Den 15 januari 2026 träder Sveriges nya cybersäkerhetslag (SFS 2025:1506) i kraft. Lagen syftar till att uppnå en hög nivå av cybersäkerhet i samhället och implementerar EU:s NIS 2-direktiv i svensk rätt. Detta innebär att kraven skärps på många organisationer att förbättra sitt skydd mot cyberhot. Regeringen har betonat att även kommuner och andra verksamheter behöver ”lägga i en högre växel” i sitt cybersäkerhetsarbete - den nya lagen ska skärpa kraven på dessa aktörer. I denna artikel sammanfattar jag lagens syfte, vilka offentliga verksamheter som berörs, de centrala skyldigheterna (särskilt gällande säkerhetsåtgärder, incidentrapportering och utbildning) samt ger praktisk vägledning inför ikraftträdandet.

Den kommande svenska Cybersäkerhetslagen, som bygger på EU:s NIS2-direktiv, beskrivs ofta som ännu en tung börda på organisationernas axlar. Men jag vill utmana den bilden. För i själva verket kan denna lag bli startskottet på en ny era: där cybersäkerhet inte längre är en sidofråga, utan en strategisk möjlighet och en nyckel till konkurrenskraft.

Den 23 augusti 2025 drabbades IT-leverantören Miljödata AB av en stor cyberattack som slog ut viktiga HR-system i över 160 svenska kommuner och flera regioner. Miljödata levererar rehabiliterings- och HR-systemet Adato, använt av 80 % av Sveriges kommuner. Vid attacken stals personuppgifter för över en miljon svenska medborgare – inklusive namn, personnummer, adresser och kontaktuppgifter – kopplade till anställda i kommuner som Stockholm, Göteborg, Linköping med flera. 

Cloudflare är en nyckelkomponent i den moderna internetinfrastrukturen, men dess ”innehållsneutrala” hållning har gång på gång gjort det möjligt för nätfiske, skadlig kod och extremistiska sajter att gömma sig bakom dess nätverk. Säkerhetsforskare varnar för att cirka 10,05% av alla skräppost-/skadliga domäner använder Cloudflares namnservrar och att angripare rutinmässigt flyttar flaggade domäner bakom Cloudflare för att ”maskera hostingplattformar”.

Våra tidigare artiklar om Cloudflare har belyst hur företagets globala infrastruktur paradoxalt nog kan skydda cyberkriminella och hur Cloudflares egna processer brister när det gäller att hantera missbruk. Vi har sett att Cloudflares kostnadsfria plattformar för sidor och skript utnyttjas flitigt för nätfiske och spridning av skadeprogram, och att abuse-rapporter ofta möts av automatiska avslag i stället för snabb åtgärd. Kritiken har pekat på en ”blind fläck” hos Cloudflare: att företagets enorma räckvidd och affärsmodell ibland väger tyngre än proaktiv säkerhet.

Cloudflare står bakom var femte webbplats och lovar hastighet och säkerhet. Men samma infrastruktur döljer nu en industriell phishing-ekonomi. Under sex (6) månader analyserade vi mer än +600 falska domäner för tiquetesbaratos.com – flera av dem hostade på pages.dev eller workers.dev tillsammans med andra bedrägeridomäner som utnyttjar Cloudflares reverse-proxy DNS-tjänster. Anmälningar om missbruk möttes med samma kopierade avslag: “Kan inte bekräfta phishing.” Den här artikeln undersöker varför Cloudflares processer brister, hur denna brist göder kriminella och vad lagstiftare måste göra härnäst.

Vad har hänt sedan Excedo introducerade KYC för domännamnsregistranter i oktober 2024? Varför är artikel 28 fortfarande lika viktig?

NIS2-direktivet ställer nya krav på domännamnsregistrarer att få korrekt information om registranter för att minimera anonymiteten som möjliggör cyberbrottslighet.

Kraven i NIS2-direktivet är omfattande och behandlar många olika aspekter av digital säkerhet, inklusive e-postsäkerhet. För att organisationer ska kunna uppfylla de standarder för e-postsäkerhet som fastställs av NIS2 behöver de en korrekt konfigurerad DMARC-policy.

Anycast DNS ger den motståndskraft online som krävs enligt NIS2-direktivet. Den säkerställer att onlineresurser och -tjänster alltid är tillgängliga även när attacker inträffar genom att tillhandahålla flera routingalternativ som gör det möjligt att filtrera bort skadlig trafik.

Att implementera en DMARC-policy för mycket små organisationer är inte alltför komplicerat. I allmänhet behöver man bara se till att den implementeras korrekt för en enda domän. För större organisationer, med flera domäner och e-postsystem, är det dock mycket mer komplicerat.

NIS2-direktivet kommer att höja den digitala säkerhetsnivån i hela EU. Även om direktivet är gränsöverskridande har de enskilda länderna möjlighet att bestämma hur kraven ska implementeras lokalt och om de vill gå längre än den säkerhetsnivå som fastställs i NIS2.