Införandet av NIS2 och cybersäkerhetslagen 2026 markerar en ny era för svensk informationssäkerhet. Den 15 januari 2026 trädde den nya lagstiftningen i kraft och förändrade spelplanen för tusentals svenska företag och organisationer.
Lagen genomför EU NIS2-direktiv i svensk rätt och ställer betydligt skarpare krav på riskhantering, incidentrapportering och ledningens personliga ansvar för cybersäkerhet. Om du driver eller leder en verksamhet som direkt eller indirekt berörs av lagen, behöver du agera nu.
Kraven omfattar säkerheten i alla nätverks- och informationssystem som används för att leverera era tjänster.
Skillnaden mot det tidigare NIS-direktivet är påtaglig. Fler sektorer omfattas, sanktionsavgifterna är högre och kraven på systematiskt säkerhetsarbete är tydligare formulerade.
Det handlar inte längre enbart om teknik. Regelverket kräver ett långsiktigt systematiskt cybersäkerhetsarbete som genomsyrar hela organisationen.
Som ledare behöver du ta ett aktivt grepp om riskstyrning, kontinuitetsplanering och leverantörskedjans säkerhet.
Kort fakta:
- Cybersäkerhetslagen började gälla från 15 januari 2026 och omfattar betydligt fler sektorer och organisationer än det tidigare NIS-direktivet.
- Styrelse och ledning har ett personligt ansvar för att riskhantering, incidentrapportering och säkerhetsåtgärder är på plats.
- Framgångsrik efterlevnad kräver en kombination av nulägesanalys, tydlig åtgärdsplan och kontinuerligt systematiskt arbete, inte en engångsinsats.
Vad regelverket innebär
Cybersäkerhetslagen (2025:1506) ersätter den tidigare NIS-lagen och skärper kraven på hur organisationer arbetar med cybersäkerhet i Sverige.
Lagen berör allt från riskanalys och säkerhetsåtgärder till hur incidenter ska rapporteras och hur ledningen ska vara involverad.
Syftet med det nya kravet
NIS2-direktivet syftar till att uppnå en hög gemensam cybersäkerhetsnivå i hela EU. Bakgrunden är att moderna cyberhot har förändrats drastiskt sedan det ursprungliga NIS-direktivet antogs den 1 augusti 2018.
Hotaktörer använder idag mer avancerade metoder för att skada kritisk infrastruktur. Angreppsytan har vuxit, beroendet av digitala tjänster har ökat och leveranskedjorna har blivit mer komplexa.
I praktiken innebär det att du som verksamhetsansvarig inte längre kan hantera cybersäkerhet som en isolerad IT-fråga. Regelverket kräver ett systematiskt arbete som genomsyrar hela organisationen, från styrelserummet till driftsalen.
Sambandet mellan EU-direktivet och svensk lag
NIS2-direktivet beslutades av EU i december 2022. Varje medlemsstat ansvarar för att implementera direktivet i sin nationella lagstiftning.
I Sverige gjordes det genom cybersäkerhetslagen, som trädde i kraft den 15 januari 2026.
Lagen kompletteras av en cybersäkerhetsförordning och ett antal föreskrifter som tillsynsmyndigheterna utfärdar.
Myndigheten för Civilt försvar (MCF) som tidigare hette Myndigheten för samhällsskydd och beredskap (MSB har ett samordningsansvar och fungerar som nationell kontaktpunkt gentemot EU.
Det är viktigt att förstå att direktivet sätter miniminivån. Den svenska lagen kan i vissa avseenden gå längre.
För vissa verksamheter gäller även säkerhetsskyddslagen parallellt med de nya kraven. Håll därför koll på de föreskrifter som publiceras under 2026, då de specificerar de detaljerade kraven för respektive sektor.
Vilka verksamheter som berörs
Cybersäkerhetslagen träffar betydligt fler organisationer än det tidigare regelverket. Avgörande faktorer är vilken sektor du verkar i och din organisations storlek.
Varje samhällsviktig verksamhet behöver nu säkerställa att de uppfyller de nya, strängare säkerhetskraven.
Sektorer med särskilt ansvar
Lagen identifierar 18 olika sektorer med respektive delsektorer.
Bland de sektorer som klassas som särskilt viktiga (och därmed har strängare tillsyn) finns:
- Energi
- Transport
- Hälso- och sjukvård
- Dricksvatten och avloppsvatten
- Digital infrastruktur
- Bank- och finansmarknadsinfrastruktur
- Offentlig förvaltning
Utöver dessa tillkommer sektorer som livsmedel, avfallshantering, kemikalier, forskning, post- och budtjänster samt tillverkning av läkemedel och medicintekniska produkter.
