Choose language

Lag om informationssäkerhet

Lag om informationssäkerhet är inte en enda lag i Sverige, utan ett samlingsbegrepp för flera parallella regelverk som tillsammans styr hur organisationer ska skydda information. Den tidigare lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, som genomförde NIS-direktivet, upphävdes den 15 januari 2026 och har ersatts av cybersäkerhetslagen (2025:1506). Eftersom både cybersäkerhetslagen och GDPR ställer krav på snabb incidentrapportering kan ni samla det operativa arbetet i ett incidenthanteringssystem.

Det här behöver du veta:

  • Det finns ingen enskild lag om informationssäkerhet i Sverige. Kraven ligger i cybersäkerhetslagen, GDPR, säkerhetsskyddslagen och sektorslagstiftning som DORA och patientdatalagen.
  • Den tidigare lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (2018:1174) ersattes av cybersäkerhetslagen (2025:1506) den 15 januari 2026.
  • Cybersäkerhetslagen genomför NIS2-direktivet och omfattar 18 sektorer, vilket är mer än dubbelt så många som tidigare.
  • Sanktionsavgifter kan landa på upp till 10 miljoner euro eller 2 % av global omsättning enligt cybersäkerhetslagen, och 20 miljoner euro eller 4 % enligt GDPR.

Vilken lag gäller för informationssäkerhet i Sverige?

Det finns ingen enskild lag om informationssäkerhet i Sverige. Kraven på informationssäkerhet följer av flera parallella regelverk, framför allt cybersäkerhetslagen, dataskyddsförordningen GDPR och säkerhetsskyddslagen, samt sektorsspecifika lagar för exempelvis finans, hälso- och sjukvård och statlig verksamhet.

Begreppet "lag om informationssäkerhet" används ofta i dagligt tal, men i svensk rätt är skyddet av information uppdelat i lagar med olika syften. Cybersäkerhetslagen fokuserar på nätverks- och informationssystem i samhällsviktiga sektorer. GDPR fokuserar på personuppgifter. Säkerhetsskyddslagen fokuserar på information av betydelse för Sveriges säkerhet. För finansiella entiteter tillkommer DORA-förordningen.

Vilken lag som gäller för er beror på vilken sektor ni verkar i, vilken information ni hanterar och hur stora ni är. De flesta större organisationer omfattas av flera regelverk samtidigt, och behöver bygga ett ledningssystem för informationssäkerhet som rymmer kraven från samtliga.

Cybersäkerhetslagen (2025:1506), den nya huvudlagen för informationssäkerhet

Cybersäkerhetslagen (2025:1506) är den nya svenska huvudlagen för informationssäkerhet i samhällsviktiga och digitala tjänster. Lagen trädde i kraft 15 januari 2026, ersätter den tidigare NIS-lagen och genomför NIS2-direktivet (EU 2022/2555) i svensk rätt.

Lagen omfattar både privata och offentliga verksamhetsutövare i 18 sektorer med tillhörande delsektorer. Bland sektorerna finns:

  • Energi (el, gas, fjärrvärme, vätgas, olja)
  • Transport (väg, järnväg, sjö, luft)
  • Bank och finansmarknadsinfrastruktur
  • Hälso- och sjukvård
  • Dricksvatten och avloppsvatten
  • Digital infrastruktur, IKT-tjänsteförvaltning och leverantörer av digitala tjänster
  • Offentlig förvaltning på statlig och kommunal nivå
  • Rymden, post och budtjänster
  • Avfallshantering
  • Tillverkning, produktion och distribution av kemikalier och livsmedel
  • Tillverkning av medicintekniska produkter, datorer och elektronik, maskiner samt motorfordon
  • Forskning

Inom varje sektor klassificeras verksamheter som väsentliga eller viktiga entiteter, vanligen utifrån storlek och kritisk roll. Väsentliga entiteter har skarpare krav på sig och högre sanktioner.

Krav i cybersäkerhetslagen

Lagen ställer krav på registrering, riskhantering, säkerhetsåtgärder, incidentanmälan och ett uttalat ledningsansvar.

I korthet ska berörda verksamheter:

  1. Registrera sig hos relevant tillsynsmyndighet
  2. Genomföra riskanalyser för nätverks- och informationssystem
  3. Vidta lämpliga tekniska och organisatoriska åtgärder som står i proportion till risken
  4. Anmäla allvarliga incidenter i två spår, till CSIRT-funktionen (CERT-SE) och ansvarig tillsynsmyndighet, med en tidig varning inom 24 timmar, en incidentrapport inom 72 timmar och en slutrapport inom 1 månad
  5. Säkerställa ledningens ansvar och utbildning i cybersäkerhet
  6. Följa upp leverantörer med säkerhetskrav i hela leverantörskedjan

För organisationer som vill ha en samlad struktur för arbetet är NIS2-tjänsten en naturlig utgångspunkt.

Sanktioner enligt cybersäkerhetslagen

Sanktionsavgifter enligt cybersäkerhetslagen kan landa på upp till 10 miljoner euro eller 2 % av global årsomsättning för väsentliga entiteter, och 7 miljoner euro eller 1,4 % för viktiga entiteter.

