Två regelverk som ofta möts
Säkerhetsskyddslagen och Cybersäkerhetslagen reglerar olika saker, men i praktiken landar de ofta hos samma verksamheter. Säkerhetsskyddslagen (SFS 2018:585) handlar om att skydda det som rör Sveriges säkerhet. Cybersäkerhetslagen (SFS 2025:1506), som genomför NIS2-direktivet i svensk rätt, handlar om cybersäkerhet och incidentrapportering i samhällsviktig och digital verksamhet.
Den som driver verksamhet inom energi, vatten, elektronisk kommunikation, digital infrastruktur eller offentlig förvaltning behöver därför nästan alltid ställa sig två frågor parallellt: är vi säkerhetskänsliga enligt säkerhetsskyddslagen, och omfattas vi av Cybersäkerhetslagen. Svaren är oberoende av varandra. Det går att omfattas av det ena, det andra, båda eller inget.
Vad skiljer dem åt?
Den grundläggande skillnaden ligger i vad regelverket skyddar och varför. Säkerhetsskyddslagen utgår från Sveriges säkerhet och antagonistiska hot mot den. Cybersäkerhetslagen utgår från samhällets behov av fungerande och säkra digitala tjänster och nät.
| Aspekt | Säkerhetsskyddslagen (SFS 2018:585) | Cybersäkerhetslagen / NIS2 (SFS 2025:1506) |
|---|---|---|
| Skyddar | Verksamhet som rör Sveriges säkerhet, säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter | Cybersäkerhet i samhällsviktig och digital verksamhet, kontinuitet i tjänster och nät |
| Hotbild i fokus | Antagonistiska hot: spioneri, sabotage, terroristbrott | Cyberrisk i bred bemärkelse, både avsiktliga angrepp och störningar |
| Vem omfattas | Den som bedriver säkerhetskänslig verksamhet, oavsett storlek eller sektor | Väsentliga och viktiga entiteter i utpekade sektorer, ofta med storlekströsklar |
| Grundkrav | Säkerhetsskyddsanalys och åtgärder inom informationssäkerhet, fysisk säkerhet och personalsäkerhet | Riskhanteringsåtgärder, incidentrapportering och styrelsens ansvar för cybersäkerhet |
| Tillsyn | Säkerhetspolisen och Försvarsmakten, samt sektorsvisa tillsynsmyndigheter | Sektorsvisa tillsynsmyndigheter, samordning via MCF och CERT-SE |
| Sanktion | Sanktionsavgift upp till 50 miljoner kronor | Sanktionsavgifter enligt Cybersäkerhetslagen |
När gäller bara säkerhetsskyddslagen?
Säkerhetsskyddslagen gäller ensam när en verksamhet, eller en del av den, är av betydelse för Sveriges säkerhet, men verksamheten inte faller in under någon av de sektorer och trösklar som Cybersäkerhetslagen pekar ut. Exempel är vissa funktioner inom totalförsvaret eller försvarsindustrin, eller en mindre aktör med ett tydligt säkerhetskänsligt uppdrag som ligger utanför NIS2-sektorerna.
I dessa fall styr säkerhetsskyddsanalysen helt och hållet vilka krav som gäller. Det finns ingen NIS2-rapportering att förhålla sig till, men kraven på informationssäkerhet, fysisk säkerhet, personalsäkerhet och samråd är fullt ut tillämpliga.
När gäller bara NIS2?
Cybersäkerhetslagen gäller ensam när en verksamhet är en väsentlig eller viktig entitet i en NIS2-sektor men inte bedriver säkerhetskänslig verksamhet. Det gäller en stor del av de bolag och organisationer som träffas av NIS2. En leverantör av digitala tjänster, en livsmedelsproducent eller en avfallshanterare kan mycket väl omfattas av Cybersäkerhetslagen utan att ha någon verksamhet av betydelse för Sveriges säkerhet.
Då styr Cybersäkerhetslagen kraven: riskhanteringsåtgärder, incidentrapportering inom de tidsramar lagen anger, och styrelsens ansvar för cybersäkerheten. Säkerhetsskyddslagens krav på säkerhetsskyddsanalys och samråd aktualiseras inte.
När gäller båda samtidigt?
Den vanligaste situationen för kritisk infrastruktur är att båda regelverken gäller parallellt. En elnätsoperatör, en regional dricksvattenförsörjare, en operatör av elektronisk kommunikation eller en statlig myndighet med samhällsviktig digital verksamhet kan samtidigt bedriva säkerhetskänslig verksamhet och vara en väsentlig entitet enligt NIS2.
När de överlappar gäller en tydlig princip: säkerhetsskyddet har företräde för det som rör Sveriges säkerhet, medan Cybersäkerhetslagen fortsätter att gälla för cyberrisken i bredare bemärkelse. De båda regelverken tar alltså inte ut varandra. För den del av verksamheten som är säkerhetskänslig styr säkerhetsskyddslagen, och för cybersäkerheten i stort gäller NIS2-kraven utöver det.
Företräde och hur de förhåller sig
Säkerhetsskyddslagen har företräde för det som rör Sveriges säkerhet. Det betyder inte att NIS2-kraven försvinner, utan att säkerhetsskyddets krav och sekretess går först där verksamheten är säkerhetskänslig. Information som är säkerhetsskyddsklassificerad ska hanteras enligt säkerhetsskyddslagen även om samma system i övrigt omfattas av NIS2-krav.
I praktiken innebär det att verksamheten måste kunna skilja på vad som är säkerhetskänsligt och vad som är samhällsviktigt utan att röra Sveriges säkerhet. Den gränsdragningen görs i säkerhetsskyddsanalysen och styr sedan hur dokumentation, åtkomst och rapportering ska delas upp mellan de två regelverken.
Så samordnar du dokumentationen
Att driva två separata dokumentationsspår från grunden är dyrt och leder lätt till motstridiga uppgifter. Mycket av underlaget går att återanvända, så länge gränsdragningen mot det säkerhetskänsliga hålls tydlig. Nyckeln är en gemensam stomme med separata, korrekt skyddade delar för det som rör Sveriges säkerhet.
- Gemensam systemkartläggning. En och samma kartläggning av system och informationsflöden kan ligga till grund för både säkerhetsskyddsanalysen och NIS2-riskarbetet.
- Återanvänd risk- och kontinuitetsunderlag. Risk- och kontinuitetsdokumentation kan delas mellan regelverken, med tillägg för den antagonistiska hotbild som säkerhetsskyddet kräver.
- Håll säkerhetskänsliga delar separerade. Säkerhetsskyddsklassificerade uppgifter och själva säkerhetsskyddsanalysen ska hanteras med rätt klass och får inte blandas in i öppnare NIS2-dokumentation.
- Samordna leverantörshanteringen. Samma leverantörsregister kan stödja både NIS2-kraven och den lämplighetsprövning och det samråd som säkerhetsskyddslagen kräver vid utkontraktering.