Frågor och svar om cybersäkerhetslagen
Vanliga frågor och svar om vad cybersäkerhetslagen (NIS2) är och kraven som ställs i regleringen.
Vad är cybersäkerhetslagen?
-
Vad innebär cybersäkerhetslagen (NIS2-direktivet)?
Genom NIS2-direktivet ställer EU krav på medlemsstaterna att höja den gemensamma cybersäkerhetsnivå och höja motståndskraften i samhällsviktig verksamhet. Regleringen säkerställer att viktiga samhällsfunktioner fortsätter att fungera i alla lägen.
Enkelt uttryckt sker detta genom att ställa krav på organisationer som ansvarar för viktiga samhällsfunktioner: de ska ha ett systematiskt informationssäkerhetsarbete och lämpliga riskhanteringsåtgärder, de ska också rapportera in betydande incidenter till tillsynsmyndigheterna.
NIS2-direktivet regleras genom cybersäkerhetslagen i Sverige.
Jämfört med det tidigare NIS-direktivet (NIS1) så skärps kraven på de organisationer som omfattas. Dessa blir också betydligt fler, då befintliga sektorer får nya kriterier och flera nya sektorer tillkommer.Läs om vad cybersäkerhetslagen (NIS2) innebär i vår grundpresentation
-
Hur vet man om verksamheten omfattas av cybersäkerhetslagen?
De som omfattas av cybersäkerhetslagen (NIS2) kallas verksamhetsutövare. Verksamhetsutövarna finns i 18 olika sektorer. Organisationer omfattas som juridiska personer. Organisationsnummer utgör en sådan person. Organisationen behöver själv bedöma om den omfattas av Cybersäkerhetslagen.
Läs mer om hur organisationer kan bedöma om verksamheten som omfattas eller inte
-
I Sverige kommer NIS2 respektive CER regleras i två separata lagar eller allt inom en lag (cybersäkerhetslagen)?
NIS2 kommer regleras genom Cybersäkerhetslagen. CER kommer att regleras i en annan kommande lagstiftning. CER- och NIS2-direktiven kompletterar varandra då NIS2-direktivet reglerar det systematiska cybersäkerhetsarbetet även i samhällsviktig verksamhet som identifieras under CER-direktivet.
-
Hur mycket betyder skälen i direktivet jämfört med artiklarna?
Skälen är vägledande, artiklarna är krav.
-
De som är leverantörer enligt NIS1 blir de automatiskt väsentliga enligt cybersäkerhetslagen (NIS2)?
De flesta kommer att bli det. Reglerna framgår i lag, förordning och föreskrifter. Mer information kommer i vägledningen, som kommer att förtydliga kraven.
-
Hur kommer säkerhetsskyddslagen fungera tillsammans med cybersäkerhetslagen (NIS2)?
Cybersäkerhetslagen kommer inte att gälla för statliga myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet enligt säkerhetsskyddslagen eller som till övervägande del bedriver brottsbekämpande verksamhet.
Cybersäkerhetslagen gäller inte heller för en enskild verksamhetsutövare som enbart bedriver säkerhetskänslig verksamhet enligt säkerhetsskyddslagen eller som enbart erbjuder tjänster till sådana statliga myndigheter som avses i första stycket.
Skyldigheterna att lämna uppgifter enligt cybersäkerhetslagen gäller inte uppgifter som är säkerhetsskyddsklassificerade enligt säkerhetsskyddslagen.
Mer information om detta återfinns i lagen.
Förberedelser inför cybersäkerhetslagen
-
NY! Hur kan man förbereda sin verksamhet?
Om ni identifierat att ni omfattas av lagen går det att komma igång på flera sätt. Om verksamheten tidigare omfattats av NIS i någon del, så fortsätt utveckla arbetet där och titta på hur ni kan dra nytta av det i andra delar av organisationen.
Om verksamheten inte tidigare omfattats av NIS:
Cybersäkerhetslagen för berörda verksamheter
Känna till hur NIS2 direktivet ser ut i svensk rätt
Sedan ska organisationen anmälas enligt föreskriftskraven.
Mer information om att anmäla en verksamhet enligt cybersäkerhetslagen
För att ge ledningen information kring cybersäkerhetslagen och deras roll i arbetet har vi tagit fram särskild information:
Cybersäkerhetslagen för ledningen
För att förbereda och stötta införandet har vi kontinuerligt webbinarier, som går att se i efterhand:
Organisationen behöver kanske se över det systematiska cybersäkerhetsarbetet och det kan göras med hjälp av Cybersäkerhetskollen och Metodstödet.
Behöver organisationen stöd i det systematiska cybersäkerhetsarbetet kan man kontakta Cybersäkerhetsrådgivningen för råd och stöd.
-
NY! Hur vet vi om vi omfattas av cybersäkerhetslagen?
Många fler organisationer omfattas av cybersäkerhetslagen (NIS2) än av den tidigare NIS-regleringen. Den som omfattas av cybersäkerhetslagen kallas verksamhetsutövare. Verksamhetsutövarna finns i 18 olika sektorer, som bedriver någon av de specificerade verksamheterna. Organisationen behöver själv bedöma om den omfattas av den kommande cybersäkerhetslagen.
Läs mer om hur organisationer kan bedöma om verksamheten som omfattas eller inte
- Kommer kommuner att behöva anmäla sin verksamhet enligt cybersäkerhetslagen (NIS2)?
