Blogginlägg

Cybersäkerhetslagen – fem saker att hålla ögonen på

skyscrapers-and-blue-sky

Cybersäkerhetslagen trädde i kraft den 15 januari 2026. Samtidigt förändrades förutsättningarna för att arbeta med cybersäkerhet. Det handlar inte bara om skärpta krav, utan om tydligare ansvar och nya arbetssätt. Cybersäkerhet är nu ett ansvar för hela organisationen.


Cybersäkerhetslagen är Sveriges implementering av EU-direktivet NIS2. Den nya lagen ersätter inte bara den tidigare NIS-regleringen, utan innebär också ett ordentligt skifte inom cybersäkerhet. Från att många gånger ha varit en teknisk fråga råder det inte längre någon tvekan om var fokus ligger. I centrum för den nya lagen står styrning, ansvar och systematik – för hela organisationen.

Cybersäkerhetslagen i korthet

  • Cybersäkerhetslagen skärper kraven på styrning, riskhantering och uppföljning av cybersäkerhetsarbetet.
  • Fokus ligger på organisationens förmåga över tid, inte enstaka punktinsatser.
  • Ledning och styrelse behöver kunna förstå riskbilden, prioritera och följa upp arbetet.
  • Kraven omfattar även leverantörskedjan och hur ni hanterar tredjepartsrisker.
  • Det behöver gå att visa hur arbetet bedrivs: vad som är beslutat, gjort, följt upp och förbättrat.

Vad är cybersäkerhetslagen – och varför spelar den roll?

Syftet med cybersäkerhetslagen är att höja den övergripande nivån på cybersäkerhet inom samhällsviktiga och verksamhetskritiska verksamheter. Som utgångspunkt gäller lagen för organisationer som når upp till vissa storlekskriterier i form av antal anställda och omsättning. Bedömningen påverkas även av vilken typ av verksamhet som bedrivs.

Cybersäkerhetslagen omfattar organisationer inom flera sektorer, bland annat energi, transport, hälso- och sjukvård, digital infrastruktur och offentlig förvaltning. Även privata aktörer inom dessa områden berörs. Det är också viktigt att notera att organisationer som inte direkt omfattas av lagen kan påverkas indirekt, exempelvis som leverantörer eller samarbetspartners till verksamheter som omfattas av kraven.

Cybersäkerhetslagen ställer skärpta krav på dokumentation, uppföljning och rapportering. Det räcker inte längre att ha enstaka tekniska skydd eller policydokument på plats. Verksamheter behöver ha förmågan att arbeta strukturerat och långsiktigt med cybersäkerhet i hela organisationen. Det sistnämnda är något som vi lyfter fram i artikeln NIS2 – från direktiv till handling.

Ansvaret för vägledning, samordning och utveckling av föreskrifter enligt cybersäkerhetslagen ligger hos Myndigheten för civilt försvar (MCF). När det gäller tillsyn ansvarar Post- och telestyrelsen (PTS) för tillsyn inom bland annat elektronisk kommunikation och digital infrastruktur.

Vilka områden berör cybersäkerhetslagen?

Cybersäkerhetslagen kan upplevas omfattande, men den går ofta att förstå genom att se vilka områden den driver i praktiken:

  • Styrning och ansvar: roller, mandat och ledningsuppföljning
  • Riskhantering och prioritering: återkommande riskarbete och tydliga beslut
  • Incidentberedskap: förmåga att hantera och rapportera incidenter
  • Kontroller och uppföljning: kontroller som går att testa, följa upp och förbättra
  • Leverantörskedja: kravställning och uppföljning av leverantörer/underleverantörer
  • Dokumentation och spårbarhet: visa vad som är beslutat, gjort och uppföljt över tid

Fem pelare i cybersäkerhetslagen

För att förstå vad cybersäkerhetslagen innebär i praktiken är det hjälpsamt att bryta ned den i fem bärande pelare. De fångar kärnan i hur lagen förändrar synen på cybersäkerhet.

1. Cybersäkerhet är en verksamhetsfråga, inte en IT-fråga

En av de tydligaste förändringarna i cybersäkerhetslagen är att cybersäkerhet kopplas till verksamhetens förmåga att fungera och inte bara till tekniska system. Fokus ligger på kontinuitet, leveransförmåga och förtroende.

Det innebär att fler funktioner än IT berörs. Cybersäkerhet behöver vägas in i ordinarie styrning och prioriteringar. Risker behöver dessutom kopplas till verksamhetskritiska processer, inte enbart till teknik. För många organisationer kräver det ett nytt sätt att prata om cybersäkerhet internt. På ett sätt som är begripligt och relevant för hela verksamheten.

2. Ledningens och styrelsens ansvar för cybersäkerhet enligt lag

I cybersäkerhetslagen ligger ansvaret ytterst hos organisationens ledning. Även om operativa uppgifter kan delegeras, så kan ansvaret inte avsägas.

I praktiken innebär det att ledning och styrelse förväntas ha en grundläggande förståelse för organisationens cyberrisker. Ledningen behöver kunna fatta informerade beslut om prioriteringar och ha resurserna och förmågan att följa upp arbetet över tid.

3. Proaktivt riskarbete enligt cybersäkerhetslagen

I cybersäkerhetslagen hänger riskhantering och incidenthantering tätt ihop. Det är inget som ska ske ad hoc, utan förberedas och byggas in i ett återkommande arbetssätt. Lagen ställer krav på systematiskt riskarbete med etablerade processer för incidenthantering – och med tydlig rapportering, dokumentation och uppföljning.

Att arbeta proaktivt handlar om att inte bara kunna reagera när något händer, utan att kunna visa hur organisationen arbetar före, under och efter en incident. Det innefattar också att kunna redovisa hur lärdomar tas till vara och leder till förbättringar. 

I artikeln Smarta prioriteringar för att lyckas med NIS2 skriver vi mer om de främsta utmaningarna, behovet av att prioritera trots begränsade resurser och att arbeta smart. Ett annat tips är att ta del av vår roadmap för överlevnad i artikeln Gör din organisation redo för NIS2 – en praktisk roadmap.

4. Leverantörsperspektiv – centralt för cybersäkerhetslagen

Cybersäkerhetslagen utgår från att organisationer är en del av större ekosystem. Leverantörsperspektivet är en central del av det nya regelverket, men i ekosystemet ingår också till exempel IT-partners och andra externa aktörer.

I klartext innebär det att tredjepartsrisker behöver identifieras och följas upp, beroenden blir en del av den samlade riskbilden och att krav och förväntningar på leverantörer behöver vara tydliga.

5. Kontinuitet och långsiktighet istället för punktinsatser

Kanske den viktigaste principen i cybersäkerhetslagen är att efterlevnad inte bedöms vid ett enskilt tillfälle. Det är organisationens förmåga över tid som står i fokus.

Det innebär att kontinuitet väger tyngre än enskilda åtgärder. Struktur, spårbarhet och uppföljning