När trädde Cybersäkerhetslagen i kraft?

Cybersäkerhetslagen (SFS 2025:1506) trädde i kraft 15 januari 2026. Den ersatte den tidigare Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

Vilka företag omfattas av Cybersäkerhetslagen?

Lagen omfattar organisationer inom 18 specifika sektorer som har minst 50 anställda eller en årsomsättning/balansomslutning över €10 miljoner. Vissa specifika aktörer omfattas oavsett storlek, inklusive kvalificerade leverantörer av trust services och vissa aktörer inom digital infrastruktur. Detta gäller både privat och offentlig sektor.

Vad är skillnaden mellan väsentliga och viktiga entiteter?

Väsentliga entiteter är de större aktörerna inom de mest kritiska sektorerna (Annex I), inklusive offentliga myndigheter och kvalificerade trust service-leverantörer. Viktiga entiteter inkluderar medelstora aktörer i Annex I och alla omfattade aktörer i Annex II. Säkerhetskraven är desamma men tillsynen är proaktiv för väsentliga och reaktiv för viktiga. Sanktionsnivåerna skiljer sig också — €10M/2 % för väsentliga, €7M/1,4 % för viktiga.

Hur höga kan sanktionerna bli?

Maximal sanktion för väsentliga entiteter är det högre av €10 miljoner eller 2 procent av global årsomsättning. För viktiga entiteter är motsvarande €7 miljoner eller 1,4 procent. Offentliga entiteter har ett tak på 10 miljoner SEK. Vid grova överträdelser kan ledningspersoner förbjudas från ledningsfunktioner i 1-3 år.

Vad är whole-entity-principen?

Det är ett distinkt drag i den svenska implementationen som innebär att hela organisationen omfattas av lagen så snart en del av verksamheten faller inom ramarna — inte enbart den specifika verksamheten som triggade omfattningen. Det betyder att även verksamhetsdelar utanför de 18 sektorerna måste uppfylla lagens krav, dock med proportionalitet baserat på faktisk risk.

När måste en incident rapporteras?

Tre tidsfrister gäller: tidig varning inom 24 timmar, incidentanmälan inom 72 timmar, och slutrapport inom en månad. För kvalificerade trust services är fristen för incidentanmälan kortare — 24 timmar. Detta gäller signifikanta incidenter — alltså incidenter som påverkar driften, orsakar ekonomisk skada eller har negativ påverkan på andra.

Vilken myndighet ansvarar för tillsynen?

Sverige har valt en decentraliserad modell där olika myndigheter ansvarar för olika sektorer. Myndigheten för civilt försvar (MCF) — tidigare MSB — är nationell koordinator och kontaktpunkt mot EU. Andra exempel: PTS för telekom, Finansinspektionen för finanssektorn, IVO för hälso- och sjukvård. Den specifika tillsynsmyndigheten beror på sektor.

Måste vi ha ISO 27001 för att uppfylla NIS2?

Nej, ISO 27001-certifiering är inte ett lagkrav. Däremot täcker ISO 27001 de tio minimikraven på säkerhetsåtgärder och kan därför fungera som ett strukturerat sätt att demonstrera efterlevnad. Andra ramverk som NIST Cybersecurity Framework är också allmänt erkända.

Vad händer om man inte anmält sig till tillsynsmyndigheten?

Anmälningsplikten trädde i kraft den 15 januari 2026 med deadline den 16 februari 2026. Underlåtenhet att anmäla sig är i sig en överträdelse som kan leda till sanktioner. Organisationer som missat deadline bör genomföra anmälan omgående — sen anmälan är fortfarande betydligt bättre än utebliven anmälan.

NIS2 Sverige 2026: guide för svenska SMB

Den nya Cybersäkerhetslagen representerar det största skiftet i svensk cybersäkerhetsreglering på över ett decennium. Lagen ersätter den tidigare informationssäkerhetslagen från 2018 och tillämpas på betydligt fler organisationer än vad många i berörda sektorer ännu förstår. Denna genomgång baserar sig på proposition 2025/26:28, författningstexten (SFS 2025:1506) och tillsynsmyndigheternas offentliggjorda riktlinjer.

