Krav på säkerhetsåtgärder som stärker cybersäkerheten

Den 1 oktober kompletteras lagens övergripande krav med föreskrifter som förtydligar vad verksamhetsutövare behöver göra för att uppfylla lagstiftningen.

– Cybersäkerhet är en central del i vår förmåga att motstå störningar. Att stärka cybersäkerheten bidrar till att öka hela samhällets motståndskraft, säger Mikael Frisell, generaldirektör vid Myndigheten för civilt försvar.

– Handlingskraftigt ledarskap krävs för att bygga ett robust cyberskydd i ett allt mer allvarligt säkerhetspolitiskt läge, framhåller Mikael Frisell och riktar sig särskilt till beslutsfattare i de berörda organisationerna.

Nu blir kraven tydligare

Sedan NIS2-direktivet beslutades av EU 2022 har det varit känt att fler aktörer skulle omfattas av skärpta krav på cybersäkerhet. Genom de nya föreskrifterna om säkerhetsåtgärder och ledningens utbildning blir det nu tydligare vilka krav som gäller för de allra flesta verksamhetsutövare som omfattas av cybersäkerhetslagen i Sverige.

Föreskrifterna beskriver vilka områden organisationen behöver arbeta med och vilka säkerhetsåtgärder som ska övervägas utifrån verksamhetens förutsättningar.

Ett systematiskt och riskbaserat arbete

Cybersäkerhet handlar inte om att bocka av en lista med åtgärder. Föreskrifterna bygger på ett riskbaserat arbetssätt där varje verksamhetsutövare behöver bedöma sina risker, värdera sina informationstillgångar och införa lämpliga säkerhetsåtgärder.

De nya reglerna omfattar bland annat:

• ledningens utbildning
• incident- och kontinuitetshantering
• säkerhet vid utveckling och utkontraktering
• personal- och lokalsäkerhet
• styrning och uppföljning av cybersäkerhetsarbetet

Organisationer förväntas arbeta systematiskt och kontinuerligt med dessa frågor för att förebygga och minska konsekvenser av cyberrelaterade störningar.

Tydliga krav med utrymme för anpassning

Föreskrifterna har tagits fram genom en omfattande förankringsprocess där många aktörer har lämnat synpunkter. Resultatet är en reglering som kombinerar tydliga krav med möjlighet att anpassa arbetet efter den egna verksamhetens risker, storlek och förutsättningar.

Det innebär att olika organisationer kan behöva genomföra olika åtgärder för att uppnå tillräcklig skyddsnivå.  

Publiceras i juni – träder i kraft i oktober

Föreskrifterna publiceras i juni 2026 och träder i kraft 1 oktober 2026. Till att börja med finns översiktlig information och ett webbinarium som presenterar föreskrifterna. Från augusti kommer ytterligare vägledning och fördjupat stöd att publiceras.

Arbetet fortsätter inom Nationellt cybersäkerhetscenter

Föreskrifterna har tagits fram av Myndigheten för civilt försvar. Den 1 juli flyttas myndighetens cyberverksamhet, inklusive uppdrag och kompetens kopplade till cybersäkerhetslagen, till Nationellt cybersäkerhetscenter (NCSC) vid Försvarets radioanstalt (FRA).

– Sverige behöver en gemensam förmågehöjning inom cybersäkerhet. Ambitionen med det nya nationella cybersäkerhetscentret är att kraftsamla och skapa en tydligare ansvarsfördelning. Cybersäkerhetslagen är också en mycket viktig del i att stärka samhällets samlade förmåga, säger FRA:s generaldirektör Björn Lyrvall.

När övergången är genomförd fortsätter arbetet med information, stöd och vägledning till de verksamheter som omfattas av de nya föreskrifterna.

– Vi tar över stafettpinnen och fortsätter arbetet med att stödja de aktörer som berörs av cybersäkerhetslagen, säger John Billow, chef för NCSC.