Förslag till nya föreskrifter om säkerhetsåtgärder och utbildning enligt cybersäkerhetslag (2025:1506)

Genom cybersäkerhetslagen (2025:1506) införs EU:s NIS2-direktiv i Sverige. Myndigheten för civilt försvar har fått mandat att meddela föreskrifter rörande

1. anmälningsskyldighet,
2. kriterier för när en verksamhetsutövare ska omfattas av regelverket med hänvisning till sin särskilda betydelse i samhället och när sådana verksamhetsutövare ska räknas som väsentliga,
3. vad som utgör huvudsakligt etableringsställe,
4. undantag för partnerföretag och anknutna företag,
5. säkerhetsåtgärder,
6. utbildning,
7. rapporteringsskyldigheter,
8. vad som utgör en betydande incident,
9. skyldighet att informera vid betydande incidenter och betydande cyberhot, och
10. säkerhetsrevisioner och säkerhetsskanningar.

Myndigheten för civilt försvars mandat innefattar inte föreskrifter om säkerhetsåtgärder, vad som utgör en betydande incident och skyldighet att informera vid betydande incidenter och betydande cyberhot för följande sektorer: digital infrastruktur, digitala leverantörer, förvaltning av IKT-tjänster (mellan företag), post- och budtjänster och rymden. Sådana föreskrifter har istället Post- och telestyrelsen mandat att ta fram.

Föreskrifter om säkerhetsåtgärder och utbildning

Förslaget till föreskrifter om säkerhetsåtgärder och utbildning syftar till att förtydliga vilka organisatoriska, tekniska, driftrelaterade och fysiska säkerhetsåtgärder en verksamhetsutövare är skyldig att vidta för att uppfylla 2 kap 3 § cybersäkerhetslagen samt vilken utbildning som ledningen ska genomgå enligt 2 kap 4 § cybersäkerhetslagen.

Ett första förslag på remisser skickades ut på extern remiss hösten 2025 och svaren visade på motsatta och oförenliga önskemål.

Behandlingen av inkomna synpunkter har resulterat i mer genomgående justeringar varför vi nu skickar det reviderade föreskriftsförslaget på en förnyad kortare remiss i enligt med ordinarie rutin.