Filtrera innehåll

Blogg

Från risk till efterlevnad: så navigerar du cybersäkerhetslagen (NIS2)

Cyberincidenter är fortsatt det främsta affärshotet, och från och med 2026 är NIS2 bindande lag i Sverige genom cybersäkerhetslagen. Den som inte tar kraven på allvar riskerar tillsynsåtgärder, kännbara sanktionsavgifter och förlorade affärsavtal. Här är vad ledningen behöver veta nu.

8 minuters läsning

Octavio Harén

CISO & Business Area Manager Cybersecurity
Från risk till efterlevnad: så navigerar du cybersäkerhetslagen (NIS2) – featured image

Cybersäkerhetslagen (2025:1506) trädde i kraft i Sverige den 15 januari 2026 och implementerar EU:s NIS2-direktiv i svensk rätt. Den ersätter den tidigare NIS-lagen och utvidgar både antal sektorer, tillsynens räckvidd samt ledningens ansvar.

Bakgrunden är välkänd för dem som följer riskutvecklingen. I Allianz Risk Barometer 2026 rankas cyberincidenter som den största affärsrisken för femte året i rad. Cyberincidenter rankas högre än naturkatastrofer, ekonomisk osäkerhet och politiska risker. Slutsatsen från EU är tydlig. Frivilliga säkerhetsstandarder har visat sig otillräckliga för att skydda den europeiska ekonomin, och cybersäkerhet behöver däeför regleras i bindande lag.

Cybersäkerhetslagen är en basnivå för cybersäkerhet

Syftet med cybersäkerhetslagen är att skapa en gemensam basnivå för cybersäkerhet i hela unionen med fokus på verksamheters resiliens. Det innebär att organisationer ska kunna motstå och återhämta sig från cyberangrepp och andra störningar, inte bara skydda enskilda system. Lagen kräver ett helhetsgrepp som omfattar hela verksamheten, inklusive leveranskedjan.

En av de tydligaste förändringarna är ett skärpt ledningsansvar. Ledningen har nu ett tydligt lagstadgat ansvar för att verksamhetens cybersäkerhetsåtgärder är tillräckliga. De ska godkänna riskhanteringsåtgärderna och delta i regelbunden utbildning. Vid allvarliga eller upprepade brister kan tillsynsåtgärder, sanktionsavgifter och i förlängningen domstolsbeslut om förbud att inneha ledningsfunktioner.

Vem berörs direkt eller indirekt av cybersäkerhetslagen?

Cybersäkerhetslagen omfattar 18 sektorer indelade i väsentliga (högkritiska) och viktiga (kritiska) verksamheter. Sektorerna sträcker sig från energi, transport, hälso- och sjukvård, dricks- och avloppsvatten till digital infrastruktur, offentlig förvaltning och tillverkning. Antalet svenska organisationer som omfattas bedöms uppgå till mellan 3 000 och 5 000.

Storlek avgör i normalfallet om verksamheten berörs, men med viktiga undantag. Verksamheter av särskild samhällsbetydelse omfattas oavsett storlek. Det påverkar bland annat delar av digital infrastruktur, offentlig förvaltning och andra samhällskritiska aktörer.

Indirekt påverkan är minst lika viktig att förstå. Verksamheter som inte direkt omfattas av cybersäkerhetslagen kan ändå påverkas indirekt om de ingår i leveranskedjan till en reglerad organisation. Den som inte kan visa att informationssäkerhetsarbetet håller måttet riskerar att tappa avtal och marknadsåtkomst. Dominoeffekten i leveranskedjan är en av de viktigaste praktiska konsekvenserna av lagen.

Anmälningsplikt till MCF

En första konkret skyldighet i Sverige är anmälningsplikten. Verksamhetsutövare som bedömer att de omfattas ska anmäla sin verksamhet till Myndigheten för civilt försvar (MCF), tidigare MSB. Anmälningsportalen öppnade den 2 februari 2026. Verksamheter som tidigare var anmälda under NIS-lagen behöver anmäla sig på nytt.

Vilka är kärnkraven i Cybersäkerhetslagen?

Lagen ställer krav på lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska säkerhetsåtgärder. Kraven är resultatorienterade och bygger på en så kallad all-hazards-approach. Det innebär att hela verksamheten omfattas, inte bara enskilda system eller IT-tjänster.

