Nya cybersäkerhetslagen börjar gälla – så påverkas företagen
Cyberattacker och intrång drabbar allt fler företag. Carl Oskar Bohlin, minister för civilt försvar, underströk på Folk och Försvars rikskonferens att totalförsvaret angår alla. Det kan endast vara framgångsrikt om företag bidrar och förstår vikten av åtgärder. Nu träder en ny lagstiftning i kraft som preciserar krav på cybersäkerhetsåtgärder.
Cybersäkerhetslagen (2025:1506) och cybersäkerhetsförordningen (2025:1507) gäller från den 15 januari 2026 och implementerar NIS2-direktivet i svensk rätt. Lagen syftar till att höja nivån av cybersäkerhet i samhället. Den ersätter NIS-lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster samt medför ändringar av lagen (2022:482) om elektronisk kommunikation (LEK).
Syftet med reglerna är att stärka Sveriges motståndskraft mot cyberhot på digital infrastruktur och nätverk. Lagen kommer att gälla för både offentliga och privata aktörer inom 18 samhällsviktiga sektorer, inklusive energi, transport, hälsovård, digital infrastruktur, viss tillverkning, livsmedel, avfallshantering och kommuner, beroende på bland annat storlek.
Storleksbedömningen görs utifrån antalet anställda eller omsättning. Små- och mikroföretag omfattas som huvudregel inte, men det finns undantag om de anses ha en särskild betydelse för samhället.
Anmälan sker via en ny portal
De som omfattas får krav på att införa systematiskt cybersäkerhetsarbete med dokumentation av tekniska och organisatoriska säkerhetsåtgärder, riskanalyser och leverantörskontroller. De ska också rapportera betydande cyberincidenter till ansvarig tillsynsmyndighet. Nya lagen gör cybersäkerhet till en ledningsfråga där ledningen ska förstå risker och övervaka det systematiska säkerhetsarbetet.
Verksamhetsutövare sorteras upp som väsentliga eller viktiga. Hur uppdelningen görs preciseras i föreskrift MCFFS 2026:1 om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare.
Vilken tillsynsmyndighet som gäller för olika sektorer preciseras i cybersäkerhetsförordningen och föreskrift från myndigheten för civilt försvar, MCF. Varje juridisk person som omfattas av cybersäkerhetslagen ska anmäla sin verksamhet till behörig myndighet, se föreskrift om anmälan och identifiering MCFFS 2026:1. Anmälan sker via en ny portal på MCF:s hemsida som öppnar den 2 februari 2026 och anmälan ska ske utan onödigt dröjsmål. I anmälningsformuläret ska uppgifter om bland annat sektor, klassning som väsentlig eller viktig verksamhetsutövare och kontaktperson uppges.
Vägledning från MCF väntas i slutet av januari.
