Den nya cybersäkerhetslagen, som bygger på EU:s NIS2-direktiv, innebär skärpta och mer detaljerade krav på informationssäkerhet för ett stort antal verksamheter i Sverige. Lagen trädde i kraft den 15 januari 2026 och har som mål att säkerställa en hög av informationssäkerhet i Sverige, i enlighet med NIS 2 direktivet.
Jämfört med det tidigare NIS-direktivet omfattar den nya lagen fler sektorer, fler verksamheter och tydligare ansvar, särskilt när det gäller riskbedömningar, säkerhetsåtgärder, incidenthantering och ledningens involvering och ansvar. För många organisationer innebär detta nya skyldigheter, inte minst kravet på att anmäla sig och bedriva ett mer strukturerat informationssäkerhetsarbete.
NIS2-direktivet antogs av EU i december 2022 och ersätter det tidigare NIS-direktivet som infördes 2018 genom lagen om informationssäkerhet för samhällsviktiga och digitala tjänster. I Sverige har direktivet implementerats genom en ny cybersäkerhetslag som gäller från och med den 15 januari 2026.
Till lagen hör även en cybersäkerhetsförordning som kompletterar regelverket. Tillsammans innebär detta ett mer omfattande och detaljerat ramverk för hur verksamheter ska arbeta med informations- och cybersäkerhet. Kraven i NIS 2 är mer preciserade än tidigare och syftar till att skapa en mer enhetlig tillämpning inom hela EU.
En central del av cybersäkerhetslagen är att alla verksamhetsutövare som omfattas av lagen ska anmäla sin verksamhet. Anmälan ska göras så snart som möjligt efter den 2 februari 2026, och om den inte lämnas in inom 14 dagar kan tillsynsmyndigheten vidta åtgärder.
Anmälan görs till Myndigheten för civilt försvar. Myndigheten har ett övergripande samordningsansvar, både nationellt gentemot tillsynsmyndigheter och verksamhetsutövare samt på EU-nivå som nationell kontaktpunkt.
En förenklad version av anmälningstjänsten lanserades den 2 februari 2026. Verksamheter som anmäler sig via denna version behöver inte lämna in en ny anmälan senare. Det finns även en interimsversion av vägledningen för anmälan och identifiering, med en slutlig version planerad att publiceras inom kort.
Anmälan är endast det första steget. När verksamheten väl har identifierats som verksamhetsutövare enligt cybersäkerhetslagen följer ett löpande ansvar som berör hela organisationen.
Verksamhetsutövare ska bland annat:
Cybersäkerhetslagen ställer även tydligare krav på att organisationens ledning ska vara aktivt involverad i informationssäkerhetsarbetet. Informationssäkerhet blir därmed inte enbart en teknisk eller operativ fråga, utan en strategisk ledningsfråga.
Verksamheter som omfattas av cybersäkerhetslagen benämns verksamhetsutövare och återfinns inom 18 olika sektorer, som i sin tur kan vara uppdelade i flera delsektorer.
För varje sektor finns en eller flera tillsynsmyndigheter med ansvar för både vägledning och tillsyn. Detta innebär att tillsynen anpassas efter respektive sektors förutsättningar och risker.
Myndigheten för civilt försvar (MCF) har ett övergripande samordningsansvar. Det omfattar samordning gentemot tillsynsmyndigheter och verksamhetsutövare på nationell nivå samt rollen som nationell kontaktpunkt gentemot EU. Myndigheten ansvarar även för att ta fram föreskrifter som rör gemensamma krav för de verksamheter som omfattas av lagen.
När cybersäkerhetslagen träder i kraft förändras även reglerna för incidentrapportering. Fler verksamheter omfattas av rapporteringskrav, och tidsramarna för rapportering justeras jämfört med tidigare regelverk.
Verksamhetsutövare ska rapportera alla betydande incidenter till Myndigheten för civilt försvar. Syftet är att skapa en samlad lägesbild, möjliggöra varningar till andra aktörer och vid behov initiera samordnade insatser.
Under en övergångsperiod används en interimslösning innan en ny portal för incidentrapportering tas i drift under våren 2026. Därefter kommer både anmälan och incidentrapportering att hanteras i samma portal och vidareutvecklas över tid.
En incident är en oönskad händelse som påverkar:
Incidenter kan uppstå till följd av brister i säkerhetsarbetet, resursbrist, förändrat säkerhetsläge, kriminalitet eller klimatrelaterade faktorer. De kan få konsekvenser för it-miljöer, verksamhetens funktion och i förlängningen även för samhället.
Rapporteringsskyldigheten gäller betydande incidenter, vilket bland annat omfattar händelser som:
För vissa verksamheter gäller dessutom särskilda kriterier enligt EU:s genomförandeförordning.
Fram till dess att den nya portalen lanseras sker incidentrapportering via E-tjänsten IRON (Incident Reporting Online) eller genom skriftliga formulär som finns på mcf.se. Incidentrapporter lämnas till MCF, som därefter vidarebefordrar informationen till berörd tillsynsmyndighet inom aktuell sektor.
Cybersäkerhetslagen innebär skärpta krav på riskanalyser och säkerhetsåtgärder och ställer tydligare krav på att organisationens ledning aktivt ska delta i informationssäkerhetsarbetet. Samtidigt omfattar lagen fler sektorer än det tidigare NIS-regelverket, vilket innebär att antalet tillsynsmyndigheter ökar.
Vid bristande efterlevnad kan högre sanktionsavgifter än tidigare bli aktuella, vilket gör det särskilt viktigt att säkerställa att anmälan, informationssäkerhetsarbetet och incidentrapporteringen fungerar i praktiken när lagen träder i kraft.
Vill du veta hur ni kan komma i gång på ett strukturerat sätt och säkerställa att kraven uppfylls i praktiken? Eller vill du förstå vad cybersäkerhetslagen konkret innebär för just er verksamhet?
Vi tar gärna ett samtal. Våra rådgivare och jurister hjälper er att reda ut ansvar, prioriteringar och nästa steg.