-
När kommer föreskrifterna för cybersäkerhetslagen?
Tidigare MSB och PTS fick i regeringsuppdrag under 2025 att förbereda genomförandet av NIS2, vilket bland annat innebar att förbereda föreskrifter innan lag och förordning beslutats. Föreskrifterna har under vintern 2025 varit ute på remiss. I förordningen, som gavs ut i december 2025, framgår det att Myndigheten för civilt försvar och PTS har rätt att meddela föreskrifter. Föreskrifterna kommer efter cybersäkerhetslagen trätt i kraft den 15 januari och ges ut löpande under våren 2026.
NIS-regleringen och säkerhetsskyddslagen
-
Vad är Genomförandeförordningen?
För vissa sektorer är verksamheten svår att hänföra till ett specifikt land. Därför har EU beslutat att kraven för sådana verksamhetsutövare ska vara gemensamma, istället för att utfärdas i respektive medlemsstat. De gemensamma kraven anges i en genomförandeförordning på EU-nivå.
-
NY! Finns det någon sammanställning eller stöd över de tekniska åtgärderna som krävs enligt cybersäkerhetslagen?
Det finns inte en sammanställning över de tekniska åtgärderna som krävs för att efterleva cybersäkerhetslagen, utan verksamheten måste själv arbeta med säkerhetsåtgärderna som lag och föreskrift presenterar och identifiera eventuellt ytterligare lämpliga säkerhetsåtgärder utifrån de krav som ställs. I föreskrifterna och vägledningarna kommer det att finnas mer information om hur lagen ska tillämpas. Vägledningar kommer under våren 2026.
-
NY! När lagen träder i kraft och föreskrifterna finns tillgängliga, kommer organisationer då ha någon tid för anpassning för att efterleva lagen till exempel etablering av arbetssätt och rutiner gällande incidentrapportering?
När lagen träder i kraft och föreskrifter finns tillgängliga ska lagen efterlevas. Det är därför viktigt att organisationer snarast börjar arbeta systematiskt med cybersäkerhet och etablerar arbetssätt för att efterleva lagstiftningen vid ikraftträdandet.
Föreskrifter och vägledningar kommer löpande under våren 2026.
-
NY! Vilken typ av praktiskt stöd kan Myndigheten för civilt försvar bistå med kring cybersäkerhetslagen?
Myndigheten för civilt försvar stöttar organisationer i efterlevandet av cybersäkerhetslagen genom utbildningar om det systematiska cybersäkerhetsarbetet, material och webbinarier. Myndigheten för civilt försvar erbjuder även organisationer stöd via Cybersäkerhetsrådgivningen som stöttar och ger rådgivning kring cybersäkerhetslagen och det förebyggande cybersäkerhetsarbetet.
-
NY! Om en verksamhet lyder under NIS1, kommer de sektorsspecifika föreskrifterna fortsätta att gälla från 15 jan och fram tills de nya NIS2-föreskrifterna kommer?
NIS1 upphörde att gälla den 15 januari då cybersäkerhetslagen (NIS2) trädde i kraft. De sektorsspecifika föreskrifterna gällde fram till den 15 januari. Föreskrifterna för cybersäkerhetslagen kommer ut löpande under våren 2025.
-
NY! Kommer det en cybersäkerhetsförordning?
Det finns en Cybersäkerhetsförordningen som beslutades samtidigt som cybersäkerhetslagen i december 2025.
-
NY! Vad innebär "allriskperspektiv"?
Allriskperspektivet är centralt för cybersäkerhetslagen och NIS2-direktivet. Det innebär att man i det systematiska cybersäkerhetsarbetet strävar efter att bedöma alla typer av risker för något som ska skyddas och att analysera alla möjliga orsaker till att en risk realiseras. Vilket innebär att man tar hänsyn till angrepp, misstag, systemfel och naturhändelser.
-
NY! Vilka är de viktigaste åtgärderna för oss nu när lagen har trätt i kraft?
- Förstå vad cybersäkerhetslagen innebär.Det här är cybersäkerhetslagen
- Titta på informationen om anmälan.Anmälan
- Se över hur organisationen omfattas.Omfattning
- Läs på om incidentrapportering.
Incidentrapportering - Titta närmare på föreslagna och beslutade föreskrifter.Föreslagna och beslutade föreskrifter
- Se över det systematiska cybersäkerhetsarbetet med hjälp av Cybersäkerhetskollen och Metodstödet.CybersäkerhetskollenMetodstödet
- Informera ledningen.Cybersäkerhetslagen för ledningenBevaka tidsplanenTidsplan
Identifiering och anmälan
-
NY! När ska man ha anmält sin verksamhet till berörd tillsynsmyndighet?
Anmälan av verksamhet ska göras till Myndigheten för civilt försvar. Anmälningstjänsten lanseras den 2 februari. Tillsynsmyndigheterna kommer få en samlad förteckning över vilka verksamhetsutövare som tillhör vardera sektor av Myndigheten för civilt försvar.
-
NY! Vad menas det att man ska identifiera sig som en NIS2 verksamhetsutövare enligt föreskrifterna eller lagen?
I anmälan menas detta att antingen kan man omfattas av regleringen på grund av EU:s gemensamma huvudregler eller omfattas av regleringen genom att på nationell nivå, då det har lagts till ytterligare verksamhetsutövare. Det kan göras med sådana som är viktiga för samhällets funktionalitet, men inte uppfyller storlekskraven i huvudreglerna. Vilka som de är framgår av föreskrifterna.
