En ny cybersäkerhetslag - implementeringen av NIS2-direktivet i svensk rätt

NIS2-direktivet antogs av EU-parlamentet i december 2022. Den svenska regeringen överlämnade propositionen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag (prop. 2025/26:28) den 9 oktober 2025. Cybersäkerhetslagen, som ersätter den nuvarande NIS-lagen, föreslås träda i kraft den 15 januari 2026 och medför några viktiga förändringar på informationssäkerhets- och cybersäkerhetsområdet.

NIS2-direktivet skärper kraven för verksamhetsutövare och innehåller bestämmelser om ett mer långtgående samarbete inom EU jämfört med sin föregångare NIS1. Det övergripande syftet med de nya reglerna är att uppnå en högre cybersäkerhet för ett utökat antal sektorer.

Det finns framför allt två förändringar som organisationer omedelbart behöver förhålla sig till:

1. Bredare tillämpning och antal sektorer utökas: Cybersäkerhetslagen föreslås omfatta fler aktörer. Antalet sektorer utökas från 7 till 18 stycken. Exempel på nya sektorer som nu omfattas är: avloppsvatten, förvaltning av IKT-tjänster (mellan företag), offentlig förvaltning (vilket innebär att nästan hela den offentliga sektorn inklusive kommuner och regioner omfattas), rymden, post- och budtjänster, avfallshantering, tillverkning, produktion och distribution av kemikalier och livsmedel, tillverkning, digitala leverantörer och forskning.

2. Hela verksamheten omfattas: Förslaget innebär att kraven kommer att gälla för hela verksamheten, inte bara de delar som anses vara samhällsviktiga eller erbjuder digitala tjänster. Det införs även ett storlekskrav för privata verksamhetsutövare, där en verksamhet måste sysselsätta minst 50 personer eller ha en årsomsättning som överstiger 10 miljoner euro för att omfattas av lagens krav. Dock kan även mindre men särskilt kritiska verksamheter pekas tillsynsmyndigheter vilka då också måste följa lagens krav.

Utöver ovan två nyheter vill vi i korthet lyfta ytterligare några delar ur det nya förslaget.

Ny klassificering: Både offentliga och enskilda verksamhetsutövare omfattas av den nya cybersäkerhetslagen. De verksamheter som omfattas ska dock klassificeras antingen som väsentliga eller viktiga verksamheter utifrån betydelse och storlek. Reglerna är i princip samma oavsett kategori, men vad gäller tillsyn och sanktioner skiljer sig dessa åt beroende på klassificering.

Ansvarsskyldighet för den högsta ledningen för verksamhetsutövarens överträdelser: NIS2-direktivet, och därmed cybersäkerhetslagen, ställer ökade krav på ledningens deltagande i organisationens cybersäkerhetsarbete. Lagen bemyndigar tillsynsmyndigheter att hos domstol ansöka om att en person med ledningsansvar hos en väsentlig verksamhetsutövare ska förbjudas att utöva ledningsfunktioner. Detta gäller exempelvis för styrelseledamöter och verkställande direktörer. Övriga sanktioner riktar sig mot verksamhetsutövaren i form av juridisk person. Denna sanktion riktar sig i stället mot fysiska personer och ska ses som en yttersta åtgärd för att åstadkomma ett visst agerande.

Tydliga krav på säkerhetsåtgärder: Verksamhetsutövare ska vidta lämpliga riskhanteringsåtgärder och genomföra riskanalyser för att skydda sina nätverk och informationssystem mot incidenter. Åtgärderna ska utvärderas och baseras på en riskanalys och ska vara proportionella i förhållande till risken. För att säkerställa en enhetlig tillämpning och övervakning av dessa krav finns det tillsynsmyndigheter för varje sektor, där vissa myndigheter får utökade ansvarsområden och nya tillsynsmyndigheter inrättas för att hantera de utökade kraven. Kraven i sin helhet tydliggörs framför allt i detaljerade föreskrifter som dessa tillsynsmyndigheter utfärdar, likt då NIS1-direktivet implementerades i svensk rätt.

Vidare ställs det krav på att verksamhetsutövaren ska bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete och verksamhetens ledning ska genomgå utbildningar och de anställda ska erbjudas erforderlig utbildning.

Krav på säkerhet i leverantörskedjor: Verksamheternas krav på att vidta åtgärder inkluderar även leveranskedjan. Propositionen tydliggör att arbetet med säkerhet i leveranskedjan inte kan begränsas till att endast omfatta den direkta leverantören, utan man förväntas ta ett bredare grepp. Regeringen pekar på att verksamhetsutövaren bör beakta sårbarheter hos underleverantörer, och i vissa fall även vara beredda att agera vid brister som rör längre led i kedjan. Det innebär i praktiken att organisationer behöver bedöma och hantera risker som kan uppstå även i nästa och nästkommande led – särskilt om dessa risker är kända, påtalade eller annars relevanta för verksamhetens säkerhetsnivå. Detta kan resultera i att man som verksamhetsutövare behöver se över sina leverantörsavtal, bland annat för att säkerställa att det finns krav på informationsdelning och att leverantören tar ansvar för sina underleverantörer. Lagen anger inte en detaljerad modell för hur leveranskedjor ska kontrolleras eller hur avtalen ska utformas, utan kraven måste bedömas i varje enskilt fall och det är verksamhetsutövaren som bär ansvaret.

