Mimmo Wiestål Fischetti
En ny cybersäkerhetslag börjar gälla i Sverige i dag. Kraven skärps kraftigt för företag, kommuner och myndigheter i 18 samhällsviktiga sektorer – och alla är inte redo. ”Det kan bli lite kaos”, varnar en IT-chef.
En ny start – och nya regler
Årsskiftet innebär som vanligt nya lagar och regler. Under 2026 väntar flera stora förändringar, bland annat EU:s lönetransparensdirektiv som träder i kraft senare i sommar.
Men redan nu i januari börjar en av de mest omfattande reformerna på cybersäkerhetsområdet att gälla. Den nya cybersäkerhetslagen trädde i kraft i dag, den 15 januari.
Det skriver Nyheter24.
Vad innebär cybersäkerhetslagen?
Bakgrunden är EU-direktivet NIS2, som antogs 2022 och ersätter det tidigare NIS-direktivet. Syftet är att höja den gemensamma cybersäkerheten inom hela EU.
För att genomföra direktivet i svensk lagstiftning lade regeringen fram en proposition hösten 2025. I december utfärdades både en ny cybersäkerhetslag och en ny cybersäkerhetsförordning.
I praktiken innebär lagen tydligare och betydligt hårdare krav på hur organisationer ska skydda sina IT-system och hantera incidenter.
– För att Sveriges cybersäkerhet ska kunna stärkas på bred front behöver många verksamhetsutövare lägga i en högre växel, sa Carl-Oskar Bohlin (M), minister för civilt försvar, i ett pressmeddelande från regeringen.
18 sektorer omfattas
Totalt omfattas 18 sektorer av den nya lagen, enligt Myndigheten för civilt försvar (MCF). Bland dem finns bland annat:
- Energi
- Transporter
- Bank- och finansmarknadsinfrastruktur
- Hälso- och sjukvård
- Dricksvatten och avloppsvatten
- Digital infrastruktur och IKT-tjänster
- Offentlig förvaltning
- Livsmedelsproduktion
- Tillverkning
- Forskning
Verksamheter inom dessa områden måste själva ta reda på om de omfattas av lagen och i så fall anmäla sig till ansvarig myndighet.
Nya krav på säkerhet och rapportering
De organisationer som omfattas ska bedriva ett systematiskt informationssäkerhetsarbete, införa lämpliga skyddsåtgärder och se till att både ledning och personal får utbildning, uppger Myndigheten för civilt försvar.
En central del är också kravet på incidentrapportering. Allvarliga IT-incidenter – eller sådana som riskerar att orsaka större störningar – ska rapporteras till tillsynsmyndigheterna.
Vem omfattas – och vem gör det inte?
Förutom att verka inom någon av de 18 sektorerna måste organisationen klassas som antingen väsentlig eller viktig verksamhetsutövare.
Enligt Energimyndigheten räknas en verksamhet som väsentlig om den tillhör en högkritisk sektor och antingen har fler än 250 anställda eller en omsättning över 50 miljoner euro.
Viktiga verksamhetsutövare är medelstora företag i samma sektorer, till exempel med fler än 50 anställda eller en omsättning över 10 miljoner euro per år.
Fler kontroller – och högre böter
Tillsynen skärps också. Flera myndigheter, bland annat Transportstyrelsen och Post- och telestyrelsen, får ansvar för att kontrollera att lagen följs. Även nya tillsynsmyndigheter tillkommer.
Med den nya lagen följer också möjligheten att utfärda sanktionsavgifter som är betydligt högre än tidigare, jämfört med det gamla NIS-direktivet.
”Kan bli lite kaos”
När GDPR infördes 2018 var många organisationer dåligt förberedda. Samma sak riskerar att hända nu, enligt Thomas Nilsson, IT-chef på den kommunala IT-driftorganisationen EttIT.
– Det är inte många utanför IT-avdelningen som känner till att lagen träder i kraft den 15 januari. Det kan komma som en chock: ”Oj, måste vi göra allt detta?”, säger han till nyhetssajten Voister.
Privatpersoner påverkas i liten utsträckning – men för företag och myndigheter kan de närmaste månaderna bli intensiva.
– Ja, det kan bli lite kaos i januari. Det är mycket jobb att göra, säger Thomas Nilsson.