Vad har förändrats — från NIS till NIS2

Den första NIS-lagen (2018:1174) — informationssäkerhetslagen — trädde i kraft i augusti 2018 och var den svenska implementationen av EU:s ursprungliga NIS-direktiv från 2016. Den nya Cybersäkerhetslagen, som beslutades av riksdagen den 11 december 2025 och trädde i kraft den 15 januari 2026, är inte en justering av den tidigare lagen utan en fullständig omarbetning.

De viktigaste förändringarna jämfört med tidigare reglering är:

Bredare tillämpningsområde. Antalet sektorer har utvidgats från 7 till 18. Nya områden inkluderar bland annat avloppsvattenhantering, ICT-tjänsteförvaltning (B2B), större delar av offentlig förvaltning (inklusive kommuner och regioner), rymdverksamhet, post- och kurirtjänster, avfallshantering, livsmedelsproduktion, tillverkningsindustri, digitala leverantörer och forskning.

Whole-entity-principen. Under den tidigare NIS-lagen omfattades endast de specifika tjänster som klassificerades som samhällsviktiga eller digitala. Under den nya lagen tillämpas kraven på hela organisationen så snart entiteten faller inom lagens tillämpningsområde — även verksamhetsdelar som inte själva utgör en NIS2-sektor.

Personligt ledningsansvar. Lagen introducerar för första gången möjligheten för tillsynsmyndighet att ansöka hos domstol om att hindra ledningspersoner — exempelvis styrelseledamöter och VD — från att utöva ledningsfunktioner. Detta gäller vid grova överträdelser begångna med uppsåt eller grov vårdslöshet. Förbudet kan gälla i minst ett och högst tre år.

Sanktionerade utbildningskrav. Den nya lagen kräver explicit att ledningspersoner genomgår utbildning i cybersäkerhet. Bristande utbildning kan i sig leda till sanktioner.

Tydligare riskhanteringskrav. Tio specifika minimikrav på säkerhetsåtgärder definieras i lagen (genomgås i sektion 5 nedan).

De 18 sektorerna och vem som omfattas

NIS2-direktivet och Cybersäkerhetslagen täcker 18 sektorer fördelade på två kategorier: högt kritiska sektorer (Annex I) och andra kritiska sektorer (Annex II). Indelningen påverkar huvudsakligen klassificeringen som väsentlig eller viktig entitet.

Annex I — högt kritiska sektorer (11 sektorer):

Energi (el, fjärrvärme, olja, naturgas, vätgas)
Transport (flyg, järnväg, vatten, väg)
Bankväsende
Finansmarknadsinfrastruktur
Hälso- och sjukvård
Dricksvatten
Avloppsvatten
Digital infrastruktur (DNS, TLD, datacenter, molntjänster, CDN, trust services)
ICT-tjänsteförvaltning (B2B managed services, managed security services)
Offentlig förvaltning
Rymdverksamhet

Annex II — andra kritiska sektorer (7 sektorer):

Post- och kurirtjänster
Avfallshantering
Tillverkning, produktion och distribution av kemikalier
Tillverkning, produktion och distribution av livsmedel
Tillverkningsindustri (medicintekniska produkter, datorer/elektronik, motorfordon, etc.)
Digitala leverantörer (e-handelsmarknadsplatser, sökmotorer, sociala nätverk)
Forskningsorganisationer

Storleksgränsen — €10M eller 50 anställda

Den huvudsakliga storlekströskeln följer EU:s definition av små och medelstora företag (SME). Organisationer omfattas av Cybersäkerhetslagen om de uppfyller minst ett av följande:

50 eller fler anställda
Årlig omsättning eller balansomslutning över €10 miljoner

Det innebär att merparten av medelstora och stora svenska företag inom de 18 sektorerna omfattas. Det finns dock undantag som drar in även mindre aktörer — exempelvis kvalificerade leverantörer av betrodda tjänster och vissa aktörer inom digital infrastruktur omfattas oavsett storlek.

