Den nya cybersäkerhetslagen - vad offentlig sektor behöver veta

Michael Duffy

30 december 2025 Träffar: 537

Den 15 januari 2026 träder Sveriges nya cybersäkerhetslag (SFS 2025:1506) i kraft. Lagen syftar till att uppnå en hög nivå av cybersäkerhet i samhället och implementerar EU:s NIS 2-direktiv i svensk rätt. Detta innebär att kraven skärps på många organisationer att förbättra sitt skydd mot cyberhot. Regeringen har betonat att även kommuner och andra verksamheter behöver ”lägga i en högre växel” i sitt cybersäkerhetsarbete - den nya lagen ska skärpa kraven på dessa aktörer. I denna artikel sammanfattar jag lagens syfte, vilka offentliga verksamheter som berörs, de centrala skyldigheterna (särskilt gällande säkerhetsåtgärder, incidentrapportering och utbildning) samt ger praktisk vägledning inför ikraftträdandet.

Syfte och koppling till NIS 2-direktivet

Bakgrunden till cybersäkerhetslagen är EU:s nya NIS 2-direktiv (Network and Information Security 2), som antogs 2022 för att höja cybersäkerhetsnivån inom hela EU. Syftet är att utöka och skärpa kraven från det tidigare NIS-direktivet, så att fler sektorer omfattas och att alla berörda aktörer vidtar kraftfullare åtgärder mot cyberhot. Den svenska cybersäkerhetslagen genomför direktivet nationellt och ställer tydligare krav på systematiskt säkerhetsarbete, riskhantering, incidentrapportering och ledningens ansvar. Målet är att stärka skyddet för kritisk infrastruktur och samhällsviktiga tjänster genom att både offentlig och privat sektor arbetar proaktivt med cybersäkerhet.

Vilka offentliga verksamheter omfattas?

Lagen gäller för en bred krets verksamhetsutövare inom både privat och offentlig sektor. Inom offentlig sektor omfattas i princip alla kommuner, regioner samt ett flertal statliga myndigheter. Enligt regeringens beslut ska exempelvis Sveriges beredskapsmyndigheter (centrala krisberedskapsmyndigheter) som utgångspunkt omfattas av lagen. Utöver detta täcker lagen även offentliga organ och bolag verksamma inom de sektorer som räknas upp i NIS 2-direktivet, förutsatt att de uppfyller vissa kriterier (till exempel storlek). Det innebär att offentlig verksamhet inom bland annat energiförsörjning, transporter, hälso- och sjukvård, dricksvatten, digital infrastruktur och offentlig förvaltning berörs av lagen. Alla regioner och kommuner inkluderas oavsett storlek, vilket är en nationell utvidgning - NIS 2 krävde främst att centrala och regionala myndigheter skulle omfattas, men Sverige har valt att inkludera kommunerna för att höja säkerheten brett i offentlig sektor.

Väsentliga och viktiga aktörer

Lagen delar in aktörerna i två kategorier: väsentliga och viktiga verksamhetsutövare. Väsentliga verksamhetsutövare är de som anses mest samhällskritiska. Dit räknas bland annat statliga myndigheter, större kommuner och regioner samt större verksamheter inom kritiska sektorer som energiförsörjning, sjukvård, transporter, bank och digital infrastruktur. Dessa aktörer har vanligtvis fler än 50 anställda eller betydande omsättning, vilket motsvarar minst ett medelstort företag. Viktiga verksamhetsutövare är övriga aktörer som omfattas av lagen men inte klassas som väsentliga - de är alltså inte fullt så samhällskritiska, men ändå viktiga för samhällets funktion. Exempel kan vara leverantörer av IT- och molntjänster, driftsentreprenörer eller företag inom sektorer som livsmedel, avfallshantering eller tillverkning av läkemedel. Indelningen i väsentliga/viktiga kan påverka tillsyn och sanktionsnivåer - generellt har väsentliga aktörer något strängare tillsyn (till exempel fler revisioner) och potentiellt högre sanktionsavgifter vid brister. För samtliga aktörer under lagen gäller dock i grunden liknande säkerhets- och rapporteringskrav.