-
NY! Kan någon begära ut information om en organisations anmälan som verksamhetsutövare?
Anmälan kan begäras ut, men en sekretessprövning görs och information döljs när den inte är lämplig att delas.
-
NY! Kommer listan på verksamhetsutövare vara publikt tillgänglig?
Listan över verksamhetsutövare kommer inte vara tillgänglig publikt, utan sammanställas och delas med respektive tillsynsmyndighet. En del av sammanställningen kommer att delas med EU-kommissionen och ENISA.
-
NY! Verksamheter som tidigare träffats av NIS1, behöver de anmäla sig på nytt?
Ja, alla verksamheter som omfattas av den nya cybersäkerhetslagen kommer att behöva anmäla sig även om man tidigare omfattats av NIS1.
-
NY! När anmälan öppnar vad blir sista datum för när anmälan måste ha skett? Ska alla anmäla sig samma dag?
Organisationer ska anmäla sig skyndsamt som om man identifierat sig som verksamhetsutövare enligt cybersäkerhetslagen och alla behöver inte anmäla sig samma dag som anmälningstjänsten öppnar utan så fort identifiering och analys av verksamhetens omfattning är genomförd. Det finns ingen sista anmälningsdag.
-
NY! Vad händer om en organisation felaktigt bedömer att den inte omfattas av cybersäkerhetslagen och därför inte fullgör sin anmälningsplikt?
En generell kontroll kommer att göras av varje anmälan av Myndigheten för civilt försvar. Tillsynsmyndigheterna kommer i sin tur att kontrollera de anmälda verksamheterna inom dess sektorer. Skulle en verksamhetsutövare felaktigt bedöma att den inte omfattas och därför inte anmäler sig kan tillsynsmyndigheten inleda en tillsyn.
-
NY! Krävs en digital underskrift vid registrering av anmälan?
Registrering vid anmälan kommer att göras med BankID eller Freja ID. Det kommer inte att behövas en digital signatur.
-
NY! Vilken typ av registreringsnummer krävs för registrering?
Organisationsnummer kommer att behöva uppges vid anmälan. Mer information om vad som ska uppges finner du på vår webb.
-
NY! Kan registrering ske av ett utländskt bolag eller ska det vara ett svenskt bolag? Om inte skulle registrering med fullmakt fungera?
Vid anmälan kommer det att finnas alternativ för om verksamheten är ett företag eller företräder ett företag. Det kommer även i anmälan att behöva framgå om verksamhetsutövaren även har verksamhet inom EU/EES. Information om detta finns på vår webb, i föreskrift och det kommer mer information i vägledningen för anmälan.
-
Kan anmälan ske genom ombud? I så fall, hur ska ombudet registrera sig eller kan man ge fullmakt?
Det kommer finnas möjlighet att göra en anmälan på uppdrag av tredje part, men en fullmakt kommer inte att behövas vid anmälan. Anmälan på uppdrag av tredje part kommer att behöva styrkas vid tillsyn.
-
NY! Gör man skillnad i anmälan mellan räddningstjänster i kommunalförvaltning och räddningstjänster i kommunalförbund?
Det kommer att framgå i anmälningstjänsten och i vägledningen för anmälan hur sektorerna ska anmälas. Anmälningstjänsten kommer att utgå ifrån de 18 NIS2-sektorerna.
-
NY! Om en koncern har flera olika verksamheter som träffas inom en sektor, ska man anmäla per verksamhetsområde eller räcker det med en anmälan, om tillsynsmyndigheten är den samma?
Om en koncern omfattas av flera sektorer ska koncernen anmäla sig för samtliga sektorer, så länge dotterbolagen eller anknutna partner företag inte har egna organisationsnummer då ska de göra egna anmälningar. Det vill säga en verksamhetsutövare kommer att kunna anmäla flera sektorer för en verksamhet.
-
NY! Om man anmält sig via interimslösningen behöver man inte göra det igen när tjänsten finns?
Nej, en verksamhet som anmält sig via den tillfälliga anmälningstjänsten kommer inte att behöva anmäla sig igen.
-
NY! När måste man som verksamhetsutövare som senast ha anmält sig?
En verksamhet behöver anmäla sig efter att anmälningstjänsten öppnat den 2 februari och så snart den har identifierat att den omfattas av cybersäkerhetslagen.
-
NY! Ska hela kommunen anmäla sig eller ska en anmälan ske per förvaltning som har verksamhet som omfattas av cybersäkerhetslagen?
Hela kommunen omfattas av cybersäkerhetslagen som offentlig förvaltning och ska där med anmäla sig. I anmälan ska kommunen uppge vilka sektorer och delsektorer som omfattas det vill säga vilka förvaltningar som är verksamhetsutövare under andra sektorer än offentlig förvaltning.
-
NY! Vem ska anmäla verksamheten?
En person ska utses av verksamheten för att genomföra anmälan.
-
NY! Behöver kommunstyrelsen fatta beslut om vem i verksamheten som har rätt att anmäla kommunen?
Verksamheten bör utse en person som genomför anmälan. Hur beslut tas och vem personen är avgör verksamheten.
-
NY! Vilken typ av kvittens får man efter anmälan? Sker det någon uppföljning för eventuell korrigering och kan man redigera anmälan vid behov?
