Så vill regeringen införa NIS2 – viktiga nyheter i lagrådsremissen om cybersäkerhetslagen

Den 12 juni 2025 presenterade regeringen lagrådsremissen om en ny cybersäkerhetslag – ett viktigt steg i det svenska genomförandet av NIS2-direktivet. Direktivet skulle egentligen ha varit genomfört senast den 17 oktober 2024, och lagförslaget har varit efterlängtat. Med remissen är det nu tydligt hur regeringen vill att reglerna ska se ut.

Remissen bygger i stora delar på den statliga utredning som presenterades i mars 2024, men innehåller flera viktiga skillnader.

Nedan sammanfattar vi nio intressanta förtydliganden och nyheter relevanta för svenska verksamheter.

1. Regeringen väljer en mer direktivnära modell

En övergripande skillnad jämfört med utredningen är att regeringen väljer en något mer direktivnära implementering. Det innebär att begrepp och struktur i högre grad överensstämmer med direktivets formuleringar, även om vissa justeringar görs för att passa svensk rätt. Exempel på detta är att ”hanterade säkerhetstjänster” och ”hanterade tjänster” i utredningen ersätts med ”utlokaliserade säkerhetstjänster” respektive ”utlokaliserade driftstjänster”. Även termen riskhanteringsåtgärd byts mot det mer direkta säkerhetsåtgärd.

2. Hela organisationen omfattas – inte bara delar

En viktig principiell fråga har varit om lagen bara ska gälla de delar av en verksamhet som faller inom en av de sektorer som omfattas – eller om hela verksamhetsutövaren ska omfattas. Här delar regeringen utredningens uppfattning: lagens krav ska gälla hela organisationen. Det motiveras med att detta ligger i linje med direktivets struktur och syfte, och att en avgränsning till vissa delar av verksamheten riskerar att urholka reglernas effektivitet.

3. Förtydliganden om vilka organisationer som omfattas

Lagens tillämpningsområde följer i huvudsak utredningens förslag, men regeringen gör vissa justeringar. Bland annat föreslår man att vissa verksamhetsutövare bara ska omfattas av reglerna oavsett storlek om de är de enda leverantörerna i Sverige av en samhällskritisk tjänst. Utredningen hade här föreslagit ett mer generellt krav på att verksamheten skulle pekas ut som ”väsentlig”.

Vad gäller offentlig förvaltning föreslår regeringen att det ska omfatta statliga myndigheter med beslutskompetens som påverkar den fria rörligheten i EU, liksom övriga myndigheter som regeringen särskilt utser. Regeringskansliet, domstolar, utlandsmyndigheter, riksdagens myndigheter och kommittéväsendet undantas däremot. Kommuner, regioner och kommunalförbund (med undantag för fullmäktige och förbundsdirektion) omfattas, och ska enligt förslaget klassificeras som väsentliga verksamhetsutövare.

4. Inget uttryckligt krav på systematiskt informationssäkerhetsarbete

Utredningen föreslog att lagen skulle innehålla ett uttryckligt krav på ett systematiskt och riskbaserat informationssäkerhetsarbete. Regeringen anser däremot att det räcker med att ställa krav på konkreta säkerhetsåtgärder som ska vara riskbaserade, proportionerliga, lämpliga och ta hänsyn till ett allriskperspektiv. Det innebär att verksamhetsutövare fortsatt förväntas arbeta systematiskt, men detta kommer inte att regleras särskilt i lagtexten.

Regeringen förtydligar också att krishantering ska betraktas som en självständig del av säkerhetsarbetet – något som inte var tydligt i utredningens förslag.

5. Säkerhet i leveranskedjan och vid utkontraktering

Kravet på säkerhet i leveranskedjan innebär enligt direktivet ett ansvar gentemot direkta leverantörer, men regeringen understryker att verksamhetsutövare också behöver beakta risker längre ned i kedjan. En verksamhetsutövare kan till exempel behöva vidta åtgärder med anledning av kända brister hos underleverantörer och bedöma risker i flera led, om inte annat för att avtalsvis kunna reglera vilka åtgärder som leverantören i första ledet behöver vidta och svara för i de följande leverantörsleden.

