För investerare
Gå till MyFondia

Ny cybersäkerhetslag – Är ditt företag redo för implementeringen av NIS2-direktivet?

Emelie Zulfijaj
Emelie Zulfijaj
Insikter
17 november 2025

I oktober 2025 överlämnade regeringen propositionen 2025/26:28 Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag till riksdagen. Införandet av en ny cybersäkerhetslag är Sveriges sätt att implementera NIS2-direktivet som syftar till att öka nivån för cybersäkerhet inom EU.

För många företag innebär detta en väckarklocka – kraven skärps och fler branscher än någonsin tidigare kommer att omfattas av lagstiftningen. Lagen föreslås träda i kraft den 15 januari 2026, vilket innebär att tiden för förberedelser är knapp.

I denna artikel går Emelie Zulfijaj igenom vilka verksamheter som omfattas, anmälningsskyldigheten, de centrala kraven och sanktioner. Missa inte att ta del av checklistan!

Vilka verksamheter omfattas av lagen?

Lagen kommer i huvudsak att omfatta nästan hela den offentliga sektorn och enskilda verksamhetsutövare som storleksmässigt motsvarar eller är större än ett medelstort företag samt bedriver verksamhet inom 18 utpekade sektorer.

Med medelstort företag avses att företaget sysselsätter fler än 50 personer och har en årsomsättning eller balansomslutning som överstiger 10 miljoner euro. Notera att koncernföretag måste konsolidera alla uppgifter för hela koncernen.

Vissa mindre företag kan också omfattas av lagen trots att de inte uppfyller storlekskravet, till exempel om de levererar kritiska eller betrodda tjänster.

De 18 sektorerna

Den nya lagen kommer att omfatta följande 18 sektorer och dessa är uppdelade i så kallade högkritiska respektive kritiska sektorer.

De högkritiska sektorerna är:

  • Energi

  • Transporter

  • Bankverksamhet

  • Finansmarknadsinfrastruktur

  • Hälso- och sjukvårdssektorn

  • Dricksvatten

  • Avloppsvatten

  • Digital infrastruktur

  • Förvaltning av IKT-tjänster mellan företag

  • Offentlig förvaltning

  • Rymden

En verksamhetsutövare som bedriver verksamhet som omfattas av en högkritisk sektor räknas som en väsentlig verksamhetsutövare. Vissa verksamhetsutövare, som till exempel statliga myndigheter, registreringsenheter för toppdomäner och leverantörer av DNS-tjänster ska alltid betraktas som väsentliga verksamhetsutövare.

De kritiska sektorerna är:

  • Post- och budtjänster

  • Avfallshantering

  • Tillverkning, produktion och distribution av kemikalier

  • Produktion, bearbetning och distribution av livsmedel

  • Digitala leverantörer

  • Forskning

  • Tillverkning

Verksamhetsutövare som inte är väsentliga räknas som viktiga verksamhetsutövare.

Anmälningsskyldigheten

Vad innebär anmälningsskyldigheten?

Alla verksamhetsutövare som omfattas av lagen, oavsett vilken sektor verksamheten tillhör, ska anmäla sin verksamhet. En verksamhet avgör själv om den omfattas. Vid ändrade förhållanden ska ny anmälan göras inom 14 dagar.

En anmälningstjänst kommer lanseras

Myndigheten för samhällsskydd och beredskap (MSB) kommer i en ny portal lansera en anmälningstjänst för verksamhetsutövare. Ingen verksamhet behöver anmälas före lagen trätt i kraft och anmälningstjänsten har lanserats. Lanseringen förväntas ske i samband med lagens ikraftträdande den 15 januari 2026 och då i en förenklad version som därefter kontinuerligt ska uppdateras och vidareutvecklas. Tanken är att portalen längre fram även ska innehålla fler tjänster, till exempel för incidentrapportering.

Vem ska anmäla verksamheten?

MSB rekommenderar att verksamhetsutövare utser en person som är ansvarig för att göra en samlad komplett anmälan för samtliga verksamheter i organisationen som omfattas av lagstiftningen. Även om en organisation innefattar flera verksamheter ska endast en anmälan göras.