Via e-tjänsten för anmälan får man en bekräftelse att anmälan skickats in. Anmälningarna kommer att kontrolleras och om en verksamhet har gjort en felaktig anmälan, uppgett felaktig information eller att information saknas kommer verksamheten att få återkoppling om det.
-
NY! I anmälan av verksamheten ska man ange flera kontaktuppgifter?
Ja, anmälan ska innehålla kontaktuppgifter. Vad anmälan ska innehålla finner du mer information om på vår webb.
-
NY! Om verksamheten är osäker på om den omfattas av lagen, eftersom det fortfarande är otydligt om eventuella undantag. Är det då bättre att anmäla verksamheten i förebyggande syfte tills detta klargörs eller ska verksamheten avvakta?
Verksamheten behöver först identifiera och analysera dess omfattning av cybersäkerhetslagen. När identifiering och analys är klar kan en anmälan enligt cybersäkerhetslagen genomföras. Tillhör verksamheten en sektor där det behövs mer vägledning och information kring omfattning bör verksamheten invänta föreskriftens vägledning innan en anmälan genomförs.
-
NY! Kan ni berätta mer om vad man ska tänka på när man utser en företrädare för anmälan? Ska den vara en juridisk eller en fysisk person?
När verksamheten utser en företrädare för anmälan ska det vara en juridisk person som anmäler.
-
NY! Ska man kunna redovisa resonemang bakom anmälan?
Vad anmälan ska innehålla finner du mer information om på vår webb. Föreskrift och vägledningen för föreskriften kommer att förtydliga vad anmälan ska innehålla. Vägledningen kommer att ges ut strax efter att anmälningstjänsten öppnat.
Incidentrapportering
-
CSIRT-enheter tillsynsmyndigheterna? Ska verksamheten rapportera till sin tillsynsmyndighet vid incident?
CSIRT står för Computer Security Incident Response Team, och är en incidenthanteringsfunktion. Incidenter ska rapporteras till CSIRT (vilket i Sverige är Myndigheten för civilt försvar).
-
NY! Hur skapar man ett rapporteringskonto för incidentrapportering? Skapar man det hos Myndigheten för civilt försvar eller tillsynsmyndighet?
Incidentrapporteringen har förändrats med cybersäkerhetslagen, men rapportering kommer ska göras till Myndigheten för civilt försvar.
Mer information om incidentrapportering enligt cybersäkerhetslagen
-
NY! Leder en incident alltid till att man får en sanktionsavgift av tillsynsmyndigheten?
Nej, tillsyn kan ske efter en incident men det behöver inte leda till det. Det är av största vikt att alla rapporteringspliktiga incidenter rapporteras.
-
NY! Vi som kommun har olika tillsynsmyndigheter. Hur vet vi vid en incident om den ska rapportera till tillsynsmyndigheten eller Myndigheten för civilt försvar?
Vi som kommun har olika tillsynsmyndigheter. Hur vet vi vid en incident om den ska rapportera till tillsynsmyndigheten eller Myndigheten för civilt försvar? Incidenter ska rapporteras till Myndigheten för civilt försvar oavsett vilken tillsynsmyndighet man har.
-
NY! Ska incidenter som berör NIS2 anmälas till olika myndigheter beroende på incident?
Incidenter som berör flera lagstiftningar ska alltid rapporteras till samtliga berörda myndigheter. Det vill säga om en incident berör både cybersäkerhetslagen (NIS2) och är en personuppgiftsincident enligt GDPR ska det rapporteras både till Myndigheten för civilt försvar och Integritetsskyddsmyndigheten (IMY).
-
NY! Skulle ni kunna ge exempel på rapporteringspliktiga incidenter på grund av att de har orsakat antingen en materiell eller en immateriell skada? Vad skulle det kunna vara?
En betydande incident som har orsakat mateirell eller immateriell skada kan till exempel vara ett dataintrång som manipulerar en process samtidigt som data stjäls från organisationer. Incidenter behöver inte leda till både materiell och immateriell skada men det är vanligt att incidenter leder till direkta och indirekta konsekvenser för it-miljön, verksamheten och samhället. Vilka incidenter som är rapporteringspliktiga kommer att förtydligas i föreskrift och vägledning.
-
NY! Om en serverhall råkar ut för en översvämning och det leder till en digital påverkan i den digitala miljön, ska den sortens incidenter anmälas? Eller det räknas inte som en cyberincident då orsaken är ska den sortens incidenter anmälas? Eller det räknas inte som en cyberincident då orsaken är fysisk?
Ja en sådan incident ska anmälas och är ett bra exempel på en incident om man tittar utifrån allriskperspektivet. En sån incident uppstår på grund av en naturhändelse som leder till påverkan i den digitala miljön.
-
NY! Finns det något krav på att rapportera kostnader för incidenter?
Vid rapportering av betydande incidenter ska ekonomisk skada uppges. Mer information om detta finns i förslaget till ny föreskrift om incidentrapportering och informationsskyldighet.
-
NY! Om det inträffat en betydande incident hos en underleverantör, ska då både underleverantören och leverantören rapportera?
Ja, incidenter som både påverkar organisationen själv och andra ska rapporteras om de är rapporteringspliktiga. Leverantör och underleverantör kan dock omfattas av olika rapporteringskrav. Verksamheter som inte omfattas av cybersäkerhetslagen behöver inte rapportera enligt lagen.