De obligatoriska säkerhetsåtgärderna inkluderar säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem. MSB och andra remissinstanser har föreslagit att ordet ”förvärv” ersätts med ”anskaffning” för att signalera att kraven gäller även när något inte har köpts, exempelvis vid utkontraktering och licensiering av system. Regeringen förtydligar att förvärva något innebär att överta något med övertaganderätt, men att kraven på utkontraktering och licensieringar följer av kravet på säkerhet vid utveckling och underhåll av systemen och till viss del även av kravet på säkerhet i leveranskedjan.

6. Ledningens ansvar – men utan detaljerad reglering

NIS2-direktivet ställer krav på att ledningen i en verksamhet ska godkänna säkerhetsåtgärder och följa upp att de efterlevs. Regeringen anser att detta inte behöver regleras särskilt i lagen, eftersom det ändå följer av svensk lag för såväl enskilda som offentliga verksamhetsutövare. Vidare förtydligas det att begreppet “ledning” tolkas brett och får avgöras från fall till fall beroende på verksamhetens typ och organisation, men viss ledning för vissa verksamhetsutövare presenteras.

7. Obligatorisk utbildning – men bara för ledningen

Ett tydligt exempel på att regeringen valt en mer restriktiv linje är frågan om utbildningskrav. Utredningen föreslog att alla anställda skulle erbjudas utbildning inom cybersäkerhet. Enligt regeringen finns det inte tillräckliga skäl att utsträcka utbildningskravet på det sätt som utredningen föreslår, och kravet på utbildning bör därför endast gälla ledningar. Med det sagt så måste verksamhetsutövare som bekant vidta ett antal säkerhetsåtgärder, som bland annat ska innefatta grundläggande praxis för cyberhygien och utbildning i cybersäkerhet samt personalsäkerhet. Regeringen poängterar att verksamhetsutövare redan genom dessa krav uppmuntras att regelbundet erbjuda utbildning till sina anställda.

8. Nyheter avseende anmälan och tillsyn

Regeringen följer i stort utredningens modell med sektorsvisa tillsynsmyndigheter, men föreslår samtidigt några viktiga justeringar och förtydliganden. Regeringen föreslår bland annat att tillsynsåtgärder mot viktiga verksamhetsutövare ska kunna vidtas så snart det finns ”anledning att anta” att reglerna inte följs – en lägre tröskel än i utredningens förslag, som krävde en ”befogad anledning”.

En annan nyhet jämfört med utredningen är att anmälan om att man bedriver verksamhet som omfattas av lagen ska göras till en myndighet som regeringen bestämmer – inte till respektive tillsynsmyndighet. Ändringen möjliggör för regeringen att besluta att ansvaret ska tilldelas en central myndighet i stället.

9. Förbud mot att inneha ledningsfunktion ska endast gälla för väsentliga verksamhetsutövare

Om en väsentlig verksamhetsutövare inte följer ett föreläggande om centrala skyldigheter (t.ex. att utse företrädare, anmäla verksamheten, vidta säkerhetsåtgärder, genomföra utbildning eller rapportera incidenter) får tillsynsmyndigheten ansöka om förbud för en befattningshavare att inneha ledningsfunktion. Detta gäller endast för väsentliga verksamhetsutövare – något som inte tydligt framgick av utredningens förslag. För att ett sådant förbud ska kunna beslutas krävs att överträdelsen är allvarlig, och att personen ifråga har agerat uppsåtligen eller grovt oaktsamt.

Vad händer nu?

Lagrådsremissen är sista steget innan en proposition läggs fram för riksdagen. Om inga större hinder uppstår längs vägen förväntas lagen träda i kraft den 15 januari 2026.

Vad innebär det här för din organisation?

För många verksamheter, både privata och offentliga, är det nu hög tid att börja förbereda sig. Kraven i den kommande lagen kommer att påverka såväl teknik som styrning, avtal och organisation. Det gäller att veta om – och hur – man omfattas, vilka skyldigheter som gäller, och vilka åtgärder som behöver vidtas.

Vi på Delphi följer utvecklingen noga och hjälper gärna till att analysera vad den nya cybersäkerhetslagen innebär för din verksamhet.

Anmäl er gärna till vårt webbinar om lagrådsremissen den 24 juni kl 11:30 om ni vill fördjupa er ytterligare!

Denna artikel är skriven av Associate Petri Dahlström.