Vad är cybersäkerhetslagen?
Cybersäkerhetslagen är den svenska lagstiftning som genomför EU:s NIS2-direktiv i Sverige. Lagen ställer krav på att samhällsviktiga och andra särskilt viktiga verksamheter ska arbeta systematiskt, riskbaserat och dokumenterat med cybersäkerhet.
För många organisationer är cybersäkerhetslagen det regelverk som i praktiken avgör om ni behöver införa tydligare styrning, förbättra incidentrapportering, stärka leverantörskontroller och involvera ledningen mer aktivt i cybersäkerhetsarbetet.
Cybersäkerhetslagen i korthet
Cybersäkerhetslagen (2025:1506) och cybersäkerhetsförordningen (2025:1507) började gälla den 15 januari 2026. De ersätter den tidigare NIS-lagen från 2018 och för in NIS2:s skärpta krav i svensk rätt.
Det innebär bland annat att:
- fler verksamheter än tidigare kan omfattas
- cybersäkerhet blir en tydlig ledningsfråga
- kraven på riskhantering och säkerhetsåtgärder blir mer konkreta
- incidentrapporteringen blir mer tidsstyrd
- tillsyn och sanktionsavgifter blir skarpare
Vill du först förstå EU-nivån bakom lagen kan du läsa vår sida om NIS2.
Varför finns cybersäkerhetslagen?
Syftet med cybersäkerhetslagen är att höja cybersäkerhetsnivån i samhället. Lagen ska stärka motståndskraften i verksamheter som är viktiga för samhällets funktion, ekonomin och den digitala infrastrukturen.
Det handlar inte bara om att förebygga dataintrång. Lagen syftar också till att minska risken för driftstörningar, avbrott, leveransproblem, sabotage och andra incidenter som kan få stora konsekvenser för kunder, medborgare, leverantörskedjor och samhällsviktig service.
Kopplingen mellan NIS2 och cybersäkerhetslagen
NIS2 är ett EU-direktiv. Cybersäkerhetslagen är den svenska lag som genomför direktivet.
Det betyder att NIS2 sätter den övergripande ramen på EU-nivå, medan cybersäkerhetslagen och cybersäkerhetsförordningen anger hur reglerna gäller i Sverige. När svenska organisationer talar om att de ska "bli compliant med NIS2" är det i praktiken ofta cybersäkerhetslagen de behöver förhålla sig till.
Läs gärna också vår jämförelse av NIS vs NIS2.
Vilka omfattas av cybersäkerhetslagen?
Den som omfattas av lagen kallas verksamhetsutövare. Det gäller både offentliga och privata aktörer inom ett antal utpekade sektorer.
Cybersäkerhetslagen omfattar verksamheter inom 18 sektorer. Exempel på sektorer är:
- energi
- transporter
- bankverksamhet
- finansmarknadsinfrastruktur
- hälso- och sjukvård
- dricksvatten och avloppsvatten
- digital infrastruktur
- offentlig förvaltning
- livsmedel
- avfall
- kemikalier
- tillverkning
- post- och budtjänster
- forskning och rymdverksamhet
För privata aktörer gäller som huvudregel att medelstora och stora verksamheter inom de utpekade sektorerna omfattas, men det finns undantag där även mindre aktörer kan omfattas på grund av sin betydelse för samhället.
Det är alltid organisationen själv som behöver bedöma om den omfattas av lagen.
Läs mer i vår guide om vem som omfattas av cybersäkerhetslagen eller gör vårt cybersäkerhetstest för en första indikation.
Vad kräver cybersäkerhetslagen i praktiken?
Cybersäkerhetslagen kräver inte bara att ni "har säkerhet". Den kräver att ni arbetar strukturerat, proportionerligt och spårbart med cybersäkerhet över tid.
