EU:s NIS2-direktiv blir svensk lag i januari 2026. Här får du koll på vad den nya cybersäkerhetslagen innebär, vilka krav som gäller – och hur du förbereder dig i tid.
Den 14 oktober överlämnande regeringen propositionen Ett stärkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag (prop. 2025/26:28). Lagen ska genomföra EU:s NIS 2-direktiv och föreslås träda i kraft den 15 januari 2026. Syftet är att höja den gemensamma nivån av cybersäkerhet inom både offentlig och privat sektor.
Redan 2022 antog EU det så kallade NIS 2-direktivet som ställer skärpta krav på medlemsstaternas cybersäkerhet. Direktivet omfattar fler sektorer än tidigare och tydliggör ansvar, tillsyn och sanktionsmöjligheter. Med den nya svenska lagen får Sverige ett enhetligt och mer kraftfullt regelverk för att skydda kritisk digital infrastruktur och samhällsviktiga tjänster. Den nya lagen ersätter den nuvarande lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (den så kallade NIS-lagen).
Omfattning och definitioner
Den nya cybersäkerhetslagen gäller både offentliga och privata verksamhetsutövare inom sektorer som till exempel energi, transport, hälso- och sjukvård, livsmedelsförsörjning, finans, digital infrastruktur och offentlig förvaltning.
Verksamhetsutövarna delas in i två kategorier:
- Väsentliga verksamhetsutövare – bland annat statliga myndigheter, kommuner, regioner och större företag med samhällskritiska funktioner, inklusive tillhandahållare av betrodda digitala tjänster.
- Viktiga verksamhetsutövare – övriga aktörer som omfattas av lagen men inte uppfyller kriterierna för att klassas som väsentliga.
Det finns även undantag för verksamheter som redan regleras av särskilda EU-förordningar, som till exempel DORA-förordningen som gäller för finanssektorn, samt för verksamheter som huvudsakligen bedriver säkerhetskänslig eller brottsbekämpande verksamhet.
Nya krav på cybersäkerhetsarbete
Alla verksamhetsutövare som omfattas av lagen måste:
- Anmäla sin verksamhet till relevant tillsynsmyndighet
- Utse en företrädare i vissa fall, särskilt för gränsöverskridande verksamheter
- Införa tekniska och organisatoriska säkerhetsåtgärder för att skydda nätverks- och informationssystem
- Utbilda ledningen i cybersäkerhet
- Rapportera betydande incidenter som påverkar tillgängligheten, integriteten eller konfidentialiteten i systemen
Såväl NIS 2-direktivet som den nya cybersäkerhetslagen betonar att säkerhetsarbetet ska vara systematiskt, riskbaserat och dokumenterat.
Utbildningskrav för ledningen
Den nya lagen inför ett uttryckligt krav på att personer i verksamhetens ledning ska genomgå utbildning om säkerhetsåtgärder. Syftet är att säkerställa att ledningen har tillräcklig kunskap för att kunna identifiera risker, bedöma vilka säkerhetsåtgärder som ska vidtas och följa upp att organisationens skyddsnivå är tillräcklig.
Utbildningskravet gäller ledningen som definieras olika beroende på verksamhetsform:
- Bolag och föreningar: styrelsen, bolagsmännen, VD och deras ersättare.
- Myndigheter: myndighetschef, styrelse eller nämnd.
- Kommuner och regioner: kommunstyrelsen eller regionstyrelsen
Propositionen betonar dock vikten av att hela organisationen har en grundläggande förståelse för cybersäkerhet och att de nya kraven på ledningen i praktiken innebär att de uppmuntras att erbjuda även anställda utbildning som en del i säkerhetsarbetet.
Kontroll och tillsyn
Regeringen kommer att utse sektorsspecifika tillsynsmyndigheter. Dessa myndigheter får långtgående befogenheter att granska verksamhetsutövare, bland annat genom:
- Begäran om tillgång till information och lokaler
- Förelägganden och vitesbeslut
- Möjlighet att genomföra säkerhetsrevisioner och säkerhetsskanningar
- Samarbete med Kronofogdemyndigheten vid behov av handräckning
För väsentliga verksamhetsutövare kan tillsynen ske både löpande och i förväg, medan viktiga verksamhetsutövare främst granskas i efterhand – till exempel efter indikationer på brister.
Ingripanden och sanktionsavgifter
Om en verksamhetsutövare inte följer lagens krav får tillsynsmyndigheten besluta om olika ingripanden som förelägganden med vite, förbud för personer i ledande ställning att utöva ledningsfunktion och sanktionsavgifter.
Sanktionsavgifterna ska vara proportionella men kännbara:
- För väsentliga verksamhetsutövare kan avgiften uppgå till det högsta av 2 procent av den globala årsomsättningen eller 10 miljoner euro.
- För viktiga verksamhetsutövare är taket 1,4 procent av årsomsättningen eller 7 miljoner euro.
- För offentliga verksamhetsutövare är den högsta möjliga avgiften 10 miljoner kronor.
- I samtliga fall är lägsta avgift 5 000 kronor.
Vid allvarliga eller upprepade överträdelser kan även ledningsförbud i upp till tre år meddelas
Undantag och annan lagstiftning
Om det i annan lag redan finns bestämmelser om säkerhetsåtgärder eller incidentrapportering som bedöms likvärdiga med kraven i cybersäkerhetslagen, gäller dessa i stället. Det gäller exempelvis regler inom finansmarknaden, sjöfarten och energiområdet. Lagen gäller inte heller för uppgifter som är säkerhetsskyddsklassificerade enligt säkerhetsskyddslagen.
Vad händer nu?
Propositionen har överlämnats till riksdagen för behandling. Om den antas träder den nya cybersäkerhetslagen i kraft den 15 januari 2026 samtidigt som lagen om informationssäkerhet för samhällsviktiga och digitala tjänster upphävs. Den gamla lagen gäller dock fortfarande för alla överträdelser som har skett före 15 januari 2026. Syftet är att Sverige ska stå bättre rustat mot cyberhot och att samhällets mest kritiska verksamheter får ett enhetligt, modernt och kraftfullt regelverk för informations- och nätverkssäkerhet.
Så kan du förbereda dig – praktisk utbildning för dig som omfattas av NIS2
Den nya cybersäkerhetslagen innebär omfattande krav på verksamheter – inte minst vad gäller ledningsansvar, rapportering, riskhantering och utbildning. Många organisationer behöver nu arbeta systematiskt för att:
- Kartlägga vilka delar av NIS2 som påverkar just deras verksamhet
- Införa dokumenterade tekniska och organisatoriska säkerhetsåtgärder
- Säkerställa att ledningen har tillräcklig kompetens för att möta lagens krav
För att stötta det arbetet erbjuder vi en heldagsutbildning i NIS2 och cybersäkerhetslagen, riktad till dig som arbetar med compliance, informationssäkerhet, IT, juridik eller i ledningsfunktion.