Sanktionsavgiftens storlek beror på överträdelsens karaktär, hur länge den pågått och vilken skada den orsakat. Det krävs alltså inte att en allvarlig cyberattack inträffat för att en sanktionsavgift ska beslutas. Bristande riskhantering, otillräckliga säkerhetsåtgärder eller utebliven incidentanmälan räcker. Utöver sanktionsavgifter kan tillsynsmyndigheten besluta om förelägganden och, i särskilda fall, om begränsningar för enskilda ledningspersoner att utöva ledande funktioner i berörda verksamheter.

Lag om informationssäkerhet för samhällsviktiga och digitala tjänster (2018:1174), upphävd 2026

Lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster genomförde det första NIS-direktivet i svensk rätt och var i kraft mellan 1 augusti 2018 och 14 januari 2026. Den upphävdes och ersattes av cybersäkerhetslagen (2025:1506) den 15 januari 2026.

Den tidigare lagen (2018:1174) omfattade verksamheter i 7 sektorer, framför allt energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten samt digital infrastruktur. Tillhörande författning var förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster, som upphävdes samtidigt genom SFS 2025:1507.

För organisationer som var registrerade under den gamla NIS-lagen gäller att registreringen behöver ses över och kompletteras under det nya regelverket. Cybersäkerhetslagen omfattar fler sektorer, fler typer av entiteter och har skarpare krav på exempelvis ledningsansvar, leverantörsuppföljning och incidentrapportering. Bygger ni vidare på gamla rutiner från NIS-tiden behöver dessa uppdateras för att möta de nya kraven.

GDPR, informationssäkerhetskrav för personuppgifter

Dataskyddsförordningen (EU 2016/679), GDPR, ställer krav på informationssäkerhet vid all behandling av personuppgifter genom art. 32, oavsett organisationens storlek eller sektor. Den svenska kompletteringen finns i dataskyddslagen (2018:218).

Art. 32 GDPR kräver lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som står i proportion till risken. I förordningen nämns exempelvis pseudonymisering, kryptering, konfidentialitet, integritet, tillgänglighet och resiliens, samt rutiner för regelbunden prövning och utvärdering av åtgärdernas effektivitet.

Brister i informationssäkerheten enligt GDPR kan leda till:

  • Sanktionsavgifter på upp till 20 miljoner euro eller 4 % av global årsomsättning enligt art. 83 GDPR
  • Skadeståndsskyldighet mot drabbade enligt art. 82 GDPR
  • Förelägganden från Integritetsskyddsmyndigheten (IMY) om att vidta åtgärder eller upphöra med viss behandling

Vid en personuppgiftsincident ska anmälan dessutom göras till IMY inom 72 timmar från kännedom enligt art. 33 GDPR. Mer om kraven för informationssäkerhet i personuppgiftsbehandling och hur ni bygger arbetet, se guiden om riskanalys för informationssäkerhet.

Säkerhetsskyddslagen och annan sektorslagstiftning

Säkerhetsskyddslagen (2018:585) reglerar informationssäkerhet för verksamheter som hanterar uppgifter av betydelse för Sveriges säkerhet. För finansiella entiteter gäller dessutom DORA-förordningen, och för hälso- och sjukvården patientdatalagen.

Utöver de centrala lagarna ovan finns sektorsspecifika regelverk som kompletterar eller skärper informationssäkerhetskraven:

  • Säkerhetsskyddslagen (2018:585) kräver säkerhetsskyddsanalys, säkerhetsåtgärder och i många fall ingående säkerhetsprövning av personal. Lagen gäller verksamheter där en uppgift, ett objekt eller en verksamhet bedöms vara av betydelse för Sveriges säkerhet
  • DORA-förordningen (EU 2022/2554) för finansiella entiteter trädde i tillämpning 17 januari 2025 och ställer krav på IKT-riskhantering, hantering av tredjepartsrisker, incidentrapportering och digital operativ resiliens
  • Patientdatalagen (2008:355) ställer specifika krav på informationssäkerhet vid behandling av patientuppgifter inom hälso- och sjukvård, inklusive åtkomstkontroll och uppföljning av loggar
  • Lagen om elektronisk kommunikation (2022:482) innehåller krav på integritet och säkerhet i elektroniska kommunikationsnät
  • Säkerhetsskyddsförordningen (2021:955) kompletterar säkerhetsskyddslagen med mer detaljerade krav
  • AI-förordningen (EU 2024/1689) ställer krav på informationssäkerhet i AI-system med hög risk, med fas-in mellan 2025 och 2027

Vilka av dessa som gäller för er beror på sektor, storlek, kundkrets och vilka uppgifter ni hanterar. En enskild verksamhet kan mycket väl omfattas av cybersäkerhetslagen, GDPR och DORA samtidigt.

Så uppfyller ni lagkraven i praktiken

Du uppfyller lagkraven genom att bygga ett samlat ledningssystem för informationssäkerhet som täcker kraven från alla regelverk ni omfattas av, med riskanalys som utgångspunkt och dokumentation som bevis vid tillsyn.