Notera att även om en organisation formellt inte skulle omfattas direkt som väsentlig eller viktig, kan den påverkas indirekt. Till exempel om ni levererar tjänster till en myndighet eller kommun som omfattas, kommer den kunden ställa höga säkerhetskrav på er i sin leverantörskedja. Offentliga aktörer förväntas nämligen beakta cybersäkerhet vid upphandlingar och avtal, så att även deras leverantörer upprätthåller en god säkerhetsnivå. Med andra ord sprider sig kraven i ekosystemet - något som är viktigt att känna till för alla som samarbetar med offentlig sektor.

Krav på säkerhetsåtgärder

En central del av lagen är kravet på att införa lämpliga säkerhetsåtgärder för att skydda nätverks- och informationssystem. Varje berörd verksamhet ska vidta tekniska, driftsmässiga och organisatoriska åtgärder som är proportionerliga utifrån riskerna, för att förebygga och hantera incidenter. Säkerhetsarbetet ska ha ett allriskperspektiv - man måste alltså beakta alla typer av hot och scenarier - och säkerhetsnivån ska anpassas efter verksamhetens riskbild. Lagen specificerar att säkerhetsåtgärderna åtminstone ska omfatta följande områden:

Riskhantering och analys: Identifiera och bedöm risker för era informationssystem. Upprätta strategier för riskanalys och kontinuitetsplanering (hur verksamheten ska upprätthållas vid avbrott/kris). Detta innefattar också att ha beredskap för krishantering om allvarliga cyberangrepp inträffar.
Tekniska skyddsåtgärder: Säkerställ grundläggande skydd som brandväggar, antivirus, uppdaterade system, stark autentisering (till exempel tvåfaktorsinloggning) och kryptering där det behövs. Även säkerhet i utveckling och underhåll av system ingår (till exempel säkra konfigurationer och regelbundna patchar). Åtgärder för att kontrollera åtkomst och hantera behörigheter för personal är viktiga, liksom fysiskt skydd av serverhallar med mera.
Incidenthantering: Ha rutiner för att upptäcka, hantera och logga incidenter (säkerhetsincidenter som påverkar informationens tillgänglighet, riktighet eller konfidentialitet). Det ska finnas en tydlig process för incidentrespons - från initial upptäckt till åtgärder och lärdomar. Incidentövningar kan med fördel genomföras för att testa rutinerna.
Leverantörs- och kedjesäkerhet: Eftersom många verksamheter är beroende av externa IT-leverantörer och molntjänster behöver ni ställa krav på era leverantörer. Se till att säkerhetskrav och uppföljning finns på plats i avtal och upphandlingar. Lagen betonar säkerhet i leveranskedjan, vilket innebär att ni ansvarar för att kritiska leverantörer också upprätthåller god säkerhet.
Övervakning och testning: Ha rutiner för att kontinuerligt bedöma och testa säkerhetsåtgärdernas effektivitet. Exempelvis kan ni genomföra interna revisioner, sårbarhetsskanningar eller anlita oberoende granskningar. Tillsynsmyndigheten har också rätt att utföra säkerhetsgranskningar, särskilt hos väsentliga aktörer.
Cyberhygien och utbildning: Inför grundläggande cyberhygien-praxis i hela organisationen - till exempel policys för säkra lösenord, regelbundna säkerhetskopior, principen om minsta åtkomst etcetera Alla medarbetare bör få grundläggande utbildning och medvetenhet i informationssäkerhet, så att säkerhetstänket blir en del av vardagen.

Samtliga dessa åtgärdsområden hänger ihop med varandra och ska dokumenteras samt integreras i det löpande arbetet. Lagen kräver inte perfektion eller att alla tänkbara skydd redan finns på plats, men ni måste kunna visa att ni arbetar aktivt, systematiskt och medvetet med säkerheten utifrån er verksamhets risker. Att följa etablerade standarder som till exempel ISO/IEC 27001 för informationssäkerhet kan vara ett sätt att strukturera sitt säkerhetsarbete och möta lagens krav, även om det inte uttryckligen står i lagen.

Incidentrapportering - när och hur ska incidenter anmälas?