Vad innebär detta i praktiken?

Lagen påverkar tusentals svenska organisationer — Cybersäkerhetslagen, jämfört med tidigare NIS-lag som omfattade hundratals enheter. Det inkluderar:

Större kommuner och regioner
De flesta sjukhus och vårdcentraler
Större tillverkningsföretag inom de täckta sektorerna
Större e-handelsplattformar
IT-tjänsteleverantörer som hanterar tjänster för kunder inom omfattade sektorer

Väsentliga vs viktiga entiteter — klassificering

Cybersäkerhetslagen klassificerar omfattade organisationer i två kategorier: väsentliga entiteter (essential entities) och viktiga entiteter (important entities). Kraven på säkerhetsåtgärder är i allt väsentligt desamma — skillnaden ligger i tillsynsmodellen och sanktionsnivån.

Väsentliga entiteter inkluderar:

Större aktörer inom Annex I-sektorer (typiskt mer än 250 anställda eller omsättning över €50M)
Specifika aktörer oavsett storlek: kvalificerade trust service-leverantörer, TLD- och DNS-leverantörer, leverantörer av elektronisk kommunikation av viss skala
Offentliga myndigheter

Viktiga entiteter inkluderar:

Medelstora aktörer inom Annex I-sektorer som inte uppfyller tröskelvärdena för väsentlig
Alla omfattade aktörer i Annex II-sektorer

Skillnaden i tillsyn:

Väsentliga entiteter omfattas av proaktiv tillsyn — tillsynsmyndigheten kan genomföra inspektioner, audits och granskningar på eget initiativ. Viktiga entiteter omfattas av reaktiv tillsyn — granskning sker huvudsakligen vid indikation på överträdelse.

Skillnaden i sanktioner:

För väsentliga entiteter är taket €10 miljoner eller 2 % av global omsättning, det högre beloppet. För viktiga entiteter är motsvarande €7 miljoner eller 1,4 %.

Den svenska egenskapen — whole-entity-principen

Det mest distinkta i den svenska implementationen är whole-entity-principen. När en organisation fastslås omfattas av Cybersäkerhetslagen baserat på sektor och storlek, tillämpas lagens krav på hela organisationen — inte enbart den specifika tjänst eller affärsverksamhet som triggade omfattningen.

Detta är en betydligt bredare tolkning än vad många andra EU-medlemsstater har valt. I exempelvis tysk implementation tillämpas reglerna huvudsakligen på de specifika sektorsspecifika delarna av verksamheten.

Praktisk implikation: Ett företag med blandad verksamhet — där exempelvis 30 % av omsättningen kommer från en NIS2-sektor och 70 % från områden utanför direktivet — måste fullt ut tillämpa lagens krav på hela koncernen. Detta innefattar gemensamma IT-system, dokumentation, riskhantering och utbildning på ledningsnivå.

Lagen erkänner dock principen om proportionalitet. Säkerhetsåtgärderna ska vara "lämpliga och proportionella" till den faktiska risken — vilket innebär att tillämpningen kan anpassas till de specifika omständigheterna i olika verksamhetsdelar.

Tio minimikrav på säkerhetsåtgärder

NIS2-direktivet definierar tio specifika områden där varje omfattad organisation måste implementera "lämpliga och proportionella" tekniska, operativa och organisatoriska säkerhetsåtgärder. Dessa krav är överförda direkt till svensk lag.