ISO 27001 är det internationellt vedertagna ramverket och täcker kraven i samtliga lagar ovan. En operativ arbetsgång:

  1. Kartlägg vilka regelverk som omfattar er baserat på sektor, storlek, kundkrets och informationstyp
  2. Genomför en riskanalys som omfattar både cyberhot, dataskyddsrisker och eventuella säkerhetsskyddsaspekter
  3. Fastställ tekniska och organisatoriska åtgärder som möter den högsta tillämpliga kravnivån
  4. Dokumentera ansvarsfördelning, policys och rutiner så att ni kan visa vid tillsyn att kraven är uppfyllda
  5. Utbilda ledning och berörda medarbetare i sina respektive roller och rapporteringsskyldigheter
  6. Följ upp löpande, minst 1 gång per år samt vid större förändringar eller incidenter

Vill ni veta hur ni står idag är vårt GDPR-test en bra start. 

Exempel på lagkrav i praktiken

Tre situationer där lagstiftningen träffar verksamheten konkret:

  • "Vi är en kommunal vatten- och avloppsverksamhet med driftövervakning i molnet, vilket innebär att vi omfattas av både cybersäkerhetslagen och GDPR samtidigt."
  • "Vår tillverkningsenhet klassas som viktig entitet enligt cybersäkerhetslagen, samtidigt som vi har avtal med Försvarsmakten som triggar säkerhetsskyddslagen."
  • "Som finansiell entitet omfattas vi av DORA från 17 januari 2025 och behöver visa att vår IKT-riskhantering går utöver det som GDPR redan krävde."

Vanliga frågor om lag om informationssäkerhet

Finns det en enda lag om informationssäkerhet i Sverige?

Nej. Informationssäkerhetskraven kommer från flera parallella regelverk, främst cybersäkerhetslagen, GDPR, säkerhetsskyddslagen, DORA och sektorslagstiftning. Den tidigare lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (2018:1174) hade ordet informationssäkerhet i sin titel men gällde bara verksamheter i NIS-direktivets tillämpningsområde. Den ersattes av cybersäkerhetslagen 15 januari 2026.

Vad hände med den gamla NIS-lagen?

Lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster upphävdes 15 januari 2026 och ersattes av cybersäkerhetslagen (2025:1506). Den tillhörande förordningen (2018:1175) upphävdes samtidigt. Den nya cybersäkerhetslagen omfattar fler sektorer, fler typer av entiteter och har skarpare krav på exempelvis ledningsansvar och leverantörsuppföljning.

Vilka omfattas av cybersäkerhetslagen?

Verksamheter, både privata och offentliga, i 18 sektorer omfattas. Bland sektorerna finns energi, transport, bank, hälso- och sjukvård, dricksvatten och avloppsvatten, digital infrastruktur, offentlig förvaltning, post, avfall, tillverkning och forskning. Inom varje sektor klassas verksamheter som väsentliga eller viktiga entiteter, vanligen utifrån storlek och kritisk roll. Mindre underleverantörer påverkas indirekt via krav på leverantörsuppföljning i lagen.

Vad är skillnaden mellan cybersäkerhetslagen och GDPR?

Cybersäkerhetslagen reglerar säkerhet i nätverks- och informationssystem för verksamheter i utpekade sektorer. GDPR ställer krav på säkerhet vid all behandling av personuppgifter, oavsett sektor. De båda regelverken kompletterar varandra och de flesta större organisationer omfattas av båda samtidigt. En personuppgiftsincident anmäls till IMY enligt GDPR, en allvarlig cyberincident anmäls till CSIRT-funktionen (CERT-SE) och ansvarig tillsynsmyndighet enligt cybersäkerhetslagen, och en och samma händelse kan utlösa båda anmälningarna parallellt.

Vilka straff eller sanktionsavgifter kan dömas ut?

Sanktionsavgifter enligt cybersäkerhetslagen kan uppgå till 10 miljoner euro eller 2 % av global årsomsättning för väsentliga entiteter, och 7 miljoner euro eller 1,4 % för viktiga entiteter. Sanktionsavgifter enligt GDPR kan uppgå till 20 miljoner euro eller 4 % av global omsättning. För säkerhetsskyddslagen finns både sanktionsavgifter och, för vissa överträdelser, straffrättsligt ansvar. Utöver dessa kan skadestånd dömas ut till drabbade enligt art. 82 GDPR.

Räcker det att följa GDPR för att uppfylla cybersäkerhetslagen?

Nej. Regelverken har olika tillämpningsområde och delvis olika krav. GDPR ställer krav på säkerhet vid behandling av personuppgifter, medan cybersäkerhetslagen ställer krav på säkerhet i nätverks- och informationssystem i samhällsviktiga sektorer, oavsett om det handlar om personuppgifter eller inte. Ni måste alltså uppfylla båda regelverkens krav var för sig, även om det går att bygga ett gemensamt ledningssystem som rymmer båda.

Related blog posts