I praktiken innebär det att verksamheten behöver ha ett systematiskt cybersäkerhetsarbete som omfattar bland annat:
- riskanalys och riskhantering
- incidenthantering
- kontinuitets- och krishantering
- säkerhet i leveranskedjan
- säker utveckling, anskaffning och underhåll av system
- uppföljning av säkerhetsåtgärdernas effektivitet
- cyberhygien och utbildning
- kryptografi där det är relevant
- åtkomstkontroll och autentisering
- styrning, dokumentation och uppföljning
Det räcker alltså inte att ha policydokument eller tekniska lösningar på plats. Verksamheten behöver kunna visa hur arbetet bedrivs, vem som ansvarar för vad, hur brister följs upp och hur beslut dokumenteras.
Väsentliga och viktiga verksamhetsutövare
Om ni omfattas av cybersäkerhetslagen ska ni också bedöma om ni är en väsentlig eller viktig verksamhetsutövare.
Skillnaden är viktig eftersom den påverkar hur tillsynen bedrivs och vilka sanktionsnivåer som kan bli aktuella. Kraven på säkerhetsarbete är i stort sett likartade, men tillsynsmodellen och sanktionsnivåerna skiljer sig åt.
På en övergripande nivå gäller att större och mer samhällskritiska verksamheter oftare hamnar i kategorin väsentliga verksamhetsutövare.
MCF, tillsyn och ansvarsfördelning
Myndigheten för civilt försvar, MCF, har en central roll i cybersäkerhetslagen. Myndigheten har nationellt samordningsansvar, fungerar som gemensam kontaktpunkt och har också rollen som CSIRT-enhet för incidentrapportering.
Samtidigt sker tillsynen sektorsvis. Det betyder att olika tillsynsmyndigheter ansvarar för olika sektorer, beroende på vilken typ av verksamhet ni bedriver.
För verksamheter som omfattas innebär det att ni behöver förstå både:
- vilken sektor ni tillhör
- vilken tillsynsmyndighet som gäller för er
- vilken information som ska anmälas och rapporteras
- hur ni ska dokumentera ert cybersäkerhetsarbete inför tillsyn
Ledningens ansvar är tydligt reglerat
En av de viktigaste förändringarna med cybersäkerhetslagen är att cybersäkerhet uttryckligen blir en ledningsfråga.
Styrelse och högsta ledning kan inte längre behandla cybersäkerhet som en isolerad IT-fråga. Ledningen behöver kunna förstå riskbilden, besluta om prioriteringar, följa upp att säkerhetsåtgärder genomförs och säkerställa att organisationen faktiskt arbetar systematiskt och dokumenterat.
Det finns också ett uttryckligt krav på utbildning för de personer som ingår i ledningen för en verksamhetsutövare.
Läs mer i vår guide om ledningsansvar enligt cybersäkerhetslagen.
Incidentrapportering enligt cybersäkerhetslagen
Cybersäkerhetslagen ställer tydliga krav på rapportering av betydande incidenter.
Det innebär i huvudsak att verksamhetsutövare ska:
- upplysa ansvarig myndighet om en betydande incident så snart det kan ske, dock senast inom 24 timmar från det att verksamheten fått kännedom om incidenten
- lämna incidentanmälan inom rätt tidsfrist, normalt senast inom 72 timmar
- lämna slutrapport senast en månad efter incidentanmälan, eller lägesrapport om incidenten fortfarande pågår
Det här ställer höga krav på interna beslutsvägar, ansvarsfördelning, eskalering och dokumentation. Det räcker inte att tekniken fungerar — organisationen måste också kunna agera snabbt och korrekt under press.
Läs mer i vår guide om incidentrapportering enligt NIS2.
Anmälan och identifiering
Verksamhetsutövare som omfattas av cybersäkerhetslagen ska anmäla sig så snart det kan ske. Det gäller oavsett sektor.