Policyer för riskanalys och informationssystemssäkerhet — dokumenterad riskhanteringsprocess
Incidenthantering — processer för upptäckt, klassificering, hantering och rapportering
Driftskontinuitet — backup-hantering, katastrofåterställning, kriskommunikation
Försörjningskedjans säkerhet — säkerhetsaspekter i förhållande till leverantörer och underleverantörer
Säkerhet i förvärv, utveckling och underhåll — sårbarhetshantering, säkerhet genom design
Policyer för bedömning av riskhanteringsåtgärdernas effektivitet — strukturerad utvärdering
Grundläggande hygienpraxis och utbildning i cybersäkerhet — för alla anställda
Policyer för kryptografi och kryptering — när relevant
Personalsäkerhet, åtkomstpolicyer och tillgångshantering — identitets- och behörighetshantering
Multi-faktor-autentisering, säker kommunikation och säkra nödkommunikationssystem — beroende på riskprofil

Varje organisation måste själv bedöma vilken nivå av implementering som är "lämplig och proportionell" baserat på storlek, verksamhetens karaktär och risknivå. Många organisationer väljer att anpassa sitt arbete mot etablerade ramverk såsom ISO/IEC 27001 eller NIST Cybersecurity Framework, som täcker samtliga tio områden.

På den tekniska sidan är två av de vanligaste bristerna i svenska organisationer enkla att kontrollera själv: säker kryptering vid överföring och skydd mot e-postförfalskning. Du kan testa SSL-certifikatet gratis för att se om TLS-konfigurationen håller måttet, och kontrollera DMARC och SPF på din domän för att stänga den vanligaste vägen för phishing in i din organisation. För en bredare bild över alla tio säkerhetsområden kan du göra en fullständig GDPR- och säkerhetsskanning.

Incidentrapportering — 24h, 72h, en månad

Cybersäkerhetslagen införför ett flersteg-rapporteringssystem för signifikanta incidenter. Tidsfristerna är aggressiva och bör operationaliseras innan en incident inträffar — inte under.

Steg 1: Tidig varning (inom 24 timmar)

Inom 24 timmar från att en signifikant incident upptäcks måste organisationen meddela den behöriga tillsynsmyndigheten. Meddelandet ska indikera om incidenten misstänks ha uppstått genom olaglig eller skadlig handling, eller om den kan ha gränsöverskridande påverkan.

Steg 2: Incidentanmälan (inom 72 timmar)

Inom 72 timmar måste en mer detaljerad incidentanmälan lämnas. Denna ska inkludera en initial bedömning av incidentens karaktär, omfattning och påverkan.

För kvalificerade leverantörer av trust services gäller en kortare frist: 24 timmar för incidentanmälan.

Steg 3: Slutrapport (inom 1 månad)

Inom en månad från incidentanmälan ska en slutrapport lämnas. Den ska innehålla en detaljerad beskrivning av incidenten, dess underliggande orsaker, vidtagna åtgärder och eventuell gränsöverskridande påverkan.

Definition av "signifikant incident":

En incident anses signifikant om den orsakat eller kan orsaka:

Allvarlig operativ störning i tjänsten
Ekonomisk förlust för organisationen
Negativ påverkan på andra individer eller organisationer

I praktiken innebär detta att de flesta cybersäkerhetsincidenter som påverkar verksamhetens drift faller inom rapporteringsplikten.

Tillsyn och sanktioner

Sverige har valt en decentraliserad tillsynsmodell. Det innebär att olika tillsynsmyndigheter ansvarar för olika sektorer:

Myndigheten för civilt försvar (MCF) — tidigare MSB, namnändrade 1 januari 2026 — agerar som nationell koordinator och kontaktpunkt mot EU
CERT-SE — kvarstår som primärt organ för incidenthanteringssamordning
Post- och telestyrelsen (PTS) — telekom och digital infrastruktur
Finansinspektionen — finanssektorn
Energimyndigheten / Affärsverket svenska kraftnät — energisektorn
Inspektionen för vård och omsorg (IVO) — hälso- och sjukvård
Livsmedelsverket — livsmedelssektorn
Övriga sektorsmyndigheter enligt sektorstillhörighet

Den exakta uppdelningen av tillsynsansvar fastställs i kompletterande föreskrifter som utfärdats kvartalsvis under 2026.

