Lag om informationssäkerhet är inte en enda lag i Sverige, utan ett samlingsbegrepp för flera parallella regelverk som tillsammans styr hur organisationer ska skydda information. Den tidigare lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, som genomförde NIS-direktivet, upphävdes den 15 januari 2026 och har ersatts av cybersäkerhetslagen (2025:1506). Eftersom både cybersäkerhetslagen och GDPR ställer krav på snabb incidentrapportering kan ni samla det operativa arbetet i ett incidenthanteringssystem.
Det här behöver du veta:
Det finns ingen enskild lag om informationssäkerhet i Sverige. Kraven på informationssäkerhet följer av flera parallella regelverk, framför allt cybersäkerhetslagen, dataskyddsförordningen GDPR och säkerhetsskyddslagen, samt sektorsspecifika lagar för exempelvis finans, hälso- och sjukvård och statlig verksamhet.
Begreppet "lag om informationssäkerhet" används ofta i dagligt tal, men i svensk rätt är skyddet av information uppdelat i lagar med olika syften. Cybersäkerhetslagen fokuserar på nätverks- och informationssystem i samhällsviktiga sektorer. GDPR fokuserar på personuppgifter. Säkerhetsskyddslagen fokuserar på information av betydelse för Sveriges säkerhet. För finansiella entiteter tillkommer DORA-förordningen.
Vilken lag som gäller för er beror på vilken sektor ni verkar i, vilken information ni hanterar och hur stora ni är. De flesta större organisationer omfattas av flera regelverk samtidigt, och behöver bygga ett ledningssystem för informationssäkerhet som rymmer kraven från samtliga.
Cybersäkerhetslagen (2025:1506) är den nya svenska huvudlagen för informationssäkerhet i samhällsviktiga och digitala tjänster. Lagen trädde i kraft 15 januari 2026, ersätter den tidigare NIS-lagen och genomför NIS2-direktivet (EU 2022/2555) i svensk rätt.
Lagen omfattar både privata och offentliga verksamhetsutövare i 18 sektorer med tillhörande delsektorer. Bland sektorerna finns:
Inom varje sektor klassificeras verksamheter som väsentliga eller viktiga entiteter, vanligen utifrån storlek och kritisk roll. Väsentliga entiteter har skarpare krav på sig och högre sanktioner.
Lagen ställer krav på registrering, riskhantering, säkerhetsåtgärder, incidentanmälan och ett uttalat ledningsansvar.
I korthet ska berörda verksamheter:
För organisationer som vill ha en samlad struktur för arbetet är NIS2-tjänsten en naturlig utgångspunkt.
Sanktionsavgifter enligt cybersäkerhetslagen kan landa på upp till 10 miljoner euro eller 2 % av global årsomsättning för väsentliga entiteter, och 7 miljoner euro eller 1,4 % för viktiga entiteter.
Sanktionsavgiftens storlek beror på överträdelsens karaktär, hur länge den pågått och vilken skada den orsakat. Det krävs alltså inte att en allvarlig cyberattack inträffat för att en sanktionsavgift ska beslutas. Bristande riskhantering, otillräckliga säkerhetsåtgärder eller utebliven incidentanmälan räcker. Utöver sanktionsavgifter kan tillsynsmyndigheten besluta om förelägganden och, i särskilda fall, om begränsningar för enskilda ledningspersoner att utöva ledande funktioner i berörda verksamheter.
Lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster genomförde det första NIS-direktivet i svensk rätt och var i kraft mellan 1 augusti 2018 och 14 januari 2026. Den upphävdes och ersattes av cybersäkerhetslagen (2025:1506) den 15 januari 2026.
Den tidigare lagen (2018:1174) omfattade verksamheter i 7 sektorer, framför allt energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten samt digital infrastruktur. Tillhörande författning var förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster, som upphävdes samtidigt genom SFS 2025:1507.
För organisationer som var registrerade under den gamla NIS-lagen gäller att registreringen behöver ses över och kompletteras under det nya regelverket. Cybersäkerhetslagen omfattar fler sektorer, fler typer av entiteter och har skarpare krav på exempelvis ledningsansvar, leverantörsuppföljning och incidentrapportering. Bygger ni vidare på gamla rutiner från NIS-tiden behöver dessa uppdateras för att möta de nya kraven.
Dataskyddsförordningen (EU 2016/679), GDPR, ställer krav på informationssäkerhet vid all behandling av personuppgifter genom art. 32, oavsett organisationens storlek eller sektor. Den svenska kompletteringen finns i dataskyddslagen (2018:218).
