- Trädde i kraft i Sverige 15 januari 2026 och bygger på EU:s NIS2-direktiv.
- Syftet är att stärka cybersäkerheten i samhällsviktiga verksamheter och minska sårbarheten i digital infrastruktur inom EU.
- Lagen omfattar nu sektorer som energi, transport, finans, hälso- och sjukvård, digital infrastruktur och IT-tjänster, offentlig förvaltning och vissa större privata företag.
- Innebär skärpta krav på bland annat att arbeta systematiskt och riskbaserat med cybersäkerhet, införa tekniska och organisatoriska säkerhetsåtgärder, ha rutiner för att upptäcka och hantera incidenter, rapportera allvarliga cyberincidenter inom fastställda
Sedan den 15 januari 2026 gäller den nya cybersäkerhetslagen i Sverige. Lagen genomför EU:s NIS2-direktiv och innebär tydligt skärpta krav på hur organisationer arbetar med cybersäkerhet, riskhantering och incidentrapportering. Samtidigt omfattas fler verksamheter än tidigare av regelverket, både i offentlig sektor och näringsliv. För många organisationer innebär det att cybersäkerhetsfrågan nu behöver lyftas högre upp i ledningen.
Vi ringer upp Andreas Dahlqvist, chefsjurist och säkerhetsskyddschef på svenska cybersäkerhetsbolaget Certezza. Han berättar vad företag och organisationer behöver göra nu, vilka de vanligaste säkerhetsbristerna är och sist men inte minst – vilken säkerhetsåtgärd han själv aldrig skulle vilja vara utan i sin egen vardag!
Förklara vad lagen innebär och vad den betyder i praktiken för företag och organisationer!
– Den nya lagen ersätter lagen om informationssäkerhet för samhällsviktiga och digitala tjänster som började gälla för snart åtta år sedan och som byggde på det första NIS-direktivet.
Den nya lagen omfattar fler verksamhetsutövare, ställer högre krav och konsekvenserna vid bristande efterlevnad kan bli högre. Den nya lagen tydliggör också att ledningens ansvar för verksamheter som omfattas av kraven.
– Bland annat ställs krav på att ledningen vara utbildad, känna till och följa upp cybersäkerheten i organisationen.
Vad är anledningen till den utökade lagen?
– EU-kommissionen lyfte bland annat den ökade digitaliseringen och det ökade hotlandskapet som drivande faktorer för att förstärka regelverket. Utvärderingen av det första NIS-direktivet visade också på för låg motståndskraft mot cyberincidenter och bristande harmonisering inom EU. I vissa medlemsstater omfattades inte ens de största sjukhusen av regelverket, medan i andra var i princip alla sjukhus skyldiga att följa det.
Skiljer sig kraven åt mellan offentlig sektor och näringsliv?
– De övergripande kraven ser likadana ut men vissa aktörer måste tillämpa särskilda regler som EU-kommissionen beslutat i genomförandeförordning. Dessa regler gäller till exempel inte för den offentliga sektorn.
Vad krävs för att uppfylla de nya kraven?
– Det beror på vilka åtgärder som redan finns på plats och vad som återstår. Vi rekommenderar att först analysera om man omfattas av lagen. Ibland är det självklart, men för vissa verksamheter mer komplext. Därefter bör man göra en nuläges- och gapanalys för att förstå vad som behöver göras och vad som ska prioriteras.
”Därefter bör man göra en nuläges- och gapanalys för att förstå vad som behöver göras och vad som ska prioriteras.”
Här kan det vara klokt att ta in en oberoende aktör, eftersom den egna organisationen ibland underskattar utmaningar eller prioriterar fel åtgärder. Kraven är både organisatoriska och tekniska, med höga krav på dokumentation. Utan ett fungerande ledningssystem blir det arbetet svårt.
Ledning och styrelser får ett större ansvar. Vad innebär det?
– Det nya regelverket ställer mycket större krav på ledningar och personer som ingår i ledningen måste genomgå en utbildning om säkerhetsåtgärder. De måste också godkänna säkerhetsåtgärder och övervaka genomförandet av dem. De ska besluta om mål, inriktning och resurser, fastställa mandat och se till att organisationen har tillräcklig kompetens och tillräckliga resurser för att nå den säkerhetsnivå som krävs.
Därtill ska de även se till att fastställa strategier för:
- riskanalys
- nätverks- och informationssystemens säkerhet
- att bedöma effektivitet i säkerhetsåtgärder
- användning av kryptografi och vid behov kryptering
- åtkomstkontroll och tillgångsförvaltning
När ni granskar organisationers cybersäkerhet – vilka är de vanligaste bristerna?
– Det beror lite på men brister i grundläggande cyberhygien som autentisering och behörigheter, bristfälliga lösenord, frånvaro av flerfaktorsautentisering, undermålig behörighetshantering är vanliga.
Hur tror du cybersäkerhetsarbetet kommer förändras?
– AI kommer att spela en allt större roll, både för angripare och försvar. Samtidigt blir enklare och billigare XDR-lösningar vanligare. Kvantdatorer kommer att kräva nya säkra krypteringslösningar och sannolikt omfattande ombyggnad av befintliga system.
Vi kan också förvänta oss att EU går vidare med en ny NIS-förordning, eftersom implementeringen av NIS2 sannolikt kommer att skilja sig åt mellan medlemsländerna.
Och avslutningsvis – du som dagligen arbetar med säkerhet – vilken säkerhetsåtgärd skulle du personligen inte vilja vara utan i din vardag?
– Fungerande säkerhetskopiering! Och med fungerande menar jag att verifierad återläsning från säkerhetskopia. Det är den bästa försäkringen mot förlust av informationstillgångar och utpressningsattacker. Personligen håller jag just nu på med att se över säkerhetskopieringslösning för mina privata digitala tillgångar.
