Digitale trusler vokser, og konsekvenserne er alvorlige. Læs, hvordan EU skærper indsatsen mod cyberangreb.
Cybersäkerhetslagen - Vad innebär den för din organisation?

Cybersäkerhetslagen - Vad innebär den för din organisation?

Time Reading
9 minuters läsning
NIS2

I takt med att digitaliseringen ökar blir samhället mer sårbart för cyberhot. Hackare, ransomware och attacker mot kritisk infrastruktur kan få stora konsekvenser, allt från störningar i energiförsörjning till avbrott i vården eller finanssystemen.

Den kommande cybersäkerhetslagen (CSL) är därför en viktig del av Sveriges totalförsvar i dagens osäkra omvärld. Lagen ska bidra ytterligare till att stärka landets förmåga att skydda kritisk infrastruktur, verksamheter och information, och skapa tydligare regler för hur organisationer ska arbeta med säkerhet mot cyberattacker.

Vad är cybersäkerhetslagen?

Den nya cybersäkerhetslagen markerar ett stort steg framåt för Sveriges arbete med cybersäkerhet. Lagen är den nationella implementeringen av EU:s NIS2-direktiv och syftar till att stärka skyddet av samhällsviktiga och digitala tjänster mot cyberhot, samt säkerställa att både offentliga och privata aktörer arbetar systematiskt med riskhantering, incidentrapportering och leverantörsansvar.

LÄS OCKSÅ: Verksamhetsfördelar med NIS2

Vem gäller cybersäkerhetslagen för?

Cybersäkerhetslagen kommer att gälla för offentliga och enskilda verksamhetsutövare inom högkritiska- och kritiska sektorer. De enskilda verksamhetsaktörer inom dessa sektorer omfattas om de storleksmässigt motsvarar eller är större än minst 50 anställda och har en omsättning som överstiger 10 millioner euro. Nedan kommer exempel på de sektorer som omfattas av den nya cybersäkerhetslagen. 

Högkritiska sektorer:

  • Energi
  • Transport
  • Bankverksamhet och finans
  • Hälso- och sjukvård
  • Dricksvatten och avloppsvatten
  • Digital infrastruktur och förvaltning av IKT-tjänster
  • Offentlig förvaltning
  • Rymden

Andra kritiska sektorer:

  • Post- och budtjänster
  • Avfallshantering
  • Livsmedel och kemikalier
  • Digitala leverantörer
  • Forskning

Leverantörer kan bli indirekt omfattade

Även om din organisation inte omfattas direkt av CSL kan ni påverkas indirekt om ni är leverantör till en verksamhet som är direkt omfattat. De verksamheter som omfattas av NIS2 måste nämligen analysera risker i sin leveranskedja och vidta säkerhetsåtgärder för att skydda samarbeten med leverantörer och tjänsteleverantörer.

Det innebär att leverantörer kan behöva uppfylla vissa säkerhetskrav eller visa hur de hanterar risker, även utan att de själva omfattas av lagen. Tillsynsmyndigheterna kommer dessutom att kunna förtydliga kraven på säkerhet i leveranskedjan genom kommande föreskrifter.

Då träder cybersäkerhetslagen i kraft

Arbetet med den nya cybersäkerhetslagen är i full gång. Lagrådsremissen presenterades i juni 2025, och riksdagen väntas fatta beslut i december 2025. Om allt går enligt plan träder den nya cybersäkerhetslagen i kraft den 15 januari 2026.

Under tiden ska det utvecklas myndighetsföreskrifter för att förtydliga hur reglerna ska tillämpas i praktiken:

  • MSB (Myndigheten för samhällsskydd och beredskap) ansvarar för de flesta sektorer.
  • PTS (Post- och telestyrelsen) tar fram föreskrifter för sektorer som inkluderar digital infrastruktur och digitala leverantörer, samt förvaltning av IKT-tjänster, rymdverksamhet, post- och budtjänster.

Föreskrifterna tillkommer som förtydligande krav utöver kraven i cybersäkerhetslagen. Att följa föreskrifterna är alltså en del av att uppfylla cybersäkerhetslagen.

Vad handlar föreskrifterna om? 

MSB kommer med fyra föreskrifter som publiceras i följande ordning:

  1. Anmälan och identifiering
  2. Incidentrapportering och informationsskyldighet
  3. Säkerhetsåtgärder och utbildning
  4. Säkerhetsrevisioner och säkerhetsskanningar

Medan PTS kommer med dessa föreskrifter till deras sektorer:

  • Säkerhetsåtgärder
  • Register av domännamn
  • Incidentrapportering
  • Informationsskyldighet

Så säkerställs det att lagen efterlevs – tillsyn, sanktioner och stöd

Medan MSB och PTS tar fram föreskrifterna till cybersäkerhetslagen, finns det andra myndigheter som får tillsynsansvar. De ska se till att omfattade verksamheter verkligen följer reglerna och att säkerhetsåtgärder genomförs i respektive sektor.

De myndigheter som får denna roll är:

  • Energimyndigheten
  • Finansinspektionen
  • IVO (Inspektionen för vård och omsorg)
  • Livsmedelsverket
  • PTS (Post- och telestyrelsen)
  • Transportstyrelsen
  • Läkemedelsverket
  • 6 länsstyrelser

Om en verksamhet inte följer cybersäkerhetslagen kan det få konsekvenser, såsom en anmärkning, sanktioner och att ledningen får förbud att inneha ledningsfunktion. En sanktionsavgift kan komma att se olika ut beroende på om det är en väsentlig, viktig eller offentlig verksamhetsutövare. Kostnaden kan bli allt från 5 000 SEK till 10 millioner euro. Detta är för att säkerställa att verksamheter tar sitt cybersäkerhetsarbete på allvar och skyddar kritisk information och infrastruktur mot hot och attacker.