Utökade krav på incidentrapportering: Incidentrapportering blir tvingande och detta inkluderar även leveranskedjan. Verksamhetsutövaren är således skyldig att rapportera betydande incidenter inom vissa bestämda tidsgränser. En varning ska lämnas inom 24 timmar från att verksamhetsutövaren fått kännedom om den betydande incidenten. Därefter ska en incidentanmälan göras inom 72 timmar och en slutrapport inom en månad.

Införande av sanktioner: NIS2-direktivet innehåller detaljerade regler avseende tillsynsmyndigheternas ingripanden och dess möjligheter att utfärda sanktionsavgifter.

Lägstanivån på sanktionsavgifterna är 5 000 kronor (som tidigare). Vad gäller maximinivån för sanktionsavgifterna fastställer NIS2-direktivet två olika beräkningsgrunder och belopp, baserade på om verksamhetsutövaren är väsentlig eller viktig.

För väsentliga verksamhetsutövare ska maxbeloppet för sanktionsavgiften uppgå till det högsta alternativet av 10 000 000 euro, eller 2 procent av den totala globala årsomsättningen under föregå-ende räkenskapsår. För viktiga verksamhetsutövare ska motsvarande belopp uppgå till det högsta alternativet av 7 000 000 euro, eller 1,4 procent av den totala globala årsomsättningen under föregående räkenskapsår.

CER-direktivet

Parallellt med arbetet att genomföra NIS2-direktivet bereds även genomförandet av CER-direktivet, som handlar om att stärka kritiska verksamheters motståndskraft. CER-direktivet omfattar i delar liknande krav som NIS2-direktivet, men omfattar inte bara cybersäkerhet utan även andra hot som naturkatastrofer, terrorism m.m.

Medlemsstaterna ska enligt CER-direktivet identifiera aktörer som tillhandahåller samhällsviktiga tjänster inom utvalda sektorer (energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, offentlig förvaltning, rymden samt produktion, bearbetning och distribution av livsmedel). Vidare föreskriver direktivet en skyldighet för sådana aktörer att bland annat vidta åtgärder för att stärka sin motståndskraft och rapportera incidenter. Direktivet innehåller även bestämmelser om tillsyn och sanktioner. CER-direktivet innehåller alltså liknande krav som NIS2-direktivet men tillämpningen är samordnad och vid överlappning ska NIS2-direktivet gälla så länge CER-direktivet inte ställer mer långtgående krav.

Den av regeringen tillsatta utredningen avseende CER-direktivet lämnade sitt slutbetänkande i september 2024 – Motståndskraft i samhällsviktiga tjänster (SOU 2024:26), vilket har remissbehandlats och bereds vidare inom Regeringskansliet per november 2025.

Slutligen kan också nämnas att många organisationer kommer att omfattas av såväl cybersäkerhetslagen som säkerhetsskyddslagen (2018:585). Utgångspunkten är då att för de delar av verksamheten som omfattas av säkerhetsskyddslagen, gäller endast ett begränsat antal bestämmelser i cybersäkerhetslagen (om anmälnings- och uppgiftsskyldighet).

Med bara veckor kvar till att den nya cybersäkerhetslagen träder i kraft den 15 januari 2026 är det hög tid för organisationer att gå från planering till genomförande. Arbetet med NIS2-efterlevnad är omfattande och kräver inte bara tekniska åtgärder utan även styrning, dokumentation och en genomlysning av hela leveranskedjan.

Organisationer som fortfarande är osäkra på om de omfattas behöver omedelbart genomföra en kvalificerad tillämpningsanalys – inklusive hur verksamheten påverkas av säkerhetsskyddslagen. För de som redan har påbörjat detta arbete är nästa steg att genomföra en uppdaterad riskanalys, kartlägga kritiska tjänster och identifiera vilka avtal, processer och system som måste anpassas före ikraftträdandet.

Den allmänna rekommendationen från MSB är också att börja förbereda sin anmälan utifrån tillgänglig information för att underlätta när anmälningsplikten blir skarp i januari 2026. Det är därför avgörande att organisationer inte inväntar föreskrifter eller ytterligare vägledning innan de agerar. Ett förberett anmälningsunderlag och en initial risköversyn gör att ni står redo när reglerna träder i kraft.

Vi rekommenderar att organisationer omgående påbörjar följande tre steg:

1. Fastställ om verksamheten omfattas av lagens tillämpningsområde.

2. Förbered den information som ska lämnas i anmälan till tillsynsmyndigheten.

3. Identifiera vilka interna processer, tekniska skydd och avtal som behöver uppdateras innan den 15 januari 2026.

Det ska avslutningsvis nämnas att det ovanstående endast är en övergripande sammanfattning av vissa frågor kring NIS2-direktivet den nya cybersäkerhetslagen. Denna artikel utgör således inte juridisk rådgivning i ett enskilt fall.