Sanktionsbelopp

Entitetstyp	Maximal sanktion
Väsentlig entitet	€10 miljoner eller 2 % av global omsättning (det högre)
Viktig entitet	€7 miljoner eller 1,4 % av global omsättning (det högre)
Offentlig entitet	10 000 000 SEK
Minimum (alla)	5 000 SEK

Personligt ledningsansvar

Den enskilt största nyheten i lagen är möjligheten att besluta om förbud för ledningspersoner att utöva ledningsfunktioner. Detta gäller vid grova överträdelser begångna med uppsåt eller grov vårdslöshet. Beslutet fattas av allmän förvaltningsdomstol efter ansökan från tillsynsmyndighet, och kan gälla i minst ett och högst tre år.

Detta är ett betydligt strängare ansvar än vad svenska företagsledare tidigare varit vana vid. Personligt ansvar för regulatoriska överträdelser har funnits inom finanssektorn (genom Finansinspektionens sanktionsverktyg), men introduceras nu på bred bas för första gången inom cybersäkerhet.

Vad organisationer behöver göra nu

För organisationer som ännu inte har bedömt sin position under den nya lagen är följande prioriterade åtgärder:

1. Genomför en tillämplighetsanalys

Klargör om organisationen omfattas av lagen baserat på sektorstillhörighet och storlekströskel. Dokumentera bedömningen — detta dokument kan behöva visas upp vid tillsyn.

2. Anmäl till tillsynsmyndighet (om omfattat)

Anmälningsplikten trädde i kraft den 15 januari 2026. Anmälningsportalen hos MCF öppnade den 2 februari 2026, och deadline för anmälan var den 16 februari 2026. Organisationer som inte anmält sig i tid bör göra det omgående — sen anmälan är fortfarande bättre än ingen anmälan.

3. Genomför gap-analys mot de tio säkerhetskraven

Kartlägg befintliga säkerhetsåtgärder mot de tio minimikraven. Identifiera områden där åtgärder saknas eller är otillräckliga.

4. Etablera incidentprocesser

Säkerställ att incidenthanteringsprocesser kan upprätthålla 24-timmars / 72-timmars / en-månads-tidslinjen. Detta inkluderar:

Tydliga eskaleringsvägar internt
Definitioner av vad som utgör en "signifikant incident"
Kontaktinformation till relevant tillsynsmyndighet
Förberedda mallar för incidentanmälan

5. Säkerställ ledningens utbildning

Lagen kräver att ledningspersoner genomgår utbildning i cybersäkerhet. Brist på utbildning är i sig en sanktionsgrund. Många organisationer dokumenterar detta genom årliga utbildningssessioner med deltagandebevis.

6. Granska försörjningskedjan

Om organisationen är beroende av kritiska IT-leverantörer behöver dessa kontrakt ses över. Kraven på leverantörssäkerhet i NIS2 sträcker sig till leverantörsled.

7. Dokumentera allt

Tillsynsmyndighetens första fråga vid granskning är vanligen "kan ni visa dokumentation?". En organisation som kan visa att man arbetar med riskhantering, även om resultatet inte är perfekt, står betydligt starkare än en som inte kan dokumentera sina åtgärder.

Källor

Denna artikel bygger på följande primärkällor:

Cybersäkerhetslagen (SFS 2025:1506) — författningstext, antagen 11 december 2025
Cybersäkerhetsförordningen — utfärdad 11 december 2025
Proposition 2025/26:28 — "Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag", överlämnad 9 oktober 2025
NIS2-direktivet (EU) 2022/2555 — EU:s ursprungstext, antaget december 2022
Myndigheten för civilt försvar (MCF / tidigare MSB) — vägledning och anmälningsportal (mcf.se)
CERT-SE — incidenthanteringssamordning (cert.se)
EU-kommissionens NIS2-implementationssida — uppdaterad information om svensk transposition

Den exakta uppdelningen av tillsynsansvar och sektorsspecifika föreskrifter publiceras kvartalsvis av respektive tillsynsmyndighet under 2026 och 2027. Den löpande utvecklingen kan följas via MCF:s webbplats.

NIS2 i Sverige 2026: Cybersäkerhetslagen, omfattning och vad du måste göra