Regeringen föreslår en ny cybersäkerhetslag som ska ge ett starkare skydd för samhällsviktig digital infrastruktur och tjänster. I lagrådsremissen föreslås en omfattande förstärkning av den befintliga regleringen för att kunna möta ett snabbt växande cyberhot.
Växande hotbild och digitalt beroende
Digitaliseringen påverkar hela det svenska samhället, från hälso- och sjukvård till energi, finans, transport och offentlig förvaltning. Samtidigt växer hotbilden genom att organiserad brottslighet och andra aktörer försöker påverka, störa eller slå ut samhällsviktiga system genom cyberattacker.
– Många kommuner använder digitaliseringen för att effektivisera sina verksamheter. Det skapar många möjligheter, men medför samtidigt en större sårbarhet för cyberattacker. Nu tar vi fler konkreta steg för att stärka cybersäkerhetsförmågan i kommunerna, säger civilminister Erik Slottner i ett pressmeddelande från regeringen.
💡 Vill du fördjupa dig?
På kursen ”Informationssäkerhet – juridiken och det praktiska arbetet med compliance” får du fördjupande kunskaper i ämnet. Föreläsare är advokat Agne Lindberg, en av Sverige ledande experter inom IT-rätt. Läs mer här 🔗
Den nuvarande regleringen, baserad på EU:s tidigare NIS-direktiv (Network and Information Security), anses inte längre tillräcklig. Därför har EU tagit fram ett nytt direktiv – NIS2 – som ställer högre krav. Den föreslagna cybersäkerhetslagen har till syfte attimplementera direktivet i svensk rätt.
Vad innehåller den nya lagen?
Förslaget, som presenterades den 12 juni 2025, innehåller flera centrala förändringar:
- Fler verksamheter omfattas
Lagen utvidgar vilka aktörer som ska omfattas av cybersäkerhetskrav. Inte bara traditionellt samhällsviktiga sektorer, utan även exempelvis tillverkning, livsmedelsdistribution, avfallshantering, distribution, kommunikationstjänster och offentlig förvaltning. Även vissa privata aktörer som bedriver samhällskritisk verksamhet inkluderas.
- Skarpare krav på säkerhetsåtgärder
Verksamheter måste vidta lämpliga och proportionerliga tekniska, operativa och organisatoriska åtgärder för att förebygga och hantera incidenter. Detta inkluderar:
- Riskanalyser
- Incidenthantering
- Återhämtningsförmåga
- Användarhantering och tillgångskontroll
- Leverantörskedjesäkerhet
- Incidentrapportering och tillsyn
Krav införs på snabb rapportering av allvarliga incidenter till ansvarig myndighet – oftast Myndigheten för samhällsskydd och beredskap (MSB). Lagen föreslår även kraftfullare tillsyn och möjligheten till sanktionsavgifter vid brister, upp till 10 miljoner kronor eller 2 procent av omsättningen.
- Central styrning
Regeringen pekar ut MSB som samordnande tillsynsmyndighet. Den nya lagen ger också stöd till sektorsansvariga myndigheter, som ska ge vägledning, genomföra tillsyn och samverka nationellt och inom EU.
Ett steg mot stärkt motståndskraft
– Regeringen gör ett historiskt omtag på området, genom att stöpa om det nationella cybersäkerhetscentret, genom den nya cybersäkerhetsstrategin, och genom att tillföra ökade resurser. Den nya cybersäkerhetslagen kommer ytterligare bidra till att höja förmågan på cybersäkerhetsområdet, säger minister för civilt försvar Carl-Oskar Bohlin i pressmeddelandet.
Tidplan och remiss
Förslaget går nu ut på remiss, med svar senast den 11 oktober 2025. Lagen föreslås träda i kraft den 1 januari 2026.
