Företagsutveckling , , , ,

Cybersäkerhetslagen 2026 – så påverkas svenska företag av NIS2

Serverrum med blå belysning som symboliserar cybersäkerhet

Den 15 januari 2026 trädde cybersäkerhetslagen i kraft i Sverige. Lagen är den svenska implementeringen av EU:s NIS2-direktiv och innebär hårdare krav på cybersäkerhet för företag inom 18 olika sektorer. För många svenska bolag innebär det betydligt mer omfattande skyldigheter, ledningsansvar och sanktioner som kan uppgå till 10 miljoner euro eller två procent av den globala omsättningen.

Snabb överblick: Cybersäkerhetslagen (2025:1506) gäller från 15 januari 2026 och berör i huvudsak företag med minst 50 anställda eller över 10 miljoner euro i omsättning inom 18 samhällsviktiga sektorer. Anmälan till Myndigheten för civilt försvar öppnade 2 februari 2026, och högsta sanktion är 10 miljoner euro eller 2 procent av global årsomsättning.

Vad är NIS2 och cybersäkerhetslagen?

NIS2 är ett EU-direktiv som ska skapa en hög gemensam cybersäkerhetsnivå inom unionen. Direktivet ersätter det tidigare NIS-direktivet från 2016 och innebär bredare omfattning, hårdare krav och tydligare regler för tillsyn. I Sverige har direktivet införts genom cybersäkerhetslagen (2025:1506) och cybersäkerhetsförordningen (2025:1507), som båda trädde i kraft den 15 januari 2026.

Den nya lagen ersätter helt den tidigare NIS-lagen från 2018 (lag 2018:1174 om informationssäkerhet för samhällsviktiga och digitala tjänster). Skiftet är inte bara en namnändring – antalet företag som omfattas har utökats kraftigt, från ett fåtal sektorer till totalt 18.

Vilka företag omfattas?

Cybersäkerhetslagen omfattar verksamhetsutövare i 18 olika sektorer. Företag måste själva bedöma om de omfattas, baserat på dels bransch, dels storlek. Huvudregeln är att lagen gäller för verksamheter som:

  • Är etablerade i Sverige
  • Bedriver verksamhet inom någon av sektorerna i NIS2:s bilagor 1 eller 2
  • Har minst 50 anställda eller en årsomsättning över 10 miljoner euro och balansomslutning över 10 miljoner euro per år

De 18 sektorerna inkluderar bland annat energi, transport, bankväsende, hälso- och sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, IT-tjänsteleverantörer, offentlig förvaltning, livsmedelsproduktion, post och budtjänster, avfallshantering, kemisk industri, tillverkningsindustri samt forskning. Vissa mindre aktörer kan också omfattas om de har en kritisk roll i samhällsfunktionen.

Två kategorier – väsentliga och viktiga

Lagen delar in verksamhetsutövarna i två kategorier som har samma kärnkrav men olika regler för tillsyn och sanktioner:

Kategori Egenskaper Maxsanktion
Väsentliga Stora aktörer i kritiska sektorer 10 miljoner euro eller 2 % av global omsättning
Viktiga Medelstora aktörer i alla sektorer 7 miljoner euro eller 1,4 % av global omsättning

Anmälningsplikt – första steget

Anmälan till Myndigheten för civilt försvar öppnade den 2 februari 2026 och företag som omfattas skulle anmäla sig inom 14 dagar – alltså senast den 16 februari 2026. Den som var anmäld enligt den tidigare NIS-lagen behöver göra en ny anmälan. Om anmälan inte kommit in i tid kan tillsynsmyndigheterna vidta åtgärder.

Vilka säkerhetskrav ställs?

Cybersäkerhetslagen kräver att verksamhetsutövare arbetar systematiskt, riskbaserat och kontinuerligt med informations- och cybersäkerhet. Säkerhetsåtgärderna ska vara lämpliga och proportionella, och omfatta minst följande områden:

  • Riskanalys och säkerhetspolicy för nätverks- och informationssystem
  • Incidenthantering med processer för upptäckt, hantering och uppföljning
  • Backup och kontinuitet med säkerhetskopiering och katastrofåterställning
  • Hantering av tredjepartsleverantörer och säkerhet i leveranskedjan
  • Sårbarhetshantering och dokumentation av identifierade risker
  • Tillträdeskontroll och multifaktorautentisering där lämpligt
  • Kryptering och säkrade kommunikationer
  • Utbildning av personal och ledning i cybersäkerhet

Ledningens nya ansvar

En av de största förändringarna i NIS2 är att ledningen direkt ansvarar för organisationens cybersäkerhetsarbete. VD och styrelse måste:

  • Genomgå utbildning i cybersäkerhet
  • Godkänna riskhanteringsåtgärder
  • Säkerställa att resurser avsätts för säkerhetsarbetet
  • Övervaka efterlevnaden av kraven i lagen

Det är inte längre en fråga som kan lämnas till IT-avdelningen. Ledningen är personligen ansvarig och kan i värsta fall hållas ansvarig om verksamheten brister i sin cybersäkerhet.