En annan nyckeldel är skyldigheten att rapportera allvarliga IT-incidenter. Lagen använder begreppet ”betydande incident” för de incidenter som når en viss allvarlighetsgrad - till exempel att de orsakat eller kan orsaka allvarliga driftstörningar i tjänsterna, betydande ekonomisk skada, eller påtagligt skada andra personer eller verksamheter. Sådana incidenter måste snarast möjligt anmälas till behörig tillsynsmyndighet (regeringen utser vilken myndighet som är ansvarig för respektive sektor).

Tidsramarna är mycket skarpa. Inledande information om incidenten ska lämnas inom 24 timmar från att verksamheten fått kännedom om att en betydande incident inträffat. (För vissa aktörer som kvalificerade betrodda tjänster gäller 24 timmar, för övriga högst 72 timmar för den formella anmälan - men principen är att agera omedelbart.) Denna första rapport kan vara preliminär, men syftar till att snabbt larma myndigheten. Därefter ska en mer detaljerad incidentanmälan inkomma så snart som möjligt med utförligare information om vad som hänt och vilka åtgärder som vidtas. Inom en månad efter incidenten ska en slutrapport lämnas in som sammanfattar händelsen, eller om incidenten fortfarande pågår vid den tidpunkten, en lägesrapport efter en månad och slutrapport senare när incidenten är hanterad.

Förutom att rapportera till myndigheter har ni även informationsskyldighet gentemot drabbade användare. Om en betydande incident sannolikt kommer att inverka negativt på era tjänster till användarna (till exempel medföra avbrott eller dataförlust) ska ni informera era tjänstemottagare om detta så snart det är lämpligt. Ni ska berätta vad som inträffat och ge råd om eventuella skyddsåtgärder de kan vidta. Likaså, om ni får kännedom om ett allvarligt cyberhot som kan påverka era användare, ska ni varna dem och delge rekommendationer för att hantera hotet. Denna kommunikation med användare och kunder är viktig för att minska skadan av incidenter och öka transparensen.

Sammanfattningsvis behöver offentliga verksamheter ha tydliga rutiner för incidenthantering och rapportering. Det inkluderar att övervaka system för att upptäcka intrång, ha en intern incidenthanteringsplan (Vem gör vad vid en IT-incident? Vilka ska informeras internt och externt?) samt att öva på scenarion. Se också till att personal vet hur och till vem incidenter ska rapporteras internt, så att inget fördröjs. Att kunna agera snabbt inom 24 timmar ställer krav på förberedelse. Misslyckas man med rapporteringsskyldigheten eller andra krav i lagen kan tillsynsmyndigheten ingripa - i värsta fall kan sanktionsavgifter bli aktuella. Enligt EU-direktivet kan mycket allvarliga överträdelser leda till böter upp till 10 miljoner euro eller 2 % av omsättningen, och den svenska lagen medger också kännbara viten. För offentliga aktörer är ytterst ryktet och förtroendet på spel, så det finns starka incitament att uppfylla kraven.

Utbildningskrav och ledningens ansvar

En ny och viktig bestämmelse i lagen är kravet på utbildning för ledningen. Alla personer i verksamhetsutövarens högsta ledning (exempelvis förvaltningschefer, direktion eller styrelse beroende på organisation) ska genomgå utbildning i säkerhetsåtgärder och cybersäkerhet. Syftet är att säkerställa att ledningen har grundläggande kunskap om cyberrisker och förståelse för det säkerhetsarbete som krävs. NIS 2-direktivet och den svenska lagen tydliggör nämligen att cybersäkerhet är en strategisk ledningsfråga – det räcker inte att IT-avdelningen hanterar det praktiska, utan högsta ledningen måste övervaka och styra säkerhetsarbetet.

I praktiken innebär detta att kommun- och regionledningar, myndighetschefer och liknande behöver ta ägarskap över organisationens informationssäkerhet. Ledningen ska se till att det finns tydliga mål, resurser och ansvarsfördelning för cybersäkerhet i verksamheten. Utbildningskravet syftar till att höja kunskapsnivån så att ledningen kan fatta informerade beslut: man bör förstå grundläggande terminologi, känna till relevant lagstiftning, ha insikt i organisationens egna risker och förmåga att hantera incidenter. Myndigheten för civilt försvar (MCF) erbjuder kurser och vägledningar som stöd för att uppfylla detta krav, men varje organisation ansvarar för att dess ledningspersoner faktiskt genomgår nödvändig utbildning.

