Cybersäkerhetslagen för berörda verksamheter
Den nya cybersäkerhetslagen (NIS2-direktivet) ställer tydligare krav på bland annat riskanalyser och olika säkerhetsåtgärder. Många flera organisationer omfattas också. På den här sidan finns information om vad som gäller för de verksamheter som omfattas.
Övergripande information
Informationen på sidan är övergripande. Vi uppdaterar innehållet löpande.
Den som är verksamhetsutövare enligt cybersäkerhetslagen (NIS2) har i huvudsak följande uppgifter:
- Identifiera ifall man omfattas och anmäla sig.
- Införa lämpliga säkerhetsåtgärder och utbilda såväl ledning som personal.
- Rapportera in incidenter som medför eller kan medföra betydande störningar.
Verksamhetsutövaren berörs också av tillsyn från tillsynsmyndigheten för den sektor eller de sektorer där man omfattas.
Identifiera ifall man omfattas och anmäla sig
Den som omfattas av cybersäkerhetslagen kallas verksamhetsutövare.
Verksamhetsutövarna finns i 18 olika sektorer.
-
NIS2 omfattar verksamhet inom följande 18 sektorer
- Energi
- Transporter
- Bankverksamhet
- Finansmarknadsinfrastruktur
- Hälso- och sjukvård
- Dricksvatten
- Avloppsvatten
- Digital infrastruktur
- Förvaltning av IKT-tjänster (mellan företag)
- Offentlig förvaltning
- Rymden
- Post- och budtjänster
- Avfallshantering
- Tillverkning, produktion och distribution av kemikalier
- Produktion, bearbetning och distribution av livsmedel
- Tillverkning
- Digitala leverantörer
- Forskning
Läs mer om verksamheten omfattas av cybersäkerhetslagen
Läs mer om Att anmäla en verksamhet enligt cybersäkerhetslagen
Införa lämpliga säkerhetsåtgärder och utbilda såväl ledning som personal
Cybersäkerhetslagen ställer tydliga krav på bland annat riskanalyser och olika säkerhetsåtgärder, som uppnås genom ett systematiskt arbete med cyber- och informationssäkerhet. Det innebär bland annat att anpassa skyddet utifrån organisationens behov och utbilda personalen, inte minst ledningen.
Vad menas med informationssäkerhet?
I direktivet och cybersäkerhetslagen regleras dessa områden på en övergripande nivå. Mer specifika krav om vad arbetet ska innefatta kommer att meddelas i föreskrifterna. För att komma igång innan föreskrifterna publicerats kan man titta på förslag till föreskrifter som presenterats under hösten och vintern 2025.
Frågor och svar: Hur kan man förbereda sin verksamhet
Cybersäkerhetslagen för ledningen
Rapportera in betydande incidenter
Verksamhetsutövare ska rapportera in alla betydande incidenter till Myndigheten för civilt försvar. Detta bidrar till att vi kan skapa en samlad bild av incidentläget, varna andra och inleda eventuella samordnande insatser.
Här finner du mer information om incidentrapportrapportering enligt cybersäkerhetslagen
Du kan efterfråga hjälp från CERT-SE
Vid en inträffad incident kan du efterfråga hjälp från CERT-SE. CERT-SE är Sveriges nationella CSIRT (Computer Security Incident Response Team) med uppgift att stötta samhället i arbetet med att hantera och förebygga it-incidenter.
CERT-SE tillhandahåller rådgivning kring hantering av incidenten och ger stöd till drabbade verksamheter för att lindra påverkan av det inträffade och återställa funktion. CERT-SE är en del av Myndigheten för civilt försvar.
Tillsyn och sanktioner
Varje tillsynsmyndighet ansvarar för tillsyn inom sin specifika sektor. En viktig princip är att tillsynen ska vara ett stöd för leverantören i det egna säkerhetsarbetet. Vissa skillnader i tillsynen kan förekomma eftersom de olika NIS-sektorerna skiljer sig åt.
Tillsynsmyndigheterna ansvarar för att se till att kommande cybersäkerhetslagen och relaterade föreskrifter följs. Det innebär bland annat att tillsynsmyndigheterna ska utöva tillsyn för att leverantörer uppfyller kraven på säkerhetsåtgärder och incidentrapportering.
-
Tillsynsmyndigheter för sektorerna
Följande tillsynsmyndigheter väntas få ansvar för de olika sektorerna:
Tillsynsmyndighet Sektor Energimyndigheten Energi Transportstyrelsen Transporter
Tillverkning av motorfordon, släpfordon, påhängsvagnar och andra transportmedelFinansinspektionen Bankverksamhet
FinansmarknadsinfrastrukturInspektionen för vård och omsorg Vårdgivare i hälso- och sjukvårdssektorn Läkemedelsverket Hälso- och sjukvårdssektorn, med undantag för vårdgivare
Tillverkning av medicintekniska produkter och medicintekniska produkter för in vitrodiagnostikLivsmedelsverket Avloppsvatten
Dricksvatten
Produktion, bearbetning och distribution
av livsmedelPost- och telestyrelsen Digital infrastruktur
Digitala leverantörer
Förvaltning av IKT-tjänster
Post- och budtjänster
RymdenLänsstyrelserna i Norrbottens, Skåne, Stockholms och Västra Götalands, Örebro och Östergötlands län. Avfallshantering
Forskning
Lärosäten med examenstillstånd
Offentlig förvaltning
Tillverkning, produktion och distribution av kemikalier
Tillverkning av datorer, elektronikvaror och optik
Tillverkning av elapparatur
Tillverkning av övriga maskiner
Vid tillsyn är verksamhetsutövaren skyldig att ge tillträde till lokaler och tillhandahålla information som behövs för tillsynen.
En tillsynsmyndighet har möjlighet att ingripa mot verksamhetsutövare som inte uppfyller kraven bland annat genom att utfärda föreläggande eller ta ut en sanktionsavgift av den leverantör som underlåter att följa regleringen.
Tillsyn för viktiga verksamhetsutövare
För viktiga verksamhetsutövare får tillsynsåtgärder bara vidtas när tillsynsmyndigheten har befogad anledning att anta att regleringen inte följs.
-
Sanktionsavgifter
Sanktionsavgiften för väsentliga verksamhetsutövare kan som mest uppgå till det högsta av:
- Två procent av verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår, eller
- 10 000 000 euro.
Sanktionsavgiften för offentliga verksamhetsutövare kan som mest uppgå till 10 000 000 kr.
Sanktionsavgiften för viktiga verksamhetsutövare kan som mest uppgå till det högsta av:- 1,4 procent av den viktiga verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår, eller
- 7 000 000 euro.
Sanktionsavgiften för offentliga verksamhetsutövare kan som mest uppgå till 10 000 000 kr.