Incidentrapportering inom 24 timmar

Om en allvarlig incident inträffar måste den rapporteras till tillsynsmyndigheten inom snäva tidsramar. En första underrättelse ska lämnas inom 24 timmar från det att incidenten upptäckts, en mer detaljerad incidentrapport inom 72 timmar och en slutrapport inom en månad. Incidenter som omfattas är allt från cyberattacker som påverkar tjänsten till driftavbrott som drabbar användare.

Sanktionsavgifter och tillsyn

Sanktionerna är medvetet höga för att skapa incitament för efterlevnad. För väsentliga verksamhetsutövare kan sanktionsavgifter uppgå till 10 miljoner euro eller 2 procent av den totala globala omsättningen från föregående räkenskapsår, beroende på vilket belopp som är högst. För viktiga verksamhetsutövare är taket 7 miljoner euro eller 1,4 procent. Lägsta sanktionsavgift är 5 000 kronor.

Tillsynen är sektorsbaserad. Olika myndigheter ansvarar för olika branscher: Energimyndigheten för energi, Post- och telestyrelsen för elektronisk kommunikation, Finansinspektionen för finansiella aktörer, Transportstyrelsen för transport och så vidare. Myndigheten för civilt försvar har en samordnande roll på nationell och EU-nivå.

Hur förbereder ditt företag sig?

För företag som omfattas, eller som är osäkra, är följande steg ofta första prioritet:

  1. Bedöm om ni omfattas baserat på sektor och storlek
  2. Anmäl er till MCF om ni omfattas men ännu inte är registrerade
  3. Genomför en gap-analys mellan nuvarande säkerhetsarbete och lagens krav
  4. Utbilda ledningen i cybersäkerhet och deras nya ansvar
  5. Sätt upp incidenthanteringsrutiner som kan leverera rapport inom 24 timmar
  6. Granska leverantörskedjan och dokumentera tredjepartsrisker
  7. Implementera tekniska åtgärder som backup, kryptering och multifaktorautentisering

Vanliga frågor och svar

När trädde cybersäkerhetslagen i kraft?
Den 15 januari 2026. Lagens nummer är 2025:1506 och den ersatte den tidigare NIS-lagen från 2018.

Vilka företag omfattas av cybersäkerhetslagen?
Företag inom 18 samhällsviktiga sektorer som har minst 50 anställda eller över 10 miljoner euro i omsättning. Mindre företag kan också omfattas om de har en kritisk roll. Företaget måste själv bedöma om det omfattas.

Hur höga är sanktionerna vid brott mot cybersäkerhetslagen?
För väsentliga verksamhetsutövare upp till 10 miljoner euro eller 2 procent av global årsomsättning. För viktiga verksamhetsutövare upp till 7 miljoner euro eller 1,4 procent. Lägsta sanktionsavgift är 5 000 kronor.

Vem är tillsynsmyndighet för cybersäkerhetslagen?
Tillsynen är sektorsbaserad. Energimyndigheten ansvarar för energi, Post- och telestyrelsen för telekom, Finansinspektionen för finans, Transportstyrelsen för transport och så vidare. Myndigheten för civilt försvar har en samordnande roll.

Måste vi rapportera incidenter direkt?
Ja, en allvarlig incident ska först rapporteras inom 24 timmar, sedan en utförligare incidentrapport inom 72 timmar och en slutrapport inom en månad. Tidsramarna är snäva och kräver tydliga rutiner i förväg.

Senast uppdaterad: 9 juni 2026

Etikett
Matz Nordström
Matz Nordström

Matz Nordström är en erfaren skribent och analytiker med över 30 års erfarenhet inom näringsliv och ekonomi. Matz har en gedigen bakgrund inom media och affärsutveckling, vilket gör honom till en nyckelperson på Näringslivsbolaget. Matz har en passion för att förklara komplexa ekonomiska samband på ett begripligt sätt och strävar alltid efter att leverera djupgående analyser och aktuella nyheter till läsarna.

visa alla inlägg

Relaterade inlägg

Publicera kommentar

Du har kanske missat