Vinge Logotype
SvenskaEnglish 18D7E0DE-2035-40AE-A740-8F45A358A8F4 Login
  1. Hem
  2. Insights
  3. 2025
  4. Cybersäkerhetslagen: Vad du behöver veta inför att lagen börjar gälla
Vinge Insights

Cybersäkerhetslagen: Vad du behöver veta inför att lagen börjar gälla

Den nya cybersäkerhetslagen föreslås träda i kraft den 15 januari 2026. Lagen implementerar det så kallade NIS2-direktivet som syftar till att uppnå en gemensamt högre nivå av cybersäkerhet inom EU. Även om lagen inte har röstats igenom eller trätt i kraft ännu, så är det viktigt att börja förbereda sig redan nu för de nya krav och skyldigheter som föreslås börja gälla inom kort.
Cyber2

Vad är syftet med cybersäkerhetslagen?

Cybersäkerhetslagen implementerar NIS2-direktivet, som syftar till att uppnå en gemensamt högre nivå av cybersäkerhet inom EU. Genom NIS2 och cybersäkerhetslagen utökas antalet utpekade sektorer, vilket innebär att betydligt fler organisationer kommer omfattas av den nya cybersäkerhetslagen jämfört med nuvarande regelverk.

Omfattas din verksamhet av cybersäkerhetslagen?

Innan cybersäkerhetslagen träder ikraft bör ni göra en analys av huruvida er verksamhet omfattas av den nya lagen.

Cybersäkerhetslagen tillämpas på verksamheter inom följande 18 utpekade sektorer: 

  • Högkritiska sektorer: Energi; transport; bankverksamhet; finansmarknadsinfrastruktur; hälso- och sjukvårdssektorn; dricksvatten; avloppsvatten; digital infrastruktur; förvaltning av IKT-tjänster mellan företag; offentlig förvaltning; och rymden.
  • Andra kritiska sektorer: Post- och budtjänster; avfallshantering; tillverkning, produktion och distribution av kemikalier; produktion, bearbetning och distribution av livsmedel; digitala leverantörer; forskning; och tillverkning. 

En verksamhetsutövare som bedriver verksamhet inom någon av de utpekade sektorerna omfattas av cybersäkerhetslagen om den storleksmässigt motsvarar eller är större än ett medelstort företag. Verksamheter inom ovannämnda sektorer kan omfattas av cybersäkerhetslagen även om de inte uppfyller storlekskravet, exempelvis om verksamhetsutövaren är den enda leverantören av en tjänst i Sverige som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. Därutöver omfattas under vissa omständigheter statliga myndigheter, regioner och kommuner av cybersäkerhetslagen. 

En verksamhetsutövare som omfattas av cybersäkerhetslagen kommer enligt förslaget som huvudregel omfattas av regelverkets krav i hela sin verksamhet (med andra ord inte bara den verksamhetsgren som omfattas av en av de utpekade sektorerna ovan). 

Vad innebär cybersäkerhetslagen för din verksamhet?

 Verksamhetsutövare som omfattas av cybersäkerhetslagen bör redan nu förbereda sig inför att den nya lagen träder ikraft, genom bland annat följande åtgärder. 

  1. Förbered anmälan av verksamheten. Verksamhetsutövare ska anmäla sig till den myndighet som regeringen bestämmer i omedelbar anslutning till att lagen träder i kraft. Den relevanta myndigheten för er verksamhet kan komma att skilja sig beroende på vilken sektor ni verkar inom.  
  2. Vidta säkerhetsåtgärder. Verksamhetsutövare kommer behöva vidta säkerhetsåtgärder avseende bland annat strategier för riskanalys, nätverks- och informationssystemens säkerhet samt säkerhet i leveranskedjan.
  3. Utbilda ledningen. De personer som ingår i en verksamhetsutövares ledning ska enligt lagförslaget genomgå utbildning om säkerhetsåtgärder. Utbildningen bör bland annat syfta till att ledningen ska ha tillräcklig kompetens för att kunna identifiera risker och bedöma vilka säkerhetsåtgärder som bör vidtas.
  4. Etablera rutiner för hantering av incidenter. Verksamhetsutövare kommer bland annat ha en skyldighet att, efter det att verksamhetsutövaren har fått kännedom om en betydande incident, (i) senast inom 24 timmar upplysa den myndighet som regeringen bestämmer (sannolikt myndigheten för samhällsskydd och beredskap (MSB)) om incidenten och (ii) senast inom 72 timmar göra en incidentanmälan till myndigheten.

Det är viktigt att notera att verksamhetsutövare som bryter mot cybersäkerhetslagen riskerar höga administrativa sanktionsavgifter. Sanktionsavgifterna beror på hur verksamheten klassas, men uppgår som högst till det högre av 2 % av verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår och 10 000 000 EURO.

Vad händer härnäst?

Riksdagen väntas fatta beslut om att anta regeringens förslag till cybersäkerhetslag under hösten 2025 för att möjliggöra att lagen träder i kraft den 15 januari 2026. Trots att lagen inte har trätt i kraft ännu, så är det viktigt att agera proaktivt och börja förbereda sin verksamhet redan nu.

Regeringen har även gett MSB och Post- och telestyrelsen (PTS) i uppgift att förbereda för att kunna meddela föreskrifter inom flera områden, exempelvis anmälningsskyldighet, säkerhetsåtgärder, och vad som utgör en betydande cybersäkerhetsincident. Uppdraget ska redovisas senast den 15 januari 2026.

Läs också:

Så påverkas svenska verksamheter av den nya cybersäkerhetslagen

NIS2 och cybersäkerhetslagen: Nya krav på svenska bolag

Läs propositionen här

Coworker
Eva Fredrikson
  • Delägare, Advokat
  • Stockholm
Max 500 tecken
Tack för att du kontaktar mig! Jag hör av mig inom kort.
Coworker
Mathilda Persson
  • Delägare, Advokat
  • Stockholm
Max 500 tecken
Tack för att du kontaktar mig! Jag hör av mig inom kort.
Coworker
Nicklas Thorgerzon
  • Advokat, Technology & Data Protection Expert
  • Stockholm
Max 500 tecken
Tack för att du kontaktar mig! Jag hör av mig inom kort.
Coworker
Siri Blomberg
  • Associate
  • Stockholm
Max 500 tecken
Tack för att du kontaktar mig! Jag hör av mig inom kort.