-
NY! Innebär detta att det som anges som betydande incidenter i Genomförandeförordningen inte kommer att stämma för de aktörer som inte har PTS som tillsynsmyndighet?
Incidenter enligt Genomförandeförordningen behöver inte rapporteras för de verksamhetsutövare som inte omfattas av den.
Information om genomförandeförordningen
Information om incidentrapportering enligt cybersäkerhetslagen
-
NY! Hur sker incidentrapportering efter 1 månad ifall en incident fortfarande är pågående efter den rapporteringsinstansen?
Hur rapporteringen ska gå till framgår av instruktionerna för att rapportera en it-incident och kommer att förtydligas i föreskrift, vägledning och när den nya incidentrapporteringstjänsten lanseras senare under 2026.
-
NY! Kommer den nya incidentrapporteringstjänsten vara enklare att fylla i än IR-ON?
Den nya tjänsten som lanseras senare under 2026 kommer att vara en ny och bättre tjänst. Mer information kommer och vi uppdaterar vår webb löpande med mer information.
Information om hur incidentrapportering enligt cybersäkerhetslagen går till
-
NY! Har incidentrapporter alltid vidarebefordrats till tillsynsmyndighet eller är detta nytt?
Nej incidentrapporter har alltid delats med berörd tillsynsmyndighet, det vill säga det har även gjorts för det tidigare NIS-direktivet (NIS1).
-
NY! Ska man inte rapportera incidenter inom till exempel offentlig förvaltning?
Det finns inte med bland sektorerna i formuläret ni har publicerat.
Alla rapporteringspliktiga incidenter enligt cybersäkerhetslagen ska rapporteras, instruktioner för statliga myndigheter och för verksamhetsutövare enligt cybersäkerhetslagen finns på vår webb. -
NY! Kan ni publicera bilder på hur rapporteringen ser ut i IRON och de olika stegen så verksamheter kan ta fram stöd till de som förväntas sköta rapporteringen?
Det finns instruktioner för incidentrapporteringen som förklarar steg för steg.
-
NY! Kan ni berätta om hur incidentrapportering för de verksamheter som omfattas av Genomförandeförordningen och har PTS som tillsynsmyndighet ska gå till och vilka kriterierna är?
Vissa sektorer omfattas av Genomförandeförordningen och de ska fortsatt rapportera utifrån den. PTS kommer att ta fram föreskrifter för resterande sektorer som inte omfattas av Genomförandeförordningen. Mer information kommer.
Information om hur incidentrapportering enligt cybersäkerhetslagen går till
-
NY! Räcker det att vi rapporterar att något hänt inom 24 timmar, eller kräver ni en fullständig analys redan då?
I instruktionerna för incidentrapportering framgår det att inom 24 timmar från det att verksamhetsutövaren identifierat en incident som är rapporteringspliktig ska verksamhetsutövaren inkomma med en Upplysning. Den ska redogöra för om den betydande incidenten misstänks ha orsakats av olagliga eller avsiktligt skadliga handlingar eller kan ha gränsöverskridande verkningar.
-
NY! Om incidenten sker hos vår molnleverantör, betraktas det då som vår incident eller leverantörens?
Ja om incidenten har påverkat er verksamhet ska den rapporteras. Mer information om vilka incidenter som är rapporteringspliktiga finner du på vår webb.
Information om incidentrapportering enligt cybersäkerhetslagen
-
NY! Om det är en samhällsviktig leverantör till vår samhällsviktiga verksamhet som drabbas av en incident, ska båda anmäla det som en incident?
Ja om det påverkat er verksamhet ska incidenten rapporteras. Om både omfattas av cybersäkerhetslagen ska båda verksamhetsutövarna rapportera incidenten, observera att rapporteringsplikten kan skilja sig mellan verksamheterna. Läs mer på vår webb.
Information om hur incidentrapportering enligt cybersäkerhetslagen går till
-
NY! När skulle en incidentrapport behöva skickas till flera tillsynsmyndigheter?
Myndigheten för civilt försvar informerar om incidenten till flera tillsynsmyndigheter om flera sektorer drabbats och om den drabbade verksamhetsutövaren har flera olika tillsynsmyndigheter. En verksamhetsutövares incidentrapportering enligt cybersäkerhetslagen ska enbart göras till Myndigheten för civilt försvar och en verksamhetsutövare behöver inte göra flera rapporter även om den drabbat flera sektorer.
Information om hur incidentrapportering enligt cybersäkerhetslagen går till
-
NY! Vid incidenter ska en anmälan för varje verksamhetsutövare som omfattas av cybersäkerhetslagen rapporteras in?
Ja. Om rapporteringsplikten enligt cybersäkerhetslagen träffar båda eller flera verksamhetsutövare ska samtliga rapportera incidenten.
Information om hur incidentrapportering enligt cybersäkerhetslagen går till
-
NY! Är det den juridisk personen som anmält som också ska rapportera incidenter eller är det någon i den berörda verksamheten som ska rapportera incidenten?
Det går att rapportera incidenter på uppdrag av andra verksamheter. I incidentrapporten ska det framgå vem som rapporterar och på uppdrag av vem. Vem i verksamheten som anmäler verksamheten enligt cybersäkerhetslagen och rapportera incidenter avgör verksamheten.
Information om hur incidentrapportering enligt cybersäkerhetslagen går till
Information om att anmäla en verksamhet enligt cybersäkerhetslagen
-
NY! Vilken typ av återkoppling och operativt stöd kan vi förvänta oss när vi skickat in om en pågående incident?