I praktiken behöver organisationen arbeta strukturerat med:

  • Riskanalys och säkerhetspolicyer.
  • Incidenthantering.
  • Affärskontinuitet och krishantering.
  • Säkerhet i leveranskedjan.
  • Säkerhet vid anskaffning och utveckling.
  • Effektivitetsmätning och säkerhetsrevision.
  • Kryptografi och kryptering.
  • Utbildning och medvetenhet.
  • Åtkomstkontroll och autentisering.
  • Incidentrapportering.

Teknik som multifaktorautentisering, kryptering, segmentering och kontinuerlig övervakning är centrala verktyg. Lagen föreskriver däremot inte en specifik arkitektur. Zero Trust pekas inte ut som ett uttryckligt lagkrav, men de bakomliggande principerna ligger mycket nära det lagen i praktiken kräver. Till exempel är identitetsbaserad åtkomst, kontinuerlig verifiering och minsta möjliga privilegier delar av modern Zero Trust-arkitektur som naturligt stödjer efterlevnad.

Skärpta krav på incidentrapportering

Cybersäkerhetslagen skärper tidskraven för incidentrapportering jämfört med tidigare reglering. Betydande incidenter ska rapporteras till Myndigheten för civilt försvar enligt en tydlig tidsplan.

Inom 24 timmar ska en tidig varning lämnas. Inom 72 timmar ska en mer detaljerad teknisk incidentrapport följa. Vid pågående incident ska lägesrapporter lämnas på begäran. Samt inom en månad ska en fullständig slutrapport innehållande orsaksanalys, åtgärder och konsekvenser vara inlämnad.

MCF vidarebefordrar i sin tur rapporten till ansvarig tillsynsmyndighet. Vilken myndighet det är beror på sektor. Post- och telestyrelsen för digital infrastruktur och elektronisk kommunikation, Finansinspektionen för bankverksamhet och finansmarknadsinfrastruktur, Energimyndigheten för energisektorn, Transportstyrelsen för transport, samt IVO och Socialstyrelsen för hälso- och sjukvård. För finanssektorn råder lex specialis, vilket innebär att DORA har företräde framför cybersäkerhetslagen.

Sida

Conscia MDR

Läs

Tillsyn och sanktioner

Cybersäkerhetslagen inför ett differentierat tillsynssystem. Väsentliga verksamhetsutövare omfattas av proaktiv och kontinuerlig tillsyn, oavsett om en incident inträffat. Viktiga verksamhetsutövare omfattas av primärt reaktiv tillsyn, främst vid misstanke om brister eller efter rapporterade incidenter.

Sanktionsavgifterna är kännbara. För väsentliga verksamhetsutövare kan avgiften bestämmas till det högsta av 2 procent av den totala globala omsättningen eller 10 miljoner euro. För viktiga verksamhetsutövare gäller det högsta av 1,4 procent av den globala omsättningen eller 7 miljoner euro. Och för offentliga verksamhetsutövare är taket 10 miljoner kronor.

Vid allvarliga eller upprepade brister kan tillsynsmyndigheten också ansöka om att domstol meddelar förbud för ansvariga personer att inneha ledningsfunktioner. Det är ett kraftfullt verktyg som riktar sig direkt mot enskilda individer i organisationens ledning, inte enbart mot organisationen.

Utmaningar och lösningar

Implementering och löpande efterlevnad innebär flera praktiska utmaningar. Här är fyra som återkommer oftast i samtal med svenska verksamheter.

Compliance-tsunami och regulatorisk fragmentering

Många verksamheter möter en växande ström av compliance-formulär från kunder och leverantörer. EU har visserligen ett gemensamt direktiv, men 27 nationella tolkningar skapar ett regulatoriskt lapptäcke för organisationer med verksamhet i flera länder.

Lösning. Automatisera hanteringen av formulär med hjälp av AI eller specialiserade plattformar. Använd extern säkerhetsrating från tjänster som BlackKite, Security Scorecard eller BitSight för att snabbt bedöma leverantörers säkerhetsnivå. Välj managerade tjänster som uppfyller säkerhetskraven och som stödjer er i rapporteringskedjan.

Kompetens- och resursbrist

Det råder fortsatt brist på experter inom cyber- och informationssäkerhet, särskilt för 24/7-incidenthantering. Många organisationer har inte underlag att bygga den kompetensen själva.

Lösning. Outsourca säkerhetsfunktioner till leverantörer som erbjuder Managed Detection and Response (MDR) eller SOC-tjänster. Investera i utbildning för befintlig personal och säkerställ rätt kompetens på rätt nivå.

