Sverige inför en ny cybersäkerhetslag med målet att uppnå en hög nivå av cybersäkerhet i samhället, enligt Svensk författningssamling. Lagen utfärdades den 11 december 2025 och genomför delar av Europaparlamentets och rådets direktiv (EU) 2022/2555, det så kallade NIS 2-direktivet.
I lagens första kapitel fastslås att reglerna syftar till att skydda nätverks- och informationssystem, deras användare samt andra berörda personer från olika former av cyberhot. Den nya lagen anger också hur EU-regelverket om en gemensam hög cybersäkerhetsnivå inom unionen ska tillämpas i Sverige.
Genomför NIS 2-direktivet
Den nya cybersäkerhetslagen genomför delvis NIS 2-direktivet, som ställer krav på medlemsstaterna att stärka cybersäkerheten inom samhällsviktiga och vissa viktiga verksamheter. Direktivets fullständiga namn är Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148.
I den svenska lagen hänvisas även till Europaparlamentets och rådets förordning (EU) nr 910/2014 om elektronisk identifiering och betrodda tjänster. På så sätt knyts cybersäkerhetsarbetet till befintliga regelverk för elektronisk identitet och digitala tjänster.
Centrala begrepp i lagen definieras
För att skapa tydlighet i tillämpningen innehåller lagen definitioner av flera centrala uttryck. Med ”allmänt elektroniskt kommunikationsnät” avses samma betydelse som i lagen om elektronisk kommunikation. Begreppet ”anknutet företag” definieras med hänvisning till Europeiska kommissionens rekommendation om mikroföretag samt små och medelstora företag från år 2003.
Vidare definieras ”betrodd tjänst” i enlighet med förordningen om elektronisk identifiering. Lagen anger också vad som avses med ”cyberhot” och ”cybersäkerhet”. Ett cyberhot beskrivs som en potentiell omständighet, händelse eller handling som kan skada, störa eller på annat negativt sätt påverka nätverks- och informationssystem, deras användare eller andra personer.
Cybersäkerhet definieras som all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra berörda personer mot cyberhot. Genom dessa definitioner lägger lagen en grund för kommande bestämmelser om ansvar, krav och åtgärder för aktörer som omfattas av det nya regelverket.
https://svenskforfattningssamling.se