Utöver ledningen är det som nämnts klokt att även hela personalstyrkan involveras genom regelbunden säkerhetsutbildning och övning. En säkerhetsmedveten kultur där alla anställda känner till sina roller (till exempel att rapportera misstänkta mejl, följa riktlinjer för informationshantering osv.) är ofta det bästa försvaret mot cyberangrepp. Lagen ställer uttryckligen krav på ”grundläggande praxis för cyberhygien” och utbildning, vilket signalerar att kontinuerlig kompetenshöjning inom cybersäkerhet ska finnas på agendan.

Tillsynsmyndigheter enligt cybersäkerhetsförordningen

Utöver cybersäkerhetslagen har regeringen även beslutat om cybersäkerhetsförordningen (SFS 2025:1507). Förordningen kompletterar lagen genom att precisera vilka myndigheter som är tillsynsmyndigheter för olika sektorer och verksamhetstyper. Detta är en central del av regelverket, eftersom det är till dessa myndigheter som incidenter ska rapporteras och som utövar tillsyn över att lagens krav efterlevs.

Förordningen innebär att tillsynen delas upp sektorsvis, i linje med NIS 2-direktivets struktur.

Exempelvis gäller följande huvudprinciper:

Myndigheten för civilt försvar (MCF) har ett övergripande samordningsansvar och är tillsynsmyndighet för flera statliga myndigheter samt vissa sektorsövergripande funktioner.
Post- och telestyrelsen (PTS) är tillsynsmyndighet för digital infrastruktur, elektroniska kommunikationstjänster och vissa digitala tjänsteleverantörer.
Energimarknadsinspektionen ansvarar för tillsyn inom energisektorn.
Transportstyrelsen utövar tillsyn över transportsektorn.
Inspektionen för vård och omsorg (IVO) ansvarar för tillsyn inom hälso- och sjukvård samt omsorg.
Finansinspektionen är tillsynsmyndighet för finansiella aktörer som omfattas av lagen.
Andra sektorer, såsom livsmedel, läkemedel och dricksvatten, omfattas av tillsyn från respektive sektorsmyndighet enligt förordningen.

För kommuner och regioner innebär detta att tillsynsansvaret kan variera beroende på verksamhetens art. En kommun kan exempelvis stå under tillsyn av olika myndigheter för sin IT-drift, sin VA-verksamhet och sin hälso- och sjukvård. Det är därför viktigt att varje organisation identifierar vilken eller vilka tillsynsmyndigheter som är relevanta för den egna verksamheten.

Cybersäkerhetsförordningen tydliggör också att verksamhetsutövare ska:

veta vilken tillsynsmyndighet som är behörig,
anmäla kontaktuppgifter till denna,
rapportera betydande incidenter till rätt myndighet inom föreskrivna tidsramar.

Att tidigt etablera kontakt med rätt tillsynsmyndighet och följa deras vägledningar är en viktig del av förberedelsearbetet inför lagens ikraftträdande.

Praktisk vägledning - förberedelser inför ikraftträdandet

Med kort tid kvar till 15 januari 2026 är det hög tid för offentlig sektor att säkerställa efterlevnaden av den nya lagen. Här följer några praktiska steg och tips för hur kommuner, regioner och myndigheter kan förbereda sig:

