Så ser NIS2-regleringen ut

Cybersäkerhetslagen

Genom lagen införs NIS2-direktivets krav i Sverige, som formaliserar bland annat vilka som omfattas och vad de har för skyldigheter. Lagen beslutas av riksdagen.

Cybersäkerhetslag (2025:1506) på riksdagens webbplats

Cybersäkerhetsförordningen

I förordningen, som beslutas av regeringen, framgår bland annat vilka myndigheter som ska vara tillsynsmyndigheter och vilka som får mandat att utfärda föreskrifter där lagen anger sådan möjlighet.

Cybersäkerhetsförordning (2025:1507) på riksdagens webbplats

Föreskrifter

Regeringen utser vilka myndigheter som får utfärda föreskrifter. Föreskriftsmandaten framgår av cybersäkerhetsförordningen. Myndigheten och Post- och telestyrelsen (PTS) fick i uppdrag att förbereda föreskrifter. Föreskrifterna kan färdigställas först efter att den lag och förordning trätt i kraft.

Föreskrifter används för att förtydliga kraven, att fastställa kriterier eller göra andra preciseringar som behövs för tillämpningen.

Föreskrifter kommer att utfärdas inom följande områden:

1. Föreskrifter om anmälan och identifiering
   Verksamhetsutövare som omfattas av cybersäkerhetslagen ska anmäla sig till den myndighet som regeringen utser. Föreskrifterna ska bland annat detaljera vad som ska anges i anmälan och hur anmälan ska göras.
   
   Vem: Myndigheten för civilt försvar
   Status: I kraft.
   MCFFS 2026:1 föreskrifter om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare
2. Föreskrifter om säkerhetsåtgärder och utbildning
   Föreskrifter som förtydligar vad lagkraven betyder för verksamhetsutövarna, vad de behöver göra för att säkerställa sin cybersäkerhet. Föreskrifterna reglerar tekniska, driftsrelaterade och organisatoriska åtgärder som verksamhetsutövaren behöver vidta för att skydda nätverks- och informationssystem samt vilken utbildning verksamhetsutövarens ledning ska genomföra för att uppfylla lagens krav.
   
   

   Vem: Myndigheten för civilt försvar, Post- och telestyrelsen
   Status: Arbete pågår

   Förslag till nya föreskrifter och allmänna råd om säkerhetsåtgärder och utbildning

3. Föreskrifter om incidentrapportering och informationsskyldighet
   Dessa föreskrifter specificerar dels vad som ska anses utgöra en betydande incident och således vara rapporteringspliktig enlig cybersäkerhetslagen (NIS2), dels hur incidenter ska rapporteras. Dessutom detaljeras kraven på när och hur verksamhetsutövare ska informera vid betydande incidenter och cyberhot.
   

   Vem: Myndigheten för civilt försvar
   Status: Arbete pågår

   Förslag till nya föreskrifter om incidentrapportering och informationsskyldighet

4. Föreskrifter om säkerhetsrevisioner och säkerhetsskanningar
   

   Säkerhetsrevision och säkerhetsskanningar är verktyg som tillsynsmyndigheterna kan använda sig av. I dessa föreskrifter regleras gemensamma krav för detta.

   Vem: Myndigheten för civilt försvar
   Status: Arbete pågår

Beslutade och gällande föreskrifter återfinns på vår webb.

Lag, förordning och föreskrifter gällande cybersäkerhetslagen

Pågående föreskriftsarbete

Under hösten och vintern 2025 publicerades förslag till nya föreskrifter enligt ny cybersäkerhetslag. Med syftet att förankra och kvalitetssäkra föreskrifterna använder vi oss av remisser.

Under april-maj 2026 kommer ytterligare remisser att ske för följande förskrifter:

• Föreskrifter om säkerhetsåtgärder och utbildning
• Föreskrifter om säkerhetsrevision och säkerhetsskanning

Föreskrifterna kommer att ges ut under 2026, se tidsplanen för cybersäkerhetslagen.

Mer information om tidsplanen

Remisser från myndigheten

Föreskrifter från PTS

De verksamhetsutövare som omfattas av Post-och telestyrelsens (PTS) tillsyn ska endast tillämpa kraven på ledningens utbildning i föreskrifterna om säkerhetsåtgärder och utbildning. För dessa gäller istället Post- och telestyrelsens motsvarande föreskrifter alternativt EU:s genomförandeförordning på området. Ett undantag är länsstyrelserna som, liksom övriga statliga myndigheter, ska följa Myndigheten för civilt försvars föreskrifter om säkerhetsåtgärder och utbildning i sin helhet.

Läs mer på Post- och telestyrelsens (PTS) webbplats

Genomförandeförordning

I vissa sektorer är verksamheten svår att hänföra till ett specifikt land. Därför har EU beslutat att kraven för sådana verksamhetsutövare ska vara gemensamma, istället för att utfärdas i respektive medlemsstat. De gemensamma kraven anges i en genomförandeförordning på EU-nivå, som gäller från den 7 november 2024.

Verksamheter som berörs av denna genomförandeförordning är leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, leverantörer av molntjänster, leverantörer av marknadsplatser online och leverantörer av sökmotorer. Fullständig lista återfinns nedan. Mer information för verksamhetsutövare som berörs finns på Post- och telestyrelsens webbplats.

Läs genomförandeförordningen på EU:s webbplats

Läs mer på Post- och telestyrelsens (PTS) webbplats

Annan reglering

Samtidigt som beslutet om NIS2-direktivet kom fattades även beslut om direktivet om kritiska entiteters motståndskraft, CER. CER-direktivet ställer krav på åtgärder för att stärka motståndskraften i viss samhällsviktig verksamhet, men är inte inriktat på säkerheten i nätverk och informationssystem som NIS2-direktivet är.

CER-direktivetCER-direktivet på EU:s webbplats Utredningens slutbetänkande om genomförande av CER-direktivet i Sverige på regeringens webbplatsFör den finansiella sektorn kommer också ny EU-reglering, DORA-förordningen.

DORA-förordningen på Finansinspektionens webbplats Verksamheter som omfattas av säkerhetsskydd är undantagen från delar av kraven i NIS2.

Säkerhetsskydd på Säkerhetspolisens webbplats

Finansieras av Europeiska unionen. Synpunkter och åsikter som uttrycks är dock endast författarens/författarnas och återspeglar inte nödvändigtvis Europeiska unionens åsikter. Europeiska unionen kan inte hållas ansvarig för dem.