Vad ska anmälas?

Anmälan ska bland annat innehålla information om:

  • Namn på organisationen

  • Organisationsnummer

  • Sektor/viktig samhällsfunktion och eventuell delsektor (en eller flera kan väljas)

  • Typ av verksamhetsutövare

  • Identifieringen som verksamhetsutövare

  • Om verksamhet bedrivs inom EU

Informationen från anmälningstjänsten kommer att användas för att skapa en samlad förteckning över vilka verksamhetsutövare som tillhör vardera sektor. Förteckningen kommer sedan ges till av regeringen utsedd tillsynsmyndighet för respektive sektor.

När ska anmälan göras?

Verksamheten ska efter anmälningstjänsten är lanserad anmälas så snart det kan ske.

Vad behöver verksamhetsutövare som omfattas av lagen göra?

Den nya lagen ställer höga krav på säkerhet, rapportering och ansvar. Nedan listas några viktiga exempel på krav som ställs.

1. Säkerhetsåtgärder

Verksamhetsutövare ska införa tekniska, organisatoriska och driftsrelaterade åtgärder som skyddar nätverks- och informationssystem. Detta omfattar:

  • Riskanalys och säkerhetsstrategi

  • Incident- och krishantering

  • Säkerhet i leveranskedjan

  • Grundläggande cyberhygien och utbildning

  • Kryptering och åtkomstkontroll

2. Utbildning av ledningen

Styrelse och VD ska genomgå utbildning i cybersäkerhet. Detta är ett styrelseansvar och går inte att delegera bort.

3. Incidentrapportering

Vid betydande incidenter ska verksamhetsutövaren förhålla sig till följande strikta tidsfrister vad gäller anmälan till relevant tillsynsmyndighet:

  • Varning: Inom 24 timmar

  • Anmälan: Inom 72 timmar

  • Slutrapport: Inom en månad

4. Informationsskyldighet

Om en betydande incident påverkar tjänsten ska även mottagare av tjänsten i vissa fall informeras om incidenten utan onödigt dröjsmål.

Vad händer om verksamhetsutövare inte följer lagen?

Om en verksamhetsutövare inte följer lagen, kan relevant tillsynsmyndighet ingripa med förelägganden, förbud och beslut om administrativa sanktionsavgifter. Avgiften kan uppgå till högst 10 miljoner kronor eller 2 procent av den globala omsättningen, beroende på vilket belopp som är högst och beroende om verksamhetsutövaren ska betraktas som väsentlig eller viktig.

I vissa allvarliga fall kan även personer i ledningsställning förbjudas att inneha en ledningsfunktion hos verksamhetsutövaren.

Så förbereder du dig – Checklista

  • Bedöm om ni omfattas av lagen

  • Identifiera om ni är en väsentlig eller viktig verksamhetsutövare

  • Ta reda på vilken tillsynsmyndighet som gäller för er sektor

  • Förbered er anmälan

  • Kartlägg era kritiska system

  • Gör en riskanalys

  • Implementera säkerhetsåtgärder

  • Upprätta rutiner för incidentrapportering

  • Utbilda ledningen

  • Dokumentera allt

Behöver du hjälp?

Den nya lagen innebär omfattande krav som påverkar både juridiska, tekniska och organisatoriska delar av berörda verksamheter. Vi kan bland annat hjälpa er med att:

  • Bedöma om lagen är tillämplig för er och om ni ska betraktas som en väsentlig eller viktig verksamhetsutövare

  • Identifiera rätt tillsynsmyndighet/er för er verksamhet

  • Säkerställa att ni uppfyller anmälnings- och rapporteringskraven

  • Utveckla policyer och rutiner

  • Utbilda ledning och personal

Kontakta oss för ett kostnadsfritt initialt möte – så ser vi till att ni är redo innan den 15 januari 2026.

Cybersäkerhetslag
NIS2-direktivet

Hur kan vi hjälpa dig?

Vi vill gärna höra mer om era legala behov. Kontakta oss via mail, telefon eller boka ett kostnadsfritt möte redan idag!