I dag träder cybersäkerhetslagen i kraft
Lagen genomför EU:s NIS2-direktiv och syftar till att uppnå en hög gemensam cybersäkerhetsnivå i hela EU. Målet är ett robust och säkert samhälle eftersom samhället vilar på en digital grund. Arbetet med cybersäkerhet är centralt för att säkerställa att samhället fungerar som vi är vana vid, och att det kan fortgå, även om Sverige skulle hamna i ett läge med stor press. Cybersäkerhetslagen är fortsättningen på det arbetet som redan har gjorts.
Ikraftträdandet av Cybersäkerhetslagen innebär att NIS1 med tillhörande föreskrifter upphör att gälla.
De stora skillnaderna från NIS1 är:
- Fler sektorer omfattas av lagstiftningen. För varje sektor ansvara en eller flera tillsynsmyndigheter för vägledning och tillsyn.
- Det ställs skarpare krav på verksamhetsutövare, bland annat tydligare deltagande från ledningen i organisationens cybersäkerhetsarbete.
- Sanktionsavgifterna är högre än tidigare när kraven inte efterlevs.
Den som är verksamhetsutövare enligt cybersäkerhetslagen har i huvudsak följande uppgifter:
- Identifiera att man omfattas och anmäla sig. Anmälningstjänsten öppnar under våren 2026.
- Etablera/upprätthålla ett systematiskt arbete med informationssäkerhet, införa lämpliga säkerhetsåtgärder och utbilda ledning såväl som personal.
- Rapportera in incidenter som medför eller kan medföra betydande störningar.
De specifika kraven för verksamhetsutövare kommer framgå i föreskrifter, som publiceras på mcf.se under våren 2026.
Är du inte redan anmäld till dagens webbinarium om cybersäkerhetslagen är du välkommen att titta på det i efterhand.