Vid pågående incident kan CERT-SE, Sveriges nationella CSIRT (Computer Security Incident Response Team), stötta verksamheten i att hantera incidenten. CERT-SE tillhandahåller rådgivning kring hantering av incidenten och ger stöd till drabbade verksamheter för att lindra påverkan av det inträffade och återställa funktion. CERT-SE är en del av Myndigheten för civilt försvar.
Incidentrapportering – interimlösning
-
NY! Hur ska incidentrapportering gå till kommande tid och vad är tvingande fält att rapportera in?
Hur incidentrapporteringen går till finner du mer information om på vår webb men fram till att den nya portalen lanserats kommer det att ske via en interimslösning. Vi uppdaterar informationen löpande. Vad som ska rapporteras finner du även på vår webb.
Information om hur incidentrapportering enligt cybersäkerhetslagen går till
Tillsyn
-
NY! Kan man som verksamhet omfattas av flera olika tillsynsmyndigheter?
Ja en verksamhetsutövare kan omfattas av flera olika tillsynsmyndigheter om verksamhetsutövaren faller under flera sektorer.
-
NY! Hur kommer samordningen se ut mellan er och de andra myndigheterna, så att vi säkerställer att vi inte bedöms olika beroende på vilken sektor vi rapporterar inom?
Det finns ett nära samarbete sedan tidigare reglering mellan myndigheterna. Samarbetet fortsätter under den nya regleringen, som dessutom direkt anger att tillsynsmyndigheterna ska komma överens om hur tillsynen ska genomföras när det gäller gemensamma tillsynsobjekt.
-
NY! När kommer tillsynsmyndigheternas arbete med tillsyn att påbörjas? När kommer sanktionsavgifter börja tas ut? Sker detta när lagen träder i kraft den 15 januari eller när anmälningstjänsten öppnat?
Tillsynen kommer att påbörjas gradvis och det kommer att se olika ut utifrån förutsättningarna i respektive sektor och tillsynsmyndighet. Om tillsynen visar på överträdelser kan tillsynsmyndigheten besluta om ingripanden såsom anmärkning, föreläggande eller sanktionsavgift. Dessa utformas i så fall från fall till fall beroende på omständigheterna.
-
NY! Hur kommer de olika tillsynsmyndigheterna att samarbeta vid tillsyn? Om organisationen identifieras under flera sektorer och faller under flera tillsynsmyndigheter kan det då uppstå olika tolkningar mellan tillsynsmyndigheterna?
Tillsynsmyndigheterna har ett etablerat samarbete där dialog sker löpande. Hur tillsynen ska genomföras för verksamhetsutövare som omfattas i flera sektorer/av flera tillsynsmyndigheter är något som tillsynsmyndigheterna ska komma överens om enligt cybersäkerhetsförordningen. Syftet med samarbetet är att främja effektiv och likvärdig tillsyn.
-
NY! Hur kommer tillsyn att gå till? Sker det via pappersgranskning eller kommer det att genomföras faktiska besök och tekniska tester hos organisationerna?
Tillsyn kan genomföras på olika sätt, både dokumentgranskning, besök och tekniska kontroller kan bli aktuella. Det vanligaste är att tillsynsmyndigheten meddelar metod när en tillsyn annonseras.
-
NY! Finns det planer på att tillsynsmyndigheter också bistår i frågan rörande omfattning?
Om det behövs ytterligare förtydligande utöver det som anges i lag, förordning, föreskrifter och vägledning ska sådana frågor ställas till tillsynsmyndigheten. Det är dock bra att hålla i minnet att det inte finns färdiga svar på allt och att tillsynsmyndigheterna har ett digert arbete med att hantera denna typ av tolkningsfrågor.
Omfattning och avgränsningar
-
Omfattas hela regionen av cybersäkerhetslagen eller omfattas enbart enskilda förvaltningar?
Som offentlig verksamhet omfattas en region i sin helhet i sektorn offentlig förvaltning, men kan även omfattas i andra sektorer specifikt i enskilda förvaltningar.
-
Ingår kollektivtrafiken i en region även under sektorn transport?
Om kollektivtrafiken finns i en region träffas den av cybersäkerhetslagen genom att hela regionen omfattas. Kollektivtrafik finns inte med under transportsektorn i cybersäkerhetslagen, men däremot i CER, vilket innebär att verksamheten kommer på grund av CER behöva efterleva cybersäkerhetslagen.
-
Kommer det finnas krav på egen tillsynsroll inom organisation likt kravet som ställs på att verksamheterna säkerställer att de efterlever arbetsmiljökrav?
Det ställs inga krav på intern tillsynsroll, däremot ställs det krav på att man följer upp sitt eget arbetssätt och det skydd man infört för att verifiera att man faktiskt har den säkerhet som man behöver.
-
Ses hela kommunen som väsentlig entitet eller kan vissa delar av kommunen ses som viktiga medan andra ses som väsentliga?
Hela kommunen ses som väsentlig verksamhetsutövare. Mer information om detta finner du på vår webb.
-
NY! Hur vet vi om vår organisation räknas som väsentlig eller viktig verksamhetsutövare när vår koncern har flera bolag men alla inte tillhör EU?
Detta kan läsa mer om på vår webb.
-
NY! Omfattas statliga lärosäten?
Lagen förtydligar vilka lärosäten som omfattas.
