Vem omfattas av cybersäkerhetslagen?
Cybersäkerhetslagen genomför NIS2 i svensk rätt. För att veta om er organisation omfattas behöver ni oftast tre saker: vilken typ av verksamhet ni bedriver (sektor), om storleksregler för privata aktörer är uppfyllda, och hur ni klassas som väsentlig eller viktig verksamhet. Den här sidan ger en strukturerad översikt – slutlig bedömning kan ändå kräva juridisk rådgivning eller dialog med tillsynsmyndighet.
Vill ni förstå själva regelverket i stort rekommenderar vi guiden om NIS2 och cybersäkerhetslagen och vad cybersäkerhetslagen innebär.
Offentlig sektor och privata aktörer
Regleringen skiljer i praktiken mellan offentliga verksamhetsutövare och privata. För privata gäller ofta kombinationen sektor + storlek, medan många offentliga verksamheter omfattas utifrån sin roll i samhället snarare än enbart omsättning. Exakta undantag och preciseringar finns i cybersäkerhetslagen och tillhörande föreskrifter.
MCF publicerar vägledning för berörda verksamheter – bra startpunkt innan ni tolkar gränser själva: Cybersäkerhetslagen för berörda verksamheter (MCF).
De 18 sektorerna i korthet
Lagen nämner verksamhetsutövare inom en uppsättning sektorer som EU och Sverige bedömt som särskilt beroende av fungerande nätverk och informationssystem. Det handlar bland annat om energi, transport, hälso- och sjukvård, digital infrastruktur, offentlig förvaltning, livsmedel, vatten och avlopp, kemikalier, rymd och forskning – inte en komplett lista här, utan en orientering.
- Energi, transport, vatten – ofta direkt samhällsviktiga tjänster med höga tillgänglighetskrav.
- Hälso- och sjukvård – känsliga personuppgifter och patientsäkerhet förstärker behovet av strukturerat säkerhetsarbete.
- Digital infrastruktur och IT-tjänster – leverantörer och operatörer kan omfattas beroende på roll och storlek; leveranskedjor påverkar många andra sektorer.
- Offentlig förvaltning – stat, regioner och kommuner kan omfattas utifrån verksamhetens art.
Ni behöver alltid ställa frågan: vilken verksamhet utför vi faktiskt, inte bara vilket bolagsnamn som står på fakturan. Dotterbolag, koncerninterna tjänster och utkontraktering kan påverka bedömningen.
Storlekskrav för privata aktörer
Huvudregeln för många privata organisationer är att de omfattas om de uppfyller viss storlek mätt i antal anställda och/eller omsättning. I praktiken innebär det att mindre organisationer ibland faller utanför, medan större aktörer i en berörd sektor i regel omfattas.
Viktigt: även om ni är under en storleksgräns kan särskilda omständigheter göra verksamheten kritisk eller särskilt beroende – vissa undantag och preciseringar kan flytta gränsen. Lita inte på en enkel tumregel utan dokumentera er bedömning.
Väsentlig eller viktig verksamhet
Omfattade verksamheter ska klassas som antingen väsentlig eller viktig. Klassningen påverkar bland annat hur strikt tillsynen kan vara, vilka sanktionsnivåer som är aktuella och hur snabbt myndigheter förväntar sig att ni kan visa efterlevnad.
Föreskrifter och vägledning från MCF och sektorstillsyn utvecklar indelningen. Arbetet bör ligga nära ledningen: det är sällan en ren IT-fråga, eftersom klassning hänger ihop med verksamhetsrisk och samhällsnytta.
Läs mer om skillnader mot tidigare reglering i jämförelsen mellan NIS och NIS2.
Tillsynsmyndighet och nästa steg
Vilken myndighet som utövar tillsyn beror på sektor. MCF har det nationella samordningsansvaret och driver anmälningsfunktioner, men ersätter inte sektorsspecifik tillsyn. Om ni är osäkra: kontakta MCF eller branschens tillsynsmyndighet tidigt.
När omfattning är klar väntar praktiska byggstenar: riskanalys, säkerhetsåtgärder, incidentrutiner och ledningsengagemang – se översikten av NIS2-krav, incidentrapportering och ledningsansvar.
Sammanfattning
- Omfattning styrs av sektor, storlek (för privata) och särskilda undantag.
- Klassning som väsentlig eller viktig styr tillsyn och kravnivå i praktiken.
- Dokumentera bedömningen och uppdatera den när verksamhet eller leverantörskedja förändras.