Det här är cybersäkerhetslagen

Cybersäkerhetslagen (NIS-direktivet) syftar till att uppnå en hög gemensam cybersäkerhetsnivå i hela unionen. Jämfört med NIS ställs tydligare krav på bland annat riskanalyser och olika säkerhetsåtgärder. Många fler organisationer omfattas också. NIS2-direktivet genomförs i Sverige genom cybersäkerhetslagen som gäller från 15 januari 2026.

Information

Under hösten och vintern 2025 har förslag till nya föreskrifter enligt en ny cybersäkerhetslag publicerats. Mer information om detta finns längre ned på denna sida.

Webbinarier om cybersäkerhetslagen (NIS2) hålls kontinuerligt.

Aktuella webbinarier hittas i kalendern

Tidigare webbinarium

Cybersäkerhetslagen ställer tydligare krav på bland annat riskanalyser och olika säkerhetsåtgärder. Direktivet ställer även ökade krav på ledningens deltagande i organisationens cybersäkerhetsarbete. Cybersäkerhetslagen innebär också att betydligt fler sektorer omfattas av lagstiftningen jämfört med NIS. Av den anledningen tillkommer fler tillsynsmyndigheter. Sanktionsavgifterna är även högre än tidigare i det fall kraven inte efterlevs.

Grundpresentation om cybersäkerhetslagen

Vi har tagit fram en presentation som exempelvis du som arbetar i en verksamhet som omfattas av cybersäkerhetslagen (NIS2) kan använda när du pratar om NIS2 i din organisation, med bilder och talmanus. Innehållet är fritt att använda och du får gärna lägga till dina egna bilder eller bara använda ett urval av dem, men vi vill inte att du ändrar i själva bilderna.

Viktigt att notera är att presentationen är ifrån november 2025.

Grundpresentation NIS2 (ppt)

Vad är cybersäkerhetslagen?

NIS2-direktivet beslutades av EU i december 2022 och ersätter det NIS-direktiv som började gälla 2018 genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS).

NIS2-direktivet infördes i svensk lagstiftning genom en ny cybersäkerhetslag den 15 januari 2026. 

Cybersäkerhetslagen

Cybersäkerhetsförordningen

Ansvarsfördelning för cybersäkerhetslagen

Den som omfattas av cybersäkerhetslagen kallas verksamhetsutövare. Verksamhetsutövarna finns i 18 olika sektorer med respektive delsektorer. 

För varje sektor ansvarar en eller flera tillsynsmyndigheter för vägledning och tillsyn. 

Myndigheten för civilt försvar har ett samordningsansvar, på nationell nivå i Sverige gentemot tillsynsmyndigheter och verksamhetsutövare, och på EU-nivå som kontaktpunkt för samarbete med andra medlemsstater. Vi har också i uppdrag att utfärda föreskrifter när det gäller de gemensamma aspekter av kravställningen för dem som omfattas.

Uppgifter ifall ni omfattas av cybersäkerhetslagen

Den som är verksamhetsutövare enligt cybersäkerhetslagen har i huvudsak följande uppgifter:

  • Identifiera att man omfattas och anmäla sig.
  • Etablera/upprätthålla ett systematiskt arbete med informationssäkerhet, införa lämpliga säkerhetsåtgärder och utbilda ledning såväl som personal.
  • Rapportera in incidenter som medför eller kan medföra betydande störningar.

Verksamhetsutövaren berörs också av tillsyn från tillsynsmyndigheten för den sektor eller de sektorer där man omfattas.

Läs mer om cybersäkerhetslagen för verksamheter

Läs mer om omfattas verksamheten av cybersäkerhetslagen

Läs mer om Att anmäla en verksamhet enligt cybersäkerhetslagen

Förslag till nya föreskrifter

Under hösten och vintern 2025 publicerades förslag till nya föreskrifter enligt ny cybersäkerhetslag. Remissen syftar till att förankra och kvalitetssäkra föreskrifterna. Remissperioden tog slut i december 2025 och vi tackar för alla synpunkter. Föreskrifterna kommer att ges ut under våren 2026, se tidsplanen för cybersäkerhetslagen.

Förslag till nya föreskrifter enligt ny cybersäkerhetslag som har varit ute för remiss finner ni här:

Förslag till nya föreskrifter och allmänna råd om säkerhetsåtgärder och utbildning

Förslag till nya föreskrifter om incidentrapportering och informationsskyldighet

Följande föreskrifter enligt ny cybersäkerhetslag är beslutade:

MCFFS 2026:1 föreskrifter om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare

Direktiv om kritiska entiteters motståndskraft, CER

Samtidigt som beslutet om NIS2-direktivet kom fattades även beslut om CER-direktivet, som båda är kontinuitetsdirektiv. CER-direktivet ställer krav på all annan verksamhet som måste kunna upprätthållas vid olika typer av störningar för att skapa motståndskraft i samhällsviktig verksamhet. Det kan handla om skydd av fysisk säkerhet som exempelvis lokaler och anläggningar och att rätt personer har åtkomst till dessa.

Läs mer om CER-direktivet

Kontakt

Har du frågor till oss om cybersäkerhetslagen är du välkommen att kontakta vår Cybersäkerhetsrådgivning.

Cybersäkerhetsrådgivning

Vid frågor om CER-direktiven mejla gärna till NIS2-CER@mcf.se

Logga med texten Medfinansieras av Europeiska unionen samt loggan för ECCC

Relaterade länkar

Senast granskad: 14 januari 2026

Till toppen av sidan