-
NY! När kommer den fullständiga listan eller kriterierna för de 18 olika berörda sektorerna?
Till exempel är "tillverkare" en väldigt bred beskrivning. Är det först i föreskriften som det blir klart?
Lag och förordning kommer att förtydligas i de kommande föreskrifterna. Därefter tillkommer det vägledningar som kommer att precisera och förklara ytterligare.
-
NY! Finns det en publicerad vägledning för att stötta i att identifiera vilka sektorer man berörs av?
Det finns ännu inte en vägledning om identifiering, preliminärt kommer den i månadsskiftet februari-mars. Mer information kommer men bevaka våra sidor.
-
NY! Kommer det kriterier och förtydligande på undantag gällande om man omfattas eller ej av cybersäkerhetslagen? Kanske i vägledningen?
Det kommer förtydligande av föreskriften för anmälan och identifiering i kompletterande vägledning. Mer information kommer.
-
NY! Hur hanterar ni verksamheter som omfattas av flera olika sektorer? Exempelvis både avfallshantering och elproduktion?
Verksamheter som omfattas av flera sektorer ska följa lag, förordning och föreskrifter samt ta del av vägledningar för att efterleva regleringen för alla sektorerna. En organisation som faller inom flera sektorer kan ha flera olika tillsynsmyndigheter.
-
NY! Vad för hjälp kan vår organisation få om vi är osäkra kring vår omfattning, och hur vi ska tänka vid anmälan? Kommer det mer vägledning?
Om en organisation är osäker om den omfattas av cybersäkerhetslagen bör den i första hand ta del av vår information om omfattning och invänta föreskrifter och vägledning för förtydligande av omfattning och identifiering. Mer information kommer löpande.
-
NY! Finns det vägledning avseende vilken forskning som omfattas (utöver att det ska vara tillämpad forskning)?
Det kommer mer information i vägledningen om identifiering och anmälan. Håll utkik på vår webb.
Ledningens ansvar
-
Vad har ledningen för ansvar enligt cybersäkerhetslagen?
Ledningen ska genomgå utbildning om säkerhetsåtgärder. Än så länge finns inga närmare detaljer om det här kravet. Mer information kommer att meddelas i föreskrift och vägledning. Enligt propositionen behöver det inte införas någon särskild reglering om att ledningen ska godkänna de säkerhetsåtgärder som vidtas och övervaka genomförandet av dem. Enligt den svenska utredningens bedömning ingår detta i ledningens normala ansvar för verksamheten och behöver inte regleras särskilt.
Ledningen ska också kunna ställas till svars för överträdelser när det gäller verksamhetsutövarens säkerhetsåtgärder. I särskilda fall föreslås tillsynsmyndigheterna kunna ingripa genom att ansöka om att en person inte ska få vara befattningshavare hos en viss verksamhetsutövare. Ett sådant förbud får inte riktas mot offentliga verksamhetsutövare. -
Vem är ledningen enligt cybersäkerhetslagen?
Kravet på utbildning omfattar ledningsorganet. Enligt propositionen avses
- för aktiebolag, styrelse och vd,
- för statliga myndigheter, myndighetschef om det är en enrådighetsmyndighet, styrelse om det är en styrelsemyndighet och en nämnd om det är en nämndmyndighet.
- för regioner och kommuner, regions- eller kommunstyrelse.
-
Kan ledningspersoner i en region få förbud att verka i sina roller?
Nej, förbud att utöva ledningsroll kan inte utfärdas i offentlig sektor.
-
Vad räknas som högsta ledningen i en kommun? Är det kommunstyrelsen eller kommunfullmäktige?
Enligt propositionen avses kommun- respektive regionstyrelsen i enlighet med 6 kap. 1 § kommunallagen. Av paragrafen framgår att styrelsen ska leda och samordna förvaltningen av kommunens eller regionens angelägenheter och ha uppsikt över bland annat övriga nämnders verksamhet.
-
NY! Finns det särskilt krav på utbildning för ledningen? Det vill säga behöver den utformas på särskilt sätt, vara fysisk eller räcker det att den sker digitalt?
Hur utbildningen för ledningen ska utformas kommer fastställas när föreskrift och vägledning ges ut. Till dess kan man utgå ifrån förslaget till föreskrift och vår webb för mer information.
-
NY! Vad krävs för att en VD ska anses ha brustit i sitt ansvar?
I cybersäkerhetslagen framgår det att för att en ledare ska ha brustit i sitt ansvar ska verksamheten om verksamhetsutövaren är väsentlig, inte har vidtagit åtgärder efter en tillsyn där det framkommit att verksamhetsutövaren åsidosatt sina skyldigheter enligt lag och föreskrift, överträdelsen som ligger till grund för föreläggandet är allvarligt och ledningen har orsakat överträdelsen uppsåtligen eller av grov oaktsamhet.
Efterlevnad
-
När vet vi vad som gäller?
Lag och förordning beslutades i december 2025 och trädde i kraft den 15 januari 2026. Föreskrifter och vägledningar kommer löpande under våren 2026. När lag, förordning och föreskrifter kommit ut är regleringen färdig i dess helhet.
-
Hur vet vi om vår verksamhet omfattas av cybersäkerhetslagen? Ingen sektor eller tillsynsmyndighet passar in på oss men vi levererar till verksamheter som omfattas av cybersäkerhetslagen.
