetslagens 4 kap. (NIS2 art. 21.2): riskhantering, incidenthantering, kontinuitet, leverantörssäkerhet, kryptografi, behörigheter, multifaktorautentisering och grundläggande cyberhygien.
För de flesta verksamhetsutövare är 1 oktober det datum som avgör vad tillsynen kommer att mäta mot. Kraven på säkerhetsrevisioner och säkerhetsskanningar innebär dessutom att det inte räcker med dokumenterade rutiner: efterlevnaden ska kunna verifieras tekniskt och återkommande.
Cybersäkerhetslagen trädde i kraft 15 januari 2026 utan övergångsperiod; föreskrifterna preciserar hur kraven uppfylls och får egna ikraftträdandedatum. En vanlig förväxling gäller mottagaren: föreskrifterna togs fram av MCF, men cyberverksamheten flyttade 1 juli 2026 till NCSC vid FRA. Incidentrapporter lämnas till NCSC via cyberportalen, inte till MCF eller CERT-SE. CERT-SE finns kvar som operativt stöd vid pågående incidenter, dygnet runt.
NIS2-samordnaren bevakar regelverk, uppdaterar kontroller och levererar styrelse-PDF inom 72 timmar efter varje förändring. Sprinten levererar audit-ready-dokumentation på 60 dagar med pengar tillbaka-garanti.