Gör en säkerhetsanalys (nulägesbedömning): Börja med att kartlägga hur er nuvarande informationssäkerhet står sig gentemot lagens krav. Identifiera vilka delar av verksamheten som omfattas och vilka gap som finns i era rutiner, policys och tekniska skydd. Genomför en risk- och sårbarhetsanalys för era kritiska system - vilka hot är mest relevanta och hur allvarliga konsekvenser kan de få? Resultatet av denna analys blir grunden för er handlingsplan.
Utse ansvariga och kontaktpersoner: Tydliggör roller och ansvar för cybersäkerheten i organisationen. Ledningen bör utse en eller flera personer som samordnar säkerhetsarbetet - exempelvis en informationssäkerhetschef (CISO) eller säkerhetssamordnare. Denna funktion ska ha mandat att driva igenom åtgärder och informera ledningen om status. Ni bör även anmäla en formell kontaktperson till berörd tillsynsmyndighet (MCF eller annan, enligt kommande förordning) så att det finns en tydlig kanal för information och incidentrapportering. Glöm inte att uppdatera kontaktuppgifterna ifall ansvariga personer byts ut - lagen kräver att förändringar anmäls inom 14 dagar.
Uppdatera säkerhetsstyrningen och policydokument: Baserat på er nulägesanalys, revidera eller ta fram de styrdokument som behövs: informationssäkerhetspolicy, riktlinjer för accesshantering, incidentresponsplan, kontinuitetsplaner etcetera. Säkerställ att dessa dokument är kända och tillämpas i organisationen (”hyllvärmare” gör ingen nytta). Dokumentationen av säkerhetsarbetet måste hållas uppdaterad och spårbar för att ni vid behov ska kunna visa tillsynsmyndigheten hur ni uppfyller kraven.
Inför nödvändiga tekniska och organisatoriska åtgärder: Åtgärda identifierade brister i era skydd. Prioritera insatser som ger störst effekt på riskreducering – till exempel kanske behöver ni förbättra nätverkssegmentering, införa multifaktorautentisering på alla konton, eller skärpa rutinerna för säkerhetskopiering. Se även över fysiska säkerhetsåtgärder (låsta serverrum, brandskydd för datahallar etcetera). På den organisatoriska sidan kan det handla om att införa rutiner för leverantörsgranskning, förändringshantering av IT-system, eller personalbakgrundskontroller för känsliga befattningar. Gör en realistisk åtgärdsplan med tidsättningar och ansvariga för varje åtgärd.
Stärk incidenthanteringsförmågan: Upprätta eller finslipa era incidentrutiner så att ni uppfyller lagens stränga krav på rapportering. Definiera vad som klassas som en ”betydande incident” för er verksamhet (myndigheterna kan komma med vägledning kring tröskelvärden) och se till att personal vet hur en sådan incident ska eskaleras. Etablera en intern incidentrapporteringskedja som möjliggör snabb rapport till rätt beslutsfattare/jurist/kommunikatör internt, och vidare till tillsynsmyndigheten inom 24 timmar vid behov. Förbered mallar för incidentrapporter så ni inte börjar från noll under stress. Det är också klokt att i förväg förbereda kommunikationsplaner: hur informerar vi allmänhet eller drabbade om en allvarlig incident inträffar? Öva gärna incidenthantering genom simulerade attacker, så att både IT-team och ledning får träning i sina roller.
Utbilda ledning och medarbetare: Se till att ledningspersoner genomgår obligatorisk utbildning enligt lagen. Planera in detta i god tid – MCF erbjuder till exempel webbaserade introduktionskurser för ledningen. Parallellt bör ni höja medvetenheten hos all personal. Genomför informationspass om grundläggande IT-säkerhet, phishingsimuleringar, eller andra utbildningsinsatser för att bygga en säkerhetskultur. Alla anställda behöver känna till sina ansvar, till exempel hur man hanterar känsliga handlingar eller rapporterar misstänkta händelser. Kom ihåg att utbildning inte är en engångsinsats - planera för återkommande påminnelser och uppdateringar, särskilt som hotbilden utvecklas.
Hantering av information och sekretess: Gå igenom hur ni klassificerar och skyddar information internt. Den nya lagen medför också vissa ändringar i sekretessregler, bland annat för att möjliggöra informationsdelning om sårbarheter och incidenter utan att känsliga uppgifter röjs. Säkerställ att ni har rutiner för att hantera konfidentiell information om era system och risker på ett säkert sätt. Endast behöriga personer ska ha tillgång till detaljer om era sårbarheter eller incidentrapporter. Samtidigt behöver ni kunna dela nödvändig information med tillsynsmyndigheten och eventuellt andra drabbade aktörer vid en incident - hitta balansen mellan öppenhet och sekretess. Överväg att uppdatera era interna riktlinjer för informationsklassificering och följsamhet till offentlighets- och sekretesslagstiftningen i ljuset av de nya kraven.
Involvera era leverantörer: Identifiera vilka externa leverantörer som är kritiska för er IT-drift och informationshantering (till exempel driftpartners, molntjänstleverantörer, systemleverantörer). Kommunicera med dem om de kommande kraven – många leverantörer känner redan till NIS 2 och har börjat skärpa sin säkerhet. Se till att era nya eller förnyade avtal inkluderar relevanta säkerhetsklausuler, såsom krav på incidentrapportering från leverantören till er, rätt för er att granska deras säkerhetsarbete, och krav på att de följer god praxis (kanske rentav att de är certifierade enligt ISO 27001 eller liknande). Genom att ställa tydliga krav i upphandlingar nu, uppfyller ni inte bara lagens intention om leveranskedjans säkerhet - ni skyddar också er egen verksamhet.
Följ utvecklingen och planera för kontinuerlig förbättring: Håll er uppdaterade om förtydliganden från myndigheter. MCF och andra tillsynsmyndigheter kommer att meddela föreskrifter som preciserar lagkraven (till exempel vad som utgör en betydande incident i olika sektorer, eller detaljer kring säkerhetsåtgärder). Prenumerera gärna på nyhetsbrev eller informationsutskick från berörda myndigheter. Redan nu kan ni ta del av vägledningar som MCF publicerat, såsom “Ledningens roll inom informations- och cybersäkerhet”. Slutligen - se cybersäkerhetsarbetet som en ständigt pågående process, inte ett projekt med ett slutdatum. Efter 15 januari 2026 gäller det att fortsätta identifiera förbättringsområden, mäta framsteg och anpassa sig efter nya hot. Bygg in cybersäkerhet i ert ordinarie kvalitetsarbete och riskhanteringsarbete. På så vis står er organisation bättre rustad, inte bara för att uppfylla lagen, utan för att möta framtidens cyberutmaningar.