Art. 32 GDPR kräver lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som står i proportion till risken. I förordningen nämns exempelvis pseudonymisering, kryptering, konfidentialitet, integritet, tillgänglighet och resiliens, samt rutiner för regelbunden prövning och utvärdering av åtgärdernas effektivitet.
Brister i informationssäkerheten enligt GDPR kan leda till:
Vid en personuppgiftsincident ska anmälan dessutom göras till IMY inom 72 timmar från kännedom enligt art. 33 GDPR. Mer om kraven för informationssäkerhet i personuppgiftsbehandling och hur ni bygger arbetet, se guiden om riskanalys för informationssäkerhet.
Säkerhetsskyddslagen (2018:585) reglerar informationssäkerhet för verksamheter som hanterar uppgifter av betydelse för Sveriges säkerhet. För finansiella entiteter gäller dessutom DORA-förordningen, och för hälso- och sjukvården patientdatalagen.
Utöver de centrala lagarna ovan finns sektorsspecifika regelverk som kompletterar eller skärper informationssäkerhetskraven:
Vilka av dessa som gäller för er beror på sektor, storlek, kundkrets och vilka uppgifter ni hanterar. En enskild verksamhet kan mycket väl omfattas av cybersäkerhetslagen, GDPR och DORA samtidigt.
Du uppfyller lagkraven genom att bygga ett samlat ledningssystem för informationssäkerhet som täcker kraven från alla regelverk ni omfattas av, med riskanalys som utgångspunkt och dokumentation som bevis vid tillsyn.
ISO 27001 är det internationellt vedertagna ramverket och täcker kraven i samtliga lagar ovan. En operativ arbetsgång:
Vill ni veta hur ni står idag är vårt GDPR-test en bra start.
Tre situationer där lagstiftningen träffar verksamheten konkret:
Nej. Informationssäkerhetskraven kommer från flera parallella regelverk, främst cybersäkerhetslagen, GDPR, säkerhetsskyddslagen, DORA och sektorslagstiftning. Den tidigare lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (2018:1174) hade ordet informationssäkerhet i sin titel men gällde bara verksamheter i NIS-direktivets tillämpningsområde. Den ersattes av cybersäkerhetslagen 15 januari 2026.
Lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster upphävdes 15 januari 2026 och ersattes av cybersäkerhetslagen (2025:1506). Den tillhörande förordningen (2018:1175) upphävdes samtidigt. Den nya cybersäkerhetslagen omfattar fler sektorer, fler typer av entiteter och har skarpare krav på exempelvis ledningsansvar och leverantörsuppföljning.
Verksamheter, både privata och offentliga, i 18 sektorer omfattas. Bland sektorerna finns energi, transport, bank, hälso- och sjukvård, dricksvatten och avloppsvatten, digital infrastruktur, offentlig förvaltning, post, avfall, tillverkning och forskning. Inom varje sektor klassas verksamheter som väsentliga eller viktiga entiteter, vanligen utifrån storlek och kritisk roll. Mindre underleverantörer påverkas indirekt via krav på leverantörsuppföljning i lagen.
Cybersäkerhetslagen reglerar säkerhet i nätverks- och informationssystem för verksamheter i utpekade sektorer. GDPR ställer krav på säkerhet vid all behandling av personuppgifter, oavsett sektor. De båda regelverken kompletterar varandra och de flesta större organisationer omfattas av båda samtidigt. En personuppgiftsincident anmäls till IMY enligt GDPR, en allvarlig cyberincident anmäls till CSIRT-funktionen (CERT-SE) och ansvarig tillsynsmyndighet enligt cybersäkerhetslagen, och en och samma händelse kan utlösa båda anmälningarna parallellt.
Sanktionsavgifter enligt cybersäkerhetslagen kan uppgå till 10 miljoner euro eller 2 % av global årsomsättning för väsentliga entiteter, och 7 miljoner euro eller 1,4 % för viktiga entiteter. Sanktionsavgifter enligt GDPR kan uppgå till 20 miljoner euro eller 4 % av global omsättning. För säkerhetsskyddslagen finns både sanktionsavgifter och, för vissa överträdelser, straffrättsligt ansvar. Utöver dessa kan skadestånd dömas ut till drabbade enligt art. 82 GDPR.
Nej. Regelverken har olika tillämpningsområde och delvis olika krav. GDPR ställer krav på säkerhet vid behandling av personuppgifter, medan cybersäkerhetslagen ställer krav på säkerhet i nätverks- och informationssystem i samhällsviktiga sektorer, oavsett om det handlar om personuppgifter eller inte. Ni måste alltså uppfylla båda regelverkens krav var för sig, även om det går att bygga ett gemensamt ledningssystem som rymmer båda.