Det här är cybersäkerhetslagen

Cybersäkerhetslagen (NIS2-direktivet) syftar till att uppnå en hög gemensam cybersäkerhetsnivå i hela unionen. Jämfört med NIS ställs tydligare krav på bland annat riskanalyser och olika säkerhetsåtgärder. Många fler organisationer omfattas också. NIS2-direktivet genomförs i Sverige genom cybersäkerhetslagen som gäller från 15 januari 2026.

Information

Den 20–21 oktober genomfördes Cybersäkerhetskonferensen 2025 – en ledande mötesplats för offentliga och privata aktörer från hela Sverige och Europa. Nu finns inspelningar av presentationer och panelsamtal tillgängliga på konferenswebbplatsen.

Cybersäkerhetskonferensen 2025Konferenswebbplatsen

Cybersäkerhetslagen ställer tydligare krav på bland annat riskanalyser och olika säkerhetsåtgärder. Direktivet ställer även ökade krav på ledningens deltagande i organisationens cybersäkerhetsarbete. Cybersäkerhetslagen innebär också att betydligt fler sektorer omfattas av lagstiftningen jämfört med NIS. Av den anledningen tillkommer fler tillsynsmyndigheter. Sanktionsavgifterna är även högre än tidigare i det fall kraven inte efterlevs.

Presentation om cybersäkerhetslagen

Vi har tagit fram en grundpresentation som exempelvis du som arbetar i en verksamhet som omfattas av cybersäkerhetslagen (NIS2) kan använda när du pratar om NIS2 i din organisation, med bilder och talmanus. Innehållet är fritt att använda och du får gärna lägga till dina egna bilder eller bara använda ett urval av dem, men vi vill inte att du ändrar i själva bilderna.

Viktigt att notera är att presentationen är ifrån november 2025.

Grundpresentation NIS2 (ppt)

Webbinarieserie om NIS2/cybersäkerhetslagen: varje tillfälle omfattar en presentation och en frågestund där deltagarna har möjlighet att ställa frågor. Alla webbinarier har spelats in och kan ses i efterhand i textad version. Webbinarium om cybersäkerhetslagen hålls kontinuerligt.

Aktuella webbinarier hittas i kalendern

Tidigare webbinarium

Vad är cybersäkerhetslagen?

NIS2-direktivet beslutades av EU i december 2022 och ersätter det NIS-direktiv som började gälla 2018 genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (NIS).

NIS2-direktivet infördes i svensk lagstiftning genom en ny cybersäkerhetslag den 15 januari 2026. 

Cybersäkerhetslagen

Cybersäkerhetsförordningen

Ansvarsfördelning för cybersäkerhetslagen

Den som omfattas av cybersäkerhetslagen kallas verksamhetsutövare. Verksamhetsutövarna finns i 18 olika sektorer med respektive delsektorer. 

För varje sektor ansvarar en eller flera tillsynsmyndigheter för vägledning och tillsyn. 

Myndigheten för civilt försvar har ett samordningsansvar, på nationell nivå i Sverige gentemot tillsynsmyndigheter och verksamhetsutövare, och på EU-nivå som kontaktpunkt för samarbete med andra medlemsstater. Vi har också i uppdrag att utfärda föreskrifter när det gäller de gemensamma aspekter av kravställningen för dem som omfattas.

Uppgifter ifall ni omfattas av cybersäkerhetslagen

Den som är verksamhetsutövare enligt cybersäkerhetslagen har i huvudsak följande uppgifter:

  • Identifiera att man omfattas och anmäla sig.

  • Etablera/upprätthålla ett systematiskt arbete med cybersäkerhet, införa lämpliga säkerhetsåtgärder och utbilda ledning såväl som personal.

  • Rapportera in incidenter som medför eller kan medföra betydande störningar.

Verksamhetsutövaren berörs också av tillsyn från tillsynsmyndigheten för den sektor eller de sektorer där man omfattas.

Läs mer om cybersäkerhetslagen för verksamheter

Läs mer om omfattas verksamheten av cybersäkerhetslagen

Läs mer om att anmäla en verksamhet enligt cybersäkerhetslagen

Förslag till nya föreskrifter

Under 2025 publicerades förslag till nya föreskrifter enligt ny cybersäkerhetslag. Med syftet att förankra och kvalitetssäkra föreskrifterna använder vi oss av remisser. Föreskrifterna kommer att ges ut under 2026, se tidsplanen för cybersäkerhetslagen.

Förslag till nya föreskrifter enligt ny cybersäkerhetslag

Beslutade föreskrifter enligt ny cybersäkerhetslag

Tidsplan

Direktiv om kritiska entiteters motståndskraft, CER

Samtidigt som beslutet om NIS2-direktivet kom fattades även beslut om CER-direktivet, som båda är kontinuitetsdirektiv. CER-direktivet ställer krav på all annan verksamhet som måste kunna upprätthållas vid olika typer av störningar för att skapa motståndskraft i samhällsviktig verksamhet. Det kan handla om skydd av fysisk säkerhet som exempelvis lokaler och anläggningar och att rätt personer har åtkomst till dessa.

Läs mer om CER-direktivet

Kontakt

Har du frågor till oss om cybersäkerhetslagen är du välkommen att kontakta vår Cybersäkerhetsrådgivning.

Cybersäkerhetsrådgivning

Många frågor har besvarats på vår webb.

Frågor och svar om cybersäkerhetslagen

Logotyp med EU-flaggan och logotyp för ECCC

Relaterade länkar

Senast granskad: 26 mars 2026