Slutsats

Den nya cybersäkerhetslagen markerar ett skifte mot ett mer proaktivt och enhetligt cybersäkerhetsarbete inom hela offentlig sektor. Genom att förstå vilka krav som ställs - och varför - kan kommuner, regioner och myndigheter inte bara undvika lagbrott och sanktioner, utan också höja sin egen motståndskraft mot cyberangrepp. Syftet är ytterst att skydda medborgarna och samhällsviktiga funktioner i en tid av ökande digitala hot. Genom att följa lagens anda: planera, utbilda, säkra upp och samverka - kommer offentlig sektor stå bättre förberedd när nästa cyberkris kommer. Lagens budskap är tydligt: cybersäkerhet är allas ansvar, från IT-tekniker till högsta ledning. Nu finns ett konkret ramverk som stöd för detta ansvar - det är upp till varje organisation att omsätta det i praktiken.

Lycka till med ert fortsatta cybersäkerhetsarbete!

Källor:
Denna sammanfattning bygger på den nya lagtexten, regeringens information och pressmeddelanden, samt vägledningar från MCF. För den som vill fördjupa sig rekommenderas att läsa Cybersäkerhetslagen (2025:1506) i sin helhet och MCF:s kommande föreskrifter, samt att ta del av utbildningar och stödmaterial inför att lagen träder i kraft 15 januari 2026.

Boka en kostnadsfri rådgivning inom Cybersäkerhetslagen

Michael Duffy

CEO, Excedo Networks AB

Michael Duffy är CEO & CISO för Excedo Networks och har arbetat inom IT- och cybersäkerhetsbranschen i mer än 30 år. Michael är en av de främsta experterna inom sitt område och hans mål är att göra internet till en säkrare plats för privatpersoner och företag. Genom Excedo har han arbetat med stora svenska myndigheter för att säkerställa att de är fullt skyddade i den ständigt föränderliga världen av cyberattacker.

Företagsadress

Jan Stenbecks torg 17 
164 40 KISTA
 SVERIGE

+46-8-50161200

Digitala premium tjänster och säkerhet