Få stöd till att leva upp till CSL 

För att underlätta för organisationer att leva upp till cybersäkerhetslagen och undgå sanktionerna, kan du hitta stöd och rådgivning från dessa aktörer:

  • MSB kan erbjuda rådgivning och vägledning i cybersäkerhetsfrågor.
  • Sveriges Kommuner och Regioner (SKR) kan ge resurshjälp till kommuner och andra offentliga aktörer.
  • Tillsynsmyndigheter kan förklara och förtydliga kraven samt ge råd om hur man bäst uppfyller dem.

Syftet med stödet är att verksamheter ska kunna förbättra sitt cybersäkerhetsarbete i praktiken, förebygga risker och agera proaktivt, redan innan något allvarligt inträffar.

Kommande krav i cybersäkerhetslagen

Så vilka krav är det då man ska leva upp till? Den nya cybersäkerhetslagen bygger på EU:s NIS2-direktiv, så även om det inte har kommit ett beslut om cybersäkerhetslagen ännu, så har vi NIS2-direktivet att gå efter.

NIS2 ställer krav på ett riskbaserat cybersäkerhetsarbete med tekniska och organisatoriska åtgärder, inklusive löpande risk- och incidenthantering, beredskap, backup och säkerhet i leveranskedjan. Dessutom ska verksamheter utvärdera åtgärderna, utbilda personal och ledning, ha tydlig åtkomstkontroll och kryptering, samt rapportera allvarliga incidenter inom 24 timmar

Likaså kräver cybersäkerhetslagen enligt lagrådsremissen att omfattade verksamheter har säkerhetsåtgärder som omfattar:

  • Riskanalys och skydd av nätverks- och informationssystem.
  • Incident-, kris- och kontinuitetshantering för att kunna agera vid störningar.
  • Säkerhet i leveranskedjan och vid utveckling, förvärv eller underhåll av IT-system.
  • Utvärdering av säkerhetsåtgärder för att säkerställa effektivitet.
  • Cyberhygien och utbildning för personal och ledning.
  • Kryptering, åtkomstkontroll och personalsäkerhet för att skydda information.
  • Vid behov även säkrad kommunikation och autentisering vid nödsituationer.

LÄS OCKSÅ: Gör dig redo för NIS2

Så förbereder du dig för cybersäkerhetslagen

Med den nya cybersäkerhetslagen på väg är det viktigt för organisationer att börja förbereda sig i god tid. Du kan redan nu börja identifiera och åtgärda brister, bygga robusta rutiner och säkerställa efterlevnad innan lagen träder i kraft, vilket minskar risken för allvarliga incidenter och eventuella sanktioner.

För att komma igång kan du följa dessa steg:

  • Gör en gap-analys mot NIS2-kraven: Identifiera vilka krav som redan uppfylls och vilka områden som behöver stärkas. Detta ger en tydlig bild av var resurser och åtgärder behövs.
  • Etablera styrning och ansvar: Definiera vem som ansvarar för cybersäkerhet på ledningsnivå och i olika delar av organisationen. Tydlig ansvarsfördelning är avgörande för att säkerställa efterlevnad.
  • Uppdatera incidenthanteringsplaner: Säkerställ att organisationen har tydliga rutiner för att identifiera, rapportera och åtgärda incidenter. Planen bör inkludera kommunikation både internt och med myndigheter.
  • Säkerställ leverantörskedjans säkerhet: Eftersom externa partners kan utgöra risker måste ni analysera leverantörer, ställa krav på deras cybersäkerhet och följa upp att dessa uppfylls.

Utöver dessa konkreta åtgärder är det viktigt att:

  • Utbilda personal och ledning kontinuerligt om cybersäkerhet och incidenthantering.
  • Följa utvecklingen av föreskrifter från MSB och PTS, eftersom de konkretiserar lagen och är bindande.
  • Dokumentera och utvärdera säkerhetsåtgärder regelbundet för att kunna visa att organisationen uppfyller lagens krav.

Ligg steget före: Samlad GRC-lösning för cybersäkerhet

Genom att samla cybersäkerhetsarbetet i en GRC-plattform, blir det mycket enklare att samordna mellan avdelningar, bygga upp nya processer och behålla överblick över hur man lever upp till cybersäkerhetslagen.

Det tar nämligen tid att bygga upp en ny efterlevnadskultur, eftersom olika avdelningar måste samarbeta och förstå sina roller i säkerhetsarbetet. Med den nya cybersäkerhetslagen blir detta samarbete ännu viktigare – organisationer måste arbeta tillsammans över hela verksamheten för att uppfylla lagens krav och säkerställa att alla säkerhetsåtgärder fungerar i praktiken.

Genom att börja arbeta med cybersäkerhetslagen i en samlad GRC-plattform redan nu, kan organisationer bygga en hållbar cybersäkerhetskultur, förbättra samarbetet mellan avdelningar och ligga steget före när lagen träder i kraft.
Logo

Andra artiklar

CSRD: Förstå EU-direktivet om hållbarhetsrapportering

Time Reading
6 minuters läsning
ESG

Förstå EU:s Sustainable Finance Package

Time Reading
4 minuters läsning
ESG

Gör dig redo för NIS2

Time Reading
7 minuters läsning
NIS