Ledningens fokus på personligt ansvar

En tydlig risk är att ledningen fokuserar mer på att undvika personligt ansvar än på att bygga en robust säkerhetsorganisation. Det perspektivet leder ofta till compliance på papper snarare än faktiskt skydd.

Lösning. Förankra att cybersäkerhetslagen handlar om att skydda verksamheten. Den juridiska risken hanteras bäst genom faktisk skyddsförmåga. Integrera cybersäkerhet i affärsstrategin och säkerställ regelbunden utbildning för styrelse och ledning.

Leveranskedjan som svag punkt

Många organisationer saknar en strukturerad process för att bedöma säkerheten hos sina leverantörer. Samtidigt är leveranskedjesäkerhet ett uttryckligt krav i lagen.

Lösning. För in säkerhetskrav i avtal och kräv att leverantörer kan visa upp certifieringar eller extern säkerhetsbedömning. Inventera era IT-leverantörer och MSP-avtal, prioritera de kritiska och säkerställ att rapporterings- och incidentkrav speglas i kontrakten.

Från krav till motståndskraft

Cybersäkerhetslagen handlar i grunden inte om certifikat eller checklistor. Den handlar om påtaglig motståndskraft. Om att kunna visa att verksamheten klarar av att stå emot, hantera och återhämta sig från cyberincidenter. Det är ett skifte från principbaserade rekommendationer till bindande krav, och från IT-fråga till styrelsefråga.

För organisationer som redan arbetar systematiskt med ISO 27001 eller NIST CSF, kompletterat med CIS Controls som operativ playbook, finns goda förutsättningar. För andra är vägen längre, men startpunkten densamma. Genomför en nulägesanalys, identifiera de viktigaste gapen, prioritera utifrån verksamhetens risk och bygg motståndskraften stegvis.

Cybersäkerhet

Whitepaper

Cybersäkerhetslagen (NIS2) – Vision, mål & taktiska överväganden

NIS2-direktivet är idag en bindande lag i Sverige genom cybersäkerhetslagen. För många organisationer innebär det nya krav, tydligare ansvar och ökad tillsyn. Men vad betyder det i praktiken – och vad…

Octavio Harén

CISO & Business Area Manager Cybersecurity

Läs

Denna text är en summering av centrala perspektiv från vårt populära webinar NIS2: Förstå vad som är viktigt nu, kompletterad av våra experter med en svensk vinkel utifrån cybersäkerhetslagen (2025:1506).

Video

25. mars 2026

NIS2: Förstå vad som är viktigt nu – insp(…)

Läs
Om författaren

Octavio Harén

CISO & Business Area Manager Cybersecurity

Octavio Harén är affärsområdeschef för cybersäkerhet och CISO på Conscia Sverige. Han ansvarar både för Conscias interna informationssäkerhetsprogram och för att leda den strategiska satsningen på cybersäkerhet – med fokus på att utveckla lösningar och erbjudanden som möter kundernas mest komplexa säkerhetsutmaningar. Med över tio års erfarenhet inom IT-infrastruktur och cybersäkerhet har Octavio etablerat sig som en ledande expert i branschen.

Octavio Harén

CISO & Business Area Manager Cybersecurity

Senaste Blogg-inlägg

Relaterat

Lär dig mer

Cybersäkerhet

Blogg

26. maj 2026

Testservrar & verkliga konsekvenser: en incident som belyser säkerheten i testmiljöer
AI Cybersäkerhet

Event

16. juni 2026

Lunch ’n Learn: Nyttan av AI-agenter i Security Operations
AI Cybersäkerhet

Blogg

28. april 2026

Från Shadow AI till styrd innovation
AI Cybersäkerhet

Video

24. april 2026

Lunch ‘n Learn: From Shadow AI to responsible innovation
Cybersäkerhet Datacenter & Cloud Storage

Blogg

22. april 2026

Att behålla kontrollen: varför digital suveränitet är viktig för europeiska organisationer
Cybersäkerhet

Event

26. maj 2026

Lunch ‘n Learn: Resan mot Zero Trust
Cybersäkerhet

Blogg

20. april 2026

Browsersäkerhet, en kraftfull del av cyberskyddet
Cybersäkerhet

Event

4. juni 2026

Brunch & Learn: Q-dagen är troligen närmare än du tror
Cybersäkerhet Threat Intelligence

Blogg

9. april 2026

29 minuter: Det krympande fönstret mellan initial åtkomst & fullständig access

Säker kunskap: Cybersäker AI 2026
En rapport om trygg, effektiv och framtidssäker AI

Läs rapporten