Vinge Logotype
SvenskaEnglish 18D7E0DE-2035-40AE-A740-8F45A358A8F4 Login
  1. Hem
  2. Insights
  3. 2025
  4. Cybersäkerhetslagen: Vad du behöver veta om den nya lagen
Vinge Insights

Cybersäkerhetslagen: Vad du behöver veta om den nya lagen

Den nya cybersäkerhetslagen trädde i kraft den 15 januari 2026. Lagen implementerar det så kallade NIS2-direktivet, som syftar till att uppnå en gemensamt högre nivå av cybersäkerhet inom EU. Allt fler verksamheter faller nu in under cybersäkerhetslagstiftningens tillämpningsområde och omfattas därför bland annat av kraven på anmälningsplikt, incidentrapportering och genomförande av säkerhetsåtgärder.
Cyber2

Vad är syftet med cybersäkerhetslagen?

Cybersäkerhetslagen implementerar NIS2-direktivet, som syftar till att uppnå en gemensamt högre nivå av cybersäkerhet inom EU. Genom NIS2 och cybersäkerhetslagen utökas antalet utpekade sektorer, vilket innebär att betydligt fler organisationer omfattas av den nya cybersäkerhetslagen jämfört med tidigare regelverk.

Omfattas din verksamhet av cybersäkerhetslagen?

Cybersäkerhetslagen tillämpas på verksamheter inom följande 18 utpekade sektorer: 

  • Högkritiska sektorer: Energi; transport; bankverksamhet; finansmarknadsinfrastruktur; hälso- och sjukvårdssektorn; dricksvatten; avloppsvatten; digital infrastruktur; förvaltning av IKT-tjänster mellan företag; offentlig förvaltning; och rymden.
  • Andra kritiska sektorer: Post- och budtjänster; avfallshantering; tillverkning, produktion och distribution av kemikalier; produktion, bearbetning och distribution av livsmedel; digitala leverantörer; forskning; och tillverkning av vissa kritiska produkter.

En verksamhetsutövare som bedriver verksamhet inom någon av de utpekade sektorerna omfattas av cybersäkerhetslagen om den storleksmässigt motsvarar eller är större än ett medelstort företag. Vid beräkningen av en verksamhets storlek kan också data för andra företag i samma koncern behöva beaktas.

Verksamheter inom ovannämnda sektorer kan omfattas av cybersäkerhetslagen även om de inte uppfyller storlekskravet, exempelvis om verksamhetsutövaren är den enda leverantören av en tjänst i Sverige som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. Därutöver omfattas under vissa omständigheter statliga myndigheter, regioner och kommuner av cybersäkerhetslagen.

En verksamhetsutövare som omfattas av cybersäkerhetslagen omfattas som huvudregel av regelverkets krav i hela sin verksamhet (med andra ord inte bara den verksamhetsgren som omfattas av en av de utpekade sektorerna ovan).

Vad innebär cybersäkerhetslagen för din verksamhet?

Verksamhetsutövare som omfattas av cybersäkerhetslagen behöver bland annat vidta följande åtgärder.

  1. Anmäla verksamheten till Myndigheten för civilt försvar. Verksamhetsutövare ska anmäla verksamheten till Myndigheten för civilt försvar. Vilken myndighet som utövar tillsyn över verksamheten varierar beroende på angiven sektorstillhörighet.
  2. Vidta säkerhetsåtgärder. Verksamhetsutövare ska vidta säkerhetsåtgärder som ska avse bland annat strategier för riskanalys och för nätverks- och informationssystemens säkerhet samt säkerhet i leveranskedjan. 
  3. Utbilda ledningen. De personer som ingår i en verksamhetsutövares ledning ska genomgå utbildning om säkerhetsåtgärder. Utbildningen bör bland annat syfta till att ledningen ska ha tillräcklig kompetens för att kunna identifiera risker och bedöma vilka säkerhetsåtgärder som bör vidtas.
  4. Etablera rutiner för hantering av incidenter. Verksamhetsutövare har en skyldighet att, efter det att verksamhetsutövaren har fått kännedom om en betydande incident, (i) senast inom 24 timmar upplysa Myndigheten för civilt försvar om incidenten och (ii) senast inom 24 eller 72 timmar göra en incidentanmälan till myndigheten. Tidsfristen för incidentrapportering skiljer sig beroende på om verksamheten tillhandahåller betrodda tjänster eller inte.

Det är viktigt att notera att verksamhetsutövare som bryter mot cybersäkerhetslagen riskerar höga administrativa sanktionsavgifter. Sanktionsavgifterna beror på hur verksamheten klassas, men uppgår som högst till det högre av 2 % av verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår och 10 000 000 EURO.

Vad händer härnäst?

Den 2 februari 2026 trädde Myndigheten för civilt försvars föreskrifter om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare i kraft. Under 2026 väntas ytterligare föreskrifter från Myndigheten för civilt försvar och Post- och telestyrelsen att publiceras, vilka kommer att reglera bland annat incidentrapportering, informationsskyldighet och säkerhetsåtgärder. Framöver är det därför viktigt att fortsatt bevaka myndigheternas arbete.

Läs också:

Så påverkas svenska verksamheter av den nya cybersäkerhetslagen

NIS2 och cybersäkerhetslagen: Nya krav på svenska bolag

Läs propositionen här

Coworker
Eva Fredrikson
  • Delägare, Advokat
  • Stockholm
Max 500 tecken
Tack för att du kontaktar mig! Jag hör av mig inom kort.
Coworker
Mathilda Persson
  • Delägare, Advokat
  • Stockholm
Max 500 tecken
Tack för att du kontaktar mig! Jag hör av mig inom kort.
Coworker
Nicklas Thorgerzon
  • Technology & Data Protection Expert, Advokat
  • Stockholm
Max 500 tecken
Tack för att du kontaktar mig! Jag hör av mig inom kort.
Coworker
Siri Blomberg
  • Associate
  • Stockholm
Max 500 tecken
Tack för att du kontaktar mig! Jag hör av mig inom kort.