Det betyder att arbetet inte bör börja med tekniska detaljfrågor, utan med att ni först avgör:
- om ni omfattas
- om ni är väsentlig eller viktig verksamhetsutövare
- vilken sektor och tillsynsmyndighet som gäller för er
- vem som internt äger frågan
- hur ni organiserar ert fortsatta efterlevnadsarbete
För många organisationer är detta det viktigaste första steget.
Tillsyn och sanktioner
Cybersäkerhetslagen innebär skärpt tillsyn och tydliga sanktionsmöjligheter.
För enskilda verksamhetsutövare kan sanktionsavgifterna bli mycket höga. För väsentliga verksamhetsutövare kan nivån uppgå till det högsta av 2 procent av global årsomsättning eller motsvarande 10 miljoner euro. För viktiga verksamhetsutövare är maxtaket det högsta av 1,4 procent av global årsomsättning eller motsvarande 7 miljoner euro.
Det viktigaste är dock inte sanktionsbeloppen i sig, utan att lagen kräver att verksamheten faktiskt kan visa hur kraven följs i praktiken.
Vad bör organisationer göra nu?
För organisationer som tror att de kan omfattas är ett bra nästa steg att arbeta i den här ordningen:
- Bedöm om ni omfattas av lagen.
- Avgör om ni sannolikt är väsentlig eller viktig verksamhetsutövare.
- Klargör ansvar i ledning, verksamhet, IT och säkerhetsfunktion.
- Kartlägg kritiska system, beroenden och leverantörsrisker.
- Se över incidentprocesser, rapporteringsvägar och dokumentation.
- Säkerställ att ledningen har rätt kunskap och rätt beslutsunderlag.
- Bygg ett arbetssätt som går att följa upp och visa vid tillsyn.
Relaterade sidor
Externa källor och vidare läsning
- Sveriges riksdag – Cybersäkerhetslag (2025:1506)
- Sveriges riksdag – Cybersäkerhetsförordning (2025:1507)
- Myndigheten för civilt försvar – Det här är cybersäkerhetslagen
- Myndigheten för civilt försvar – Omfattas verksamheten av cybersäkerhetslagen?
- Myndigheten för civilt försvar – Att anmäla en verksamhet enligt cybersäkerhetslagen
- EU-kommissionen – NIS2 Directive
- EUR-Lex – Direktiv (EU) 2022/2555
Vanliga frågor om cybersäkerhetslagen
Är cybersäkerhetslagen samma sak som NIS2?
Nej. NIS2 är EU-direktivet, medan cybersäkerhetslagen är den svenska lagstiftning som genomför direktivet i Sverige.
Vilka verksamheter omfattas av cybersäkerhetslagen?
Både offentliga och privata verksamheter kan omfattas, framför allt inom 18 utpekade sektorer. För privata aktörer gäller som huvudregel att medelstora och stora verksamheter omfattas, men det finns undantag där även mindre aktörer kan träffas av lagen.
Måste ledningen vara involverad?
Ja. Cybersäkerhetslagen gör cybersäkerhet till en tydlig ledningsfråga. Ledningen behöver kunna förstå risker, besluta om åtgärder, följa upp efterlevnad och ha rätt kunskap för att ta ansvar.
Måste ledningen utbildas?
För verksamhetsutövare som omfattas av lagen finns ett uttryckligt krav på utbildning för de personer som ingår i ledningen.
Hur snabbt måste incidenter rapporteras?
En betydande incident ska upplysas till ansvarig myndighet så snart det kan ske, dock senast inom 24 timmar från det att verksamheten fått kännedom om incidenten. Incidentanmälan ska normalt lämnas inom 72 timmar och slutrapport inom en månad.
Vad händer om vi inte följer lagen?
Tillsynsmyndigheter kan ingripa och besluta om åtgärder. För vissa verksamheter kan administrativa sanktionsavgifter bli mycket höga. Men den största risken är ofta inte bara sanktioner, utan att verksamheten saknar struktur, spårbarhet och beredskap när en incident eller tillsyn väl inträffar.