Ny cybersäkerhetslag stärker skyddet för samhällsviktig verksamhet

Den 14 oktober överlämnande regeringen propositionen Ett stärkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag (prop. 2025/26:28). Lagen ska genomföra EU:s NIS 2-direktiv och föreslås träda i kraft den 15 januari 2026. Syftet är att höja den gemensamma nivån av cybersäkerhet inom både offentlig och privat sektor.

Redan 2022 antog EU det så kallade NIS 2-direktivet som ställer skärpta krav på medlemsstaternas cybersäkerhet. Direktivet omfattar fler sektorer än tidigare och tydliggör ansvar, tillsyn och sanktionsmöjligheter. Med den nya svenska lagen får Sverige ett enhetligt och mer kraftfullt regelverk för att skydda kritisk digital infrastruktur och samhällsviktiga tjänster. Den nya lagen ersätter den nuvarande lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (den så kallade NIS-lagen).

Omfattning och definitioner

Den nya cybersäkerhetslagen gäller både offentliga och privata verksamhetsutövare inom sektorer som till exempel energi, transport, hälso- och sjukvård, livsmedelsförsörjning, finans, digital infrastruktur och offentlig förvaltning.

Verksamhetsutövarna delas in i två kategorier:

• Väsentliga verksamhetsutövare – bland annat statliga myndigheter, kommuner, regioner och större företag med samhällskritiska funktioner, inklusive tillhandahållare av betrodda digitala tjänster.
• Viktiga verksamhetsutövare – övriga aktörer som omfattas av lagen men inte uppfyller kriterierna för att klassas som väsentliga.

Det finns även undantag för verksamheter som redan regleras av särskilda EU-förordningar, som till exempel DORA-förordningen som gäller för finanssektorn, samt för verksamheter som huvudsakligen bedriver säkerhetskänslig eller brottsbekämpande verksamhet.

Nya krav på cybersäkerhetsarbete

Alla verksamhetsutövare som omfattas av lagen måste:

• Anmäla sin verksamhet till relevant tillsynsmyndighet
• Utse en företrädare i vissa fall, särskilt för gränsöverskridande verksamheter
• Införa tekniska och organisatoriska säkerhetsåtgärder för att skydda nätverks- och informationssystem
• Utbilda ledningen i cybersäkerhet
• Rapportera betydande incidenter som påverkar tillgängligheten, integriteten eller konfidentialiteten i systemen

Såväl NIS 2-direktivet som den nya cybersäkerhetslagen betonar att säkerhetsarbetet ska vara systematiskt, riskbaserat och dokumenterat.

Utbildningskrav för ledningen

Den nya lagen inför ett uttryckligt krav på att personer i verksamhetens ledning ska genomgå utbildning om säkerhetsåtgärder. Syftet är att säkerställa att ledningen har tillräcklig kunskap för att kunna identifiera risker, bedöma vilka säkerhetsåtgärder som ska vidtas och följa upp att organisationens skyddsnivå är tillräcklig. 

Utbildningskravet gäller ledningen som definieras olika beroende på verksamhetsform:

• Bolag och föreningar: styrelsen, bolagsmännen, VD och deras ersättare.
• Myndigheter: myndighetschef, styrelse eller nämnd.
• Kommuner och regioner: kommunstyrelsen eller regionstyrelsen

Propositionen betonar dock vikten av att hela organisationen har en grundläggande förståelse för cybersäkerhet och att de nya kraven på ledningen i praktiken innebär att de uppmuntras att erbjuda även anställda utbildning som en del i säkerhetsarbetet.

Kontroll och tillsyn

Regeringen kommer att utse sektorsspecifika tillsynsmyndigheter. Dessa myndigheter får långtgående befogenheter att granska verksamhetsutövare, bland annat genom:

• Begäran om tillgång till information och lokaler
• Förelägganden och vitesbeslut
• Möjlighet att genomföra säkerhetsrevisioner och säkerhetsskanningar
• Samarbete med Kronofogdemyndigheten vid behov av handräckning

För väsentliga verksamhetsutövare kan tillsynen ske både löpande och i förväg, medan viktiga verksamhetsutövare främst granskas i efterhand – till exempel efter indikationer på brister.

Ingripanden och sanktionsavgifter 

Om en verksamhetsutövare inte följer lagens krav får tillsynsmyndigheten besluta om olika ingripanden som förelägganden med vite, förbud för personer i ledande ställning att utöva ledningsfunktion och sanktionsavgifter.

Sanktionsavgifterna ska vara proportionella men kännbara:

• För väsentliga verksamhetsutövare kan avgiften uppgå till det högsta av 2 procent av den globala årsomsättningen eller 10 miljoner euro.
• För viktiga verksamhetsutövare är taket 1,4 procent av årsomsättningen eller 7 miljoner euro.
• För offentliga verksamhetsutövare är den högsta möjliga avgiften 10 miljoner kronor.
• I samtliga fall är lägsta avgift 5 000 kronor.

Vid allvarliga eller upprepade överträdelser kan även ledningsförbud i upp till tre år meddelas

Undantag och annan lagstiftning

Om det i annan lag redan finns bestämmelser om säkerhetsåtgärder eller incidentrapportering som bedöms likvärdiga med kraven i cybersäkerhetslagen, gäller dessa i stället. Det gäller exempelvis regler inom finansmarknaden, sjöfarten och energiområdet. Lagen gäller inte heller för uppgifter som är säkerhetsskyddsklassificerade enligt säkerhetsskyddslagen.

Vad händer nu?

Propositionen har överlämnats till riksdagen för behandling. Om den antas träder den nya cybersäkerhetslagen i kraft den 15 januari 2026 samtidigt som lagen om informationssäkerhet för samhällsviktiga och digitala tjänster upphävs. Den gamla lagen gäller dock fortfarande för alla överträdelser som har skett före 15 januari 2026. Syftet är att Sverige ska stå bättre rustat mot cyberhot och att samhällets mest kritiska verksamheter får ett enhetligt, modernt och kraftfullt regelverk för informations- och nätverkssäkerhet.

Källa