Varje sektor har en eller flera tillsynsmyndigheter som ansvarar för vägledning och kontroll. För sektorn digital infrastruktur är exempelvis Post- och telestyrelsen ansvarig myndighet.
Hur storlek och samhällsvikt påverkar
Storlekskriteriet är en central del av bedömningen. Generellt gäller lagen för medelstora och stora organisationer, det vill säga verksamheter med minst 50 anställda eller en årsomsättning som överstiger 10 miljoner euro.
Mindre organisationer kan dock omfattas om de bedöms vara särskilt samhällsviktiga.
Lagen skiljer mellan ”väsentliga” och ”viktiga” verksamhetsutövare. Klassificeringen påverkar bland annat hur intensiv tillsynen blir.
Det avgör även storleken på eventuella sanktionsavgifter som kan dömas ut vid brister i efterlevnaden. Om du är osäker på om din verksamhet berörs, bör du genomföra en bedömning snarast.
Många organisationer som tidigare inte behövde förhålla sig till NIS-reglerna hamnar nu inom lagens tillämpningsområde.
Ledningens ansvar och styrning
Cybersäkerhetslagen markerar ett tydligt skifte: cybersäkerhet är en ledningsfråga, inte en IT-fråga.
Styrelse och ledning har ett personligt ansvar för att organisationens riskhantering och säkerhetsåtgärder uppfyller lagens krav.
Krav på riskhantering
Lagen kräver att du som ledare godkänner och aktivt övervakar de riskhanteringsåtgärder som vidtas. Genom att göra fördjupade riskanalyser får ledningen ett beslutsunderlag som faktiskt speglar hotbilden.
Det betyder att du måste förstå verksamhetens riskbild och kunna fatta beslut om vilka risker som accepteras, reduceras eller kanske överförs. Det är inte alltid helt självklart vad som är rätt väg.
Enligt cybersäkerhetslagen ska ledningen genomgå utbildning i cybersäkerhet. Det gäller inte bara IT-ansvarig, utan hela ledningen – ja, även styrelsen måste ha koll nog för att kunna utöva tillsyn på riktigt.
Riskhanteringen ska vara proportionerlig. Åtgärderna ska alltså matcha verksamhetens storlek, exponering och hur mycket ett avbrott skulle påverka samhället.
En liten organisation har såklart inte samma muskler som en storbank, men kraven på systematik och dokumentation gäller ändå. Det är en utmaning, men också en chans att faktiskt få ordning på saker.
Roller, beslut och uppföljning
Det räcker inte att bara fördela ansvar. Du måste också se till att beslutsvägarna är tydliga, att åtgärder följs upp och att avvikelser inte bara hamnar i en låda.
Ledningen har ett tydligt, personligt ansvar. I värsta fall kan det faktiskt bli personliga sanktioner om efterlevnaden brister.
I praktiken rekommenderas att du:
- Utser en ansvarig för cybersäkerhet som rapporterar direkt till ledningen
- Inför regelbundna ledningsgenomgångar av säkerhetsläget
- Dokumenterar beslut, riskbedömningar och uppföljningar
Att förankra cybersäkerhet i styrmodellen, inte bara i tekniken, gör skillnad. Det är faktiskt där många lyckas – särskilt om man tar hjälp av någon som kan strukturera upp det begripligt.
Praktiska säkerhetsåtgärder
Lagen listar tio obligatoriska åtgärdsområden som ska täckas med rimliga tekniska, operativa och organisatoriska åtgärder. Tre områden sticker ut i vardagen: incidenthantering, kontinuitet och leverantörskedjan.
Incidenthantering och rapportering
Du är skyldig att rapportera incidenter som orsakar eller riskerar att orsaka betydande störningar i verksamheten. Rapporteringen går till Myndigheten för Civilt försvar (MCF).
Tidsfristerna förutsätter att rutiner och kontaktvägar är på plats i förväg: en första varning inom 24 timmar och en mer detaljerad rapport inom 72 till till MCF. Slutrapport: senast en månad efter incidentanmälan. Om incidenten fortfarande pågår lämnas i stället en lägesrapport vid denna tidpunkt och slutrapport senast en månad efter att incidenten har hanterats. För att klara det måste du snabbt kunna identifiera och klassificera kritiska incidenter.
