Lagar och förordningar gällande cybersäkerhetslagen

Det finns ett antal föreskrifter som Myndigheten för civilt försvar har utfärdat baserat på den svenska cybersäkerhetslagen, som har sin grund i EU:s NIS2-direktiv.

Cybersäkerhetslagen (NIS2) omfattar åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem inom hela EU.
Cybersäkerhetslagen grundar sig i Europaparlamentets NIS2-direktiv som beslutades av EU i december 2022 och ersätter det tidigare NIS-direktiv som började gälla 2018.

Europaparlamentets och rådets direktiv gällande NIS2 (EUR-Lex)

EU-kommissionens genomförandeordning

NIS2-direktivet omfattar åtgärder för en hög gemensam nivå på säkerhet i nätverk och informationssystem inom hela EU. I vissa sektorer är verksamheten svår att hänföra till ett specifikt land. Därför har EU beslutat att kraven för sådana verksamhetsutövare ska vara gemensamma, istället för att utfärdas i respektive medlemsstat. De gemensamma kraven anges i en genomförandeförordning på EU-nivå, som gäller från den 7 november 2024.

Verksamheter som berörs av denna genomförandeförordning är bland annat leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av marknadsplatser online och leverantörer av sökmotorer. Fullständig lista återfinns nedan. Mer information för verksamhetsutövare som berörs finns på Post- och telestyrelsens webbplats.

EU-kommissionens genomförandeförordning (EUR-Lex)Läs mer på Post- och telestyrelsens (PTS) webbplats

Lag och förordning

För att det europeiska NIS2-direktivet ska bli giltigt i svensk rätt har det införlivats i den svenska rättsordningen. Därför har riksdagen beslutat om en lag och förordning gällande NIS2, även kallad cybersäkerhetslagen.

Svensk lag och förordning gällande NIS2

De här lagarna gäller i Sverige.

Cybersäkerhetslag (2025:1506)Cybersäkerhetsförordning (2025:1507)

Våra föreskrifter

Myndigheten för civilt försvar har föreskriftsrätt kopplat till cybersäkerhetslagen.

MCFFS 2026:1 föreskrifter om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare

Observera att föreskrifter om anmälan och identifiering av leverantörer av samhällsviktiga tjänster MCFFS 2026:1 träder i kraft den 2 februari 2026.

MCFFS 2026:1 föreskrifter om anmälan och identifiering av väsentliga och viktiga verksamhetsutövareVägledning för anmälan och identifiering av verksamhetsutövare som omfattas av cybersäkerhetslagen

Föreskrifter från andra myndigheter

Post- och telestyrelsen (PTS) har som uppdrag att meddela föreskrifter om säkerhetsåtgärder och incidentrapportering för de fem sektorer som faller under myndighetens tillsynsansvar enligt cybersäkerhetslagen. För mer information se PTS webbsida.

Post- och telestyrelsen (PTS) tar fram föreskrifter

Logotyp med EU-flaggan och logotyp för ECCC

Senast granskad: 12 februari 2026

Till toppen av sidan