Om er organisation inte kan identifiera sig som verksamhetsutövare, så omfattas inte er verksamhet av cybersäkerhetslagen. Om ni inte omfattas av cybersäkerhetslagen kan ändå era kunder ställa krav i linje med lagen för att säkerställa att hela leveransen håller den säkerhetsnivån som krävs.
Läs mer om hur organisationer kan bedöma om verksamheten som omfattas eller inte
-
Finns det medel att ansöka för efterlevnad av cybersäkerhetslagen?
Förnärvarande finns det inga specifika medel att ansöka om för att efterleva cybersäkerhetslagen.
För en översikt av bidrag som kan sökas för projekt, se: -
NY! Gäller cybersäkerhetslagen retroaktivt? Det vill säga måste man bygga om IT-system för att anpassa dem till cybersäkerhetslagen?
Cybersäkerhetslagen gäller sedan den 15 januari, för att efterleva lagen behöver presenterade säkerhetsåtgärder genomföras. Om organisationen identifierar att säkerhetsåtgärderna kräver att IT-systemet behöver förändras för att efterleva lagen är det en lämplig åtgärd.
-
NY! Finns det ett beslutat datum för när föreskrifterna för cybersäkerhetslagen kommer att publiceras i sin färdiga version?
Föreskrifterna för cybersäkerhetslagen kommer att ges ut löpande under våren 2026. Vi uppdaterar vår tidslinje med mer information när det finns tillgängligt.
Leverantörer och upphandling
-
Kommer cybersäkerhetslagen innebära att kommunen ska ställa informationssäkerhetskrav i samtliga upphandlingar och inte enbart på tjänster/system som är samhällsviktiga?
Man skall alltid ställa cybersäkerhetskrav i sina upphandlingar, och beroende på vad man handlar upp så är kraven olika. Det stämmer att cybersäkerhetslagen gäller bredare, i och med att hela kommunen omfattas.
-
Vi som underleverantör undrar om vi omfattas av cybersäkerhetslagen just för att vi är underleverantörer till en organisation som omfattas av cybersäkerhetslagen?
Nej, då ni inte räknas som verksamhetsutövare så omfattas ni inte som egen organisation. Däremot kan era kunder ställa krav i linje med lagen för att säkerställa att hela leveransen håller den säkerhetsnivån som krävs.
Cybersäkerhetslagen och NCSC
-
NY! Kommer man efter verksamhetsövergången att incidentrapportera till NCSC?
Verksamheten för cybersäkerhet kommer att övergå till Nationellt cybersäkerhetscente (NCSC) den 1 juli 2026 enligt regeringsbeslut om att samla cybersäkerhetsverksamheten hos NCSC. Beslutet gäller för hela verksamheten för cybersäkerhet och inkluderar därmed arbetet med att förebygga och hantera it-incidenter.
Cybersäkerhetslagen (NIS2) och CER
-
NY! Hur ska de som också kommer omfattas av CER resonera kring betydande incidenter speciellt när cybersäkerhetslagen (NIS2) även omfattar fysiskt skydd?
Mer information om CER kommer under 2026 och hur detta ska tolkas. Gemensamt för direktiven är att de båda handlar om motståndskraft i verksamheten, vilket inkluderar det fysiska skyddet.
-
NY! Det finns information om att Myndigheten för civilt försvar kommer göra en nationell risk-och sårbarhetsanalys kopplat till CER-direktivet. Hur kommer ni välja ute verksamheter inom de angivna branschsektorerna?
Den nationella risk- och sårbarhetsanalysen kopplat till CER är klar och insänd. Mer information kommer.
-
NY! Kommer det att finnas utbildningar inom CER-direktivet?
Under våren 2026 kommer webbinarier om CER-direktivet. Håll utkik i vår kalender för mer information.
-
NY! Hur vet vi om organisationen omfattas av både CER och cybersäkerhetslagen (NIS2)?
De verksamheter som omfattas av CER omfattas även av cybersäkerhetslagen (NIS2). Vilka verksamheter som omfattas av CER är ännu inte klart då den svenska regleringen inte är färdig, men bilaga 1 i NIS2 är relativt likalydande bilagan i CER.
-
NY! Finns det några kriterier för CER?
Vad jag hört tidigare så att vi anmäler oss till Myndigheten för civilt försvar enligt cybersäkerhetslagen (NIS2), men att vi blir meddelade om vi omfattas av CER.
De verksamheter som omfattas av CER kommer att pekas ut, men den svenska implementeringen av direktivet är ännu inte klart.
-
NY! Kommer CER att omfatta kommunerna? Kan kommuner behöva göra bakgrundskontroller av personal framöver?
Den svenska regleringen för CER är ännu inte klar, men kommunerna bedriver flera av de samhällsviktiga verksamheterna som finns i bilagan för direktivet. Antagligen kommer kommuner inte att pekas ut som offentlig förvaltning utan enbart som verksamhetsutövare.
Frågor och svar om den tidigare NIS-regleringen (NIS1)
-
NY! Vi har inte rapporterat klart enligt den tidigare regleringen, NIS1, hur går vi tillväga?
Rapportering enligt NIS1 stängdes den 15 januari 2026 då NIS-lagen (NIS1) upphörde att gälla. De som inlett rapporteringen av en incident som är rapporteringspliktig enligt NIS1 och inte slutfört denna rapportering förväntas nyttja pdf-filerna som tillhandahålls på webbplatsen för detta.