Det innebär att organisationen behöver en etablerad incidenthanteringsprocess innan något händer. Vem gör vad? Vilka kommunikationsvägar gäller? Hur samlar ni in information när det är stressigt?
Att öva på scenarion i förväg är faktiskt guld värt. Det sparar tid när det verkligen gäller.
Kontinuitet, återställning och it-uptime
Regelverket kräver planer för att både upprätthålla och återställa verksamheten vid en allvarlig incident. Det handlar om backupstrategier, testade återställningsrutiner och tydliga mål för hur snabbt ni ska vara på banan igen.
Ställ dig frågan: om era kritiska system kraschar i morgon, hur snabbt kan ni vara tillbaka? Om svaret känns luddigt, då finns det jobb att göra.
Organisationer som samarbetar med partners som är vassa på IT-uptime och skalbara lösningar lyckas ofta bygga robustare förmågor snabbare. Det är värt att fundera på.
Leverantörskedja och tredjepartsrisker
Leverantörskedjan är kanske den mest snåriga delen av NIS2. Du ansvarar för din egen säkerhet – men också för riskerna som kommer från leverantörer, underleverantörer och tjänsteleverantörer.
Det kräver att du:
- Kartlägger vilka leverantörer som har tillgång till kritiska system och data
- Ställer krav på leverantörernas säkerhetsarbete i avtal
- Följer upp att kraven efterlevs över tid
Det gäller det både privat och offentlig sektor. Många underskattar hur mycket jobb det faktiskt är att inventera och bedöma hela kedjan.
Så förbereder organisationen sig
Att gå från krav till faktisk efterlevnad kräver struktur, prioritering och en hel del uthållighet. Tre steg är centrala: kartlägg nuläget, identifiera gapen och förankra arbetet i hela organisationen.
Genomför en nulägesanalys
Börja med att kartlägga nuläget. En nulägesanalys bör innehålla:
- Vilka tillgångar och system som är verksamhetskritiska
- Befintliga säkerhetsåtgärder och deras mognad
- Hur incidenthantering, riskanalys och kontinuitetsplanering faktiskt fungerar
- Vilka leverantörer som har tillgång till era system
Syftet är att ge dig ett ärligt utgångsläge. Ofta upptäcker man att vissa delar finns på plats, men att systematik och dokumentation brister.
Det är alltid bättre att hitta bristerna själv än att få dem påpekat av tillsynsmyndigheten.
Prioritera gap och åtgärdsplan
När du har koll på nuläget, prioritera luckorna som innebär störst risk. Det är sällan rimligt att fixa allt på en gång.
En bra åtgärdsplan har tydliga ansvariga, en tidslinje och mätbara mål. Det låter enkelt – men det är lätt att fastna i stora planer som aldrig blir klara.
Erfarenheten visar att följande brukar hamna högt på listan:
- Formell incidenthanteringsprocess med dokumenterade rutiner
- Utbildning av ledning och nyckelpersoner
- Säkerhetsklausuler i leverantörsavtal
- Testade backup- och återställningsrutiner
Det är det oftast smartare att ta konkreta steg som minskar risk och sparar tid än att dra igång breda, ambitiösa program som aldrig blir klara.
Bygg kompetens och intern förankring
Regelverket fungerar bara om folk i organisationen faktiskt förstår vad det innebär och varför det är viktigt. Utbildning kan inte vara något man gör en gång och sen glömmer – det måste in i vardagen.
Säkerställ att:
- Ledningen genomgår utbildning enligt lagens krav
- Nyckelpersoner inom IT, drift och verksamhet vet sina roller vid en incident
- Medarbetare får regelbunden, rollbaserad säkerhetsträning
Intern förankring handlar också om kultur. När cybersäkerhet ses som allas ansvar – inte bara IT:s – då ökar motståndskraften rejält.
Partners som DataCom, som förenklar och skalar efter behov, kan vara ovärderliga för att bygga den typen av förankring utan att göra det onödigt krångligt.
Vanliga misstag att undvika
Även organisationer som tar cybersäkerhetslagen på allvar kan missa målet ibland. Två fallgropar dyker upp om och om igen.
Att se efterlevnad som ett engångsprojekt
Det kanske vanligaste misstaget är att behandla regelefterlevnad som ett projekt med ett tydligt slutdatum. Cybersäkerhetslagen kräver ett systematiskt och löpande arbete.
Hotbilden förändras, verksamheten utvecklas och nya leverantörer kommer in. Om du gör en riskanalys i januari men aldrig uppdaterar den, tappar den snabbt värde.
Samma sak gäller incidentrutiner som aldrig övas och policyer som ingen läser efter lansering. Bygg in revisioner och ledningsgenomgångar i årshjulet – det är egentligen inte merjobb, utan nödvändigt.
Att fokusera på teknik men missa processer
Investering i brandväggar, kryptering och övervakning är förstås nödvändigt. Men det räcker inte riktigt hela vägen.
Lagen kräver också organisatoriska och operativa åtgärder. Det handlar om dokumenterade processer, tydliga roller, beslutsvägar och uppföljning.
Ta ett konkret exempel: en organisation kan ha marknadens bästa säkerhetslösningar. Men om det saknas en testad plan för vem som kontaktar tillsynsmyndigheten vid en incident, vilken information som krävs och inom vilken tidsfrist, då spelar tekniken ingen roll.
Den tekniska förmågan blir liksom meningslös om processerna inte finns på plats. Det är lätt att glömma.
Vanliga frågor
Vilka verksamheter och sektorer omfattas av de nya kraven från 2026?
Cybersäkerhetslagen gäller verksamhetsutövare inom 18 sektorer med tillhörande delsektorer. Det handlar bland annat om energi, transport, hälso- och sjukvård, digital infrastruktur, livsmedel och offentlig förvaltning.
Generellt gäller lagen för medelstora och stora organisationer. Men även mindre verksamheter kan omfattas om de anses vara samhällsviktiga. Är du osäker? Börja med att kolla din verksamhet mot lagens sektorsdefinitioner.
Vilka är de viktigaste skyldigheterna för ledning och styrelse enligt de nya reglerna?
Ledningen måste godkänna och övervaka riskhanteringsåtgärder. De ska dessutom gå utbildning i cybersäkerhet och se till att organisationen har resurser för systematiskt säkerhetsarbete.
Ansvaret är personligt, så bristande efterlevnad kan faktiskt leda till sanktioner mot enskilda personer i ledningen. Det räcker inte att bara lämna över allt till IT-avdelningen längre.
Vilka tekniska och organisatoriska säkerhetsåtgärder förväntas vara på plats för regelefterlevnad?
Lagen kräver åtgärder inom tio obligatoriska områden. Det inkluderar riskanalys, incidenthantering, driftkontinuitet, leverantörssäkerhet, kryptering och åtkomstkontroll.
Åtgärderna ska anpassas efter verksamhetens storlek, riskexponering och samhällspåverkan. Dokumentation och uppföljning är lika viktiga som själva tekniken, även om det ibland glöms bort.
Vilka incidenter måste rapporteras, inom vilka tidsfrister och till vilka mottagare?
Upplysning/tidig varning: senast inom 24 timmar från att verksamheten fått kännedom om den betydande incidenten.
Incidentanmälan: senast inom 72 timmar från kännedom om incidenten. För tillhandahållare av betrodda tjänster gäller 24 timmar.
Slutrapport: senast en månad efter incidentanmälan. Om incidenten fortfarande pågår lämnas i stället en lägesrapport vid denna tidpunkt och slutrapport senast en månad efter att incidenten har hanterat
Du ska rapportera incidenter som medför eller kan medföra betydande störningar i den tjänst du tillhandahåller. En tidig varning ska lämnas inom 24 timmar.
En fullständig incidentrapport ska skickas inom 72 timmar. Rapporteringen sker till MCF.
Hur går tillsyn och efterlevnadskontroll till, och vilka sanktioner kan bli aktuella?
Varje sektor har en eller flera tillsynsmyndigheter som ansvarar för vägledning och kontroll. För digital infrastruktur är till exempel Post- och telestyrelsen ansvarig.
Tillsynen kan ske proaktivt eller reaktivt, till exempel efter en rapporterad incident. Sanktionsavgifterna under cybersäkerhetslagen är betydligt högre än under den tidigare NIS-lagen.
I allvarliga fall kan de uppgå till flera miljoner kronor, beroende på verksamhetens omsättning och klassificering. Det är inget man vill riskera, eller hur?
Hur bör organisationer planera och genomföra ett efterlevnadsprogram med gap-analys och tidslinje?
Börja med en nulägesanalys. Kartlägg era kritiska system, befintliga säkerhetsåtgärder, processer och leverantörer.
Identifiera de luckor som innebär störst risk. Skapa en prioriterad åtgärdsplan där både tidslinje och ansvariga är tydligt utsedda. Det är det avgörande att se efterlevnad som ett löpande arbete med regelbundna revisioner. Det är knappast något man bara gör en gång och sedan glömmer bort.
