Cybersäkerhetslagen (2025:1506)
Sveriges genomförande av EU:s NIS2-direktiv. Ta reda på om ert företag omfattas — interaktiv självskattning baserad på lagens sektor- och storlekströsklar samt MSB:s tillsynsvägledning.
Vad är NIS2?
NIS2 (direktiv (EU) 2022/2555) är EU:s uppdaterade regelverk för cybersäkerhet.
Det ersätter NIS1 och utökar kraven på riskhantering, incidentrapportering och
ledningens ansvar för ett väsentligt bredare urval av företag och offentliga
aktörer i unionen. Direktivet trädde i kraft den 16 januari 2023 och skulle
vara införlivat i nationell rätt senast den 17 oktober 2024.
I Sverige genomförs NIS2 huvudsakligen genom cybersäkerhetslagen
(som ersätter NIS-lagen från 2018) samt tillhörande föreskrifter från MSB, PTS,
IMY och andra sektorsmyndigheter. Lagen började tillämpas 2025 med kompletterande
föreskrifter under 2025 och 2026.
Omfattas mitt företag av NIS2 i Sverige?
Grundregeln är att organisationer i en av de utpekade sektorerna och över
tröskelvärdet för medelstora företag omfattas. NIS2 delar in dessa i två
kategorier:
-
Väsentliga entiteter – större aktörer i sektorer med hög
kritikalitet: energi, transport, bankverksamhet, finansiella
marknadsinfrastrukturer, hälso- och sjukvård, dricksvatten, avloppsvatten,
digital infrastruktur, förvaltning av IKT-tjänster (B2B), offentlig
förvaltning och rymdverksamhet.
-
Viktiga entiteter – aktörer i övriga kritiska sektorer:
post- och budtjänster, avfallshantering, tillverkning och distribution av
kemikalier, livsmedelsproduktion och grossisthandel, tillverkning
(t.ex. medicintekniska produkter, elektronik, motorfordon, maskiner),
digitala leverantörer (sökmotorer, marknadsplatser, sociala nätverk) samt
forskning.
Storlekströskeln: minst 50 anställda eller över 10
miljoner euro i omsättning/balansomslutning. Vissa entiteter omfattas dock
oavsett storlek (t.ex. leverantörer av allmänt tillgängliga elektroniska
kommunikationstjänster, förtroendetjänsteleverantörer och entiteter som är
enda leverantör av en samhällsviktig tjänst).
Vilka krav ställs?
Direktivets artikel 21 ställer krav på tio konkreta riskhanteringsåtgärder:
- Policyer för riskanalys och informationssäkerhet.
- Incidenthantering.
- Kontinuitetshantering, backup och katastrofåterställning.
- Säkerhet i leveranskedjan, inklusive leverantörsbedömningar.
- Säkerhet vid anskaffning, utveckling och underhåll av nätverks- och informationssystem.
- Policyer och rutiner för att utvärdera säkerhetsåtgärdernas effektivitet.
- Grundläggande cyberhygien och säkerhetsutbildning.
- Policyer och rutiner för användning av kryptografi och kryptering.
- Säkerhet för personal, åtkomstpolicyer och tillgångshantering.
- Multifaktorautentisering, säker kommunikation och krypterad röst-, video- och textkommunikation vid behov.
Utöver detta gäller incidentrapportering i tre steg: tidig
varning inom 24 timmar, incidentanmälan inom 72 timmar och slutrapport inom
en månad. Rapportering sker till CSIRT hos MSB (och i vissa fall sektorns
tillsynsmyndighet).
Ledningens ansvar
NIS2 gör styrelse och ledning personligen ansvariga för att godkänna
riskhanteringsåtgärderna och för att övervaka genomförandet. Ledande
befattningshavare måste genomgå utbildning i cybersäkerhet och ska erbjuda
liknande utbildning till personalen. Vid överträdelser kan tillsynsmyndigheten
tillfälligt förbjuda en enskild person att utöva ledande funktion.
Sanktioner
-
Väsentliga entiteter: upp till 10 miljoner euro eller
2 % av global årsomsättning – det högre beloppet gäller.
-
Viktiga entiteter: upp till 7 miljoner euro eller
1,4 % av global årsomsättning – det högre beloppet gäller.
Tillsynsmyndigheterna kan även utfärda bindande instruktioner, kräva
säkerhetsrevisioner och offentliggöra överträdelser.
Cybersäkerhetslagen och relationen till NIS2
Den svenska cybersäkerhetslagen implementerar NIS2 i nationell rätt. Lagen
kompletteras av föreskrifter från MSB (allmänna säkerhetsåtgärder och
incidentrapportering) och sektorsmyndigheter (PTS för digital infrastruktur,
Finansinspektionen för finansiella entiteter i samspel med DORA, IVO för
hälso- och sjukvård, Energimyndigheten för energi m.fl.).
Berörda entiteter är själva ansvariga för att registrera sig hos MSB inom
de tidsfrister som föreskrivs. Registrering krävs oavsett om
tillsynsmyndigheten aktivt kontaktar entiteten.
Tidslinje
- 16 januari 2023: NIS2 träder i kraft i EU.
- 17 oktober 2024: Slutdatum för införlivande i nationell rätt.
- 2025: Cybersäkerhetslagen börjar tillämpas i Sverige.
- 2025–2026: Successiv publicering av MSB:s och sektorsmyndigheternas föreskrifter.
Vanliga frågor
Räcker det att vi redan följer ISO 27001?
Ett moget ISO 27001-program täcker en stor del av artikel 21, men inte allt.
NIS2 kräver särskilt ledningens dokumenterade godkännande, specifika krav på
leveranskedjans säkerhet och incidentrapportering enligt fasta tidsfrister –
områden där ISO 27001 är principbaserat snarare än föreskrivande.
Vi är under 50 anställda – är vi säkert undantagna?
Nej. Vissa entiteter omfattas oavsett storlek, till exempel leverantörer av
allmänt tillgängliga elektroniska kommunikationstjänster, DNS-tjänster,
registeringsenheter för toppdomäner, förtroendetjänsteleverantörer och
entiteter som är enda leverantör av en samhällsviktig tjänst i medlemsstaten.
Hur förhåller sig NIS2 till DORA?
För finansiella entiteter är DORA lex specialis – DORA:s
IKT-riskhanterings- och incidentrapporteringsregler tar över där de överlappar
med NIS2. Övriga NIS2-krav (t.ex. registrering, ledningsansvar) kan fortsatt
gälla.
Vilka påföljder riskerar ledningen personligen?
Utöver bolagets böter kan tillsynsmyndigheten kräva att en verkställande
direktör eller styrelseledamot tillfälligt fråntas rätten att utöva
ledningsfunktion tills bristerna åtgärdas.