Riksdagen röstade igår, den 10 december, ja till regeringens proposition Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag. Beslutet innebär att Sverige nu formellt inför EU:s NIS 2-direktiv i svensk rätt och etablerar ett moderniserat regelverk för att stärka skyddet av landets digitala infrastruktur. Den nya lagen börjar gälla den 15 januari 2026 och utgör en av de största reformerna på cybersäkerhetsområdet hittills.
Cybersäkerhetslagen ersätter den tidigare lagstiftningen från 2016 och omfattar både offentliga och privata verksamheter som tillhandahåller samhällsviktiga eller viktiga tjänster. Försvarsutskottet har i sitt betänkande betonat att den ökade hotbilden mot Sverige kräver en tydlig och kraftfull reglering för att förhindra störningar, attacker och sårbarheter som kan påverka samhällets funktionalitet. Riksdagen delar denna bedömning och har därför ställt sig bakom regeringens förslag.
💡Missa inte vårt kostnadsfria webbinarium NIS2-direktivet & cybersäkerhetslagen: Krav, ansvar och åtgärder. Boka din plats här 🔗
Fler verksamheter omfattas
En stor förändring är att fler sektorer ochbetydligt fler organisationer omfattas. Förutom de samhällsviktiga sektorer som hälso- och sjukvård, energi och transporter omfattas nu även digital infrastruktur, delar av tillverkningsindustrin, livsmedelsförsörjning, kommuner och regioner, dricksvatten och avloppshantering, post- och budverksamhet samt finansiella tjänster. I praktiken innebär detta att många organisationer som tidigare inte berördes av NIS nu måste arbeta strukturerat med cybersäkerhet och incidentrapportering.
Ledningens ansvar ökar
En central del av den nya lagen är att ledningen i både offentliga och privata organisationer får ett tydligt ansvar för cybersäkerheten. Styrelser och ledningsgrupper förväntas ha tillräcklig kunskap och förståelse för risker, säkerhetskrav och beslut som påverkar organisationens cybersäkerhet. De ska även kunna vidta lämpliga skyddsåtgärder för att incidenter kan upptäckas, hanteras och rapporteras. Detta innebär att cybersäkerhet nu ses som en strategisk ledningsfråga snarare än en teknisk fråga.
Krav på åtgärder, rapportering och tillsyn
Verksamheter som omfattas av lagen måste skapa dokumenterade och anpassade säkerhetsåtgärder, se över strukturer för riskhantering och upprätta rutiner för att hantera och rapportera incidenter. Kraven omfattar allt från att skydda nätverk och informationssystem till att säkerställa god styrning av leverantörskedjor. Myndigheternas möjligheter till tillsyn skärps. De får utökade befogenheter att genomföra kontroller, besluta om förelägganden och utdela sanktionsavgifter vid brister. Detta förstärker statens möjlighet att säkerställa att cybersäkerhetsnivån är tillräckligt hög i hela landet.
Tre centrala effekter av beslutet
- Betydligt fler verksamheter än tidigare betraktas nu som samhällsviktiga eller viktiga och behöver leva upp till krav i NIS 2.
- Företagsledningen blir uttryckligen ansvariga för cybersäkerhetsarbetet och måste kunna visa att de har kunskap samt kontroll över riskerna.
- Myndigheternas tillsyn skärps, med risk för sanktioner.
Ett beslut i ett större säkerhetspolitiskt sammanhang
Beslutet om cybersäkerhetslagen ska ses som en del av ett betydligt större säkerhetspolitiskt paket som riksdagen antog samma dag. Totalt rörde besluten hundratals miljarder kronor i budgetramar för 2026, däribland anslagen till försvar, krisberedskap, rättsväsende och internationell samverkan. Riksdagen tilldelade 225 miljarder kronor till försvaret och krisberedskapen, 95 miljarder till rättsväsendet och gav regeringen mandat att bidra till Natos avskräckning och försvar under 2026.
Tillsammans visar besluten att Sverige förstärker hela sin säkerhetsstruktur – från militärt försvar och internationella insatser till rättsväsendets förmåga att hantera brottslighet och statens kapacitet att planera för framtida kriser. Att cybersäkerhetslagen antas just denna dag är därför ingen tillfällighet utan en tydlig markering om att digital säkerhet betraktas som en central del av totalförsvaret.
Vad händer nu?
Införandet av den nya lagen sker parallellt med att stora budgetanslag för försvar, beredskap och rättsväsende träder i kraft, vilket innebär att flera myndigheter kommer att stärka sina resurser för tillsyn och vägledning inom cybersäkerhetsområdet. Under de kommande månaderna ska myndigheter ta fram detaljerade föreskrifter, informera berörda verksamheter och tydliggöra hur anmälan, rapportering och gränsdragningar ska fungera i praktiken.
För verksamhetsutövare är nästa steg att kartlägga om de omfattas av lagen, analysera riskerna i sina informationssystem och säkerställa att rutiner, teknik och ledningsprocesser uppfyller de nya kraven. Den relativt korta tiden fram till ikraftträdandet gör att många organisationer behöver påbörja sitt arbete omgående.
Ett tydligt besked om Sveriges prioriteringar
Riksdagens beslut innebär att Sverige kraftigt stärker sin digitala motståndskraft i ett allt mer osäkert omvärldsläge. Med den nya lagen blir cybersäkerhet ett centralt ansvar för tusentals organisationer över hela landet. Beslutet speglar en tydlig politisk ambition: att skydd av nätverks- och informationssystem är avgörande för Sveriges säkerhet, konkurrenskraft och samhällsfunktioner – och att cybersäkerhet nu är en grundpelare i landets totalförsvar.
