Idag träder nya cybersäkerhetslagen i kraft – här är de största förändringarna
Idag (15 januari 2026) träder den nya cybersäkerhetslagen i kraft och implementerar EU:s cybersäkerhetsdirektiv NIS2 i svensk rätt. Det nya regelverket innebär skärpta krav på verksamheter att skydda sig mot säkerhetsrisker. I det här inlägget redogör vi för de viktigaste förändringarna som det nya regelverket innebär.
Cybersäkerhetslagens syfte
Lagens övergripande syfte är att uppnå en hög grad av cybersäkerhet i samhället. En central del av regelverket är att det ställer krav på tekniska, organisatoriska och administrativa åtgärder, vilket inkluderar att omfattade verksamhetsutövare måste kunna visa att de bedriver ett systematiskt och riskbaserat säkerhetsarbete.
Antalet utpekade sektorer utökas
Regelverket omfattar 18 sektorer, vilket innebär en betydande utökning jämfört med det tidigare regelverket som endast omfattade sju sektorer. Sektorerna i det nya regelverket kan delas in i två kategorier:
- Högkritiska sektorer: energi, transport, bankverksamhet, finansmarknadsstruktur, hälso- och sjukvårdssektorn, dricksvatten, avloppsvatten, digital infrastruktur, förvaltning av IKT-tjänster mellan företag, offentlig förvaltning samt rymden.
- Andra kritiska sektorer: post- och budtjänster, avfallshantering, tillverkning, produktion och distribution av kemikalier, produktion, bearbetning och distribution av livsmedel, digitala leverantörer, forskning samt tillverkning.
För att omfattas av regelverket gäller för privata verksamheter ett storlekskrav om minst 50 anställda eller en årsomsättning om minst 10 miljoner euro. Även mindre aktörer kan dock omfattas om de bedöms vara särskilt kritiska för samhällsviktiga funktioner.
Om verksamheten omfattas av cybersäkerhetslagen ska den anmälas för att skapa en samlad förteckning över vilka verksamhetsutövare som tillhör vilka sektorer. Detta ska göras i en ny tjänst som kommer att lanseras av Myndigheten för civilt försvar under våren.
Hela verksamheten omfattas av kraven
En viktig princip att känna till är att den som omfattas av cybersäkerhetslagen som huvudregel ska tillämpa regelverkets krav i hela sin verksamhet. Det innebär att kraven inte bara gäller för den specifika verksamhetsgren som faller inom någon av de utpekade sektorerna, utan för hela organisationen. I praktiken betyder detta att verksamhetsutövaren bland annat måste:
- Utbilda ledningen, och helst även övriga personalen, i säkerhetsmedvetenhet
- Genomföra regelbundna riskanalyser
- Utveckla och implementera en kontinuitetsplan
- Upprätta dokumenterade rutiner för incidenthantering
- Säkerställa att leverantörskedjan uppfyller nödvändiga säkerhetskrav, och
- Rapportera betydande incidenter till ansvarig myndighet inom 24 timmar
Konsekvenser vid bristande regelefterlevnad
Det nya regelverket innebär också skärpta sanktioner för den som brister i sin efterlevnad. Tillsynsmyndigheten kan till exempel kräva att en organisation omedelbart åtgärdar sina brister. Verksamhetsutövare kan dessutom tvingas betala kännbara sanktionsavgifter på upp till 10 miljoner euro eller 2 procent av den totala globala årsomsättningen. Vidare kan personer i ledande ställning hållas personligt ansvariga vid allvarliga brister, vilket innebär att styrelseledamöter och vd måste kunna visa att de har tagit sitt ansvar och vidtagit tillräckliga åtgärder för att stärka verksamhetens cybersäkerhet.
Denna artikel är skriven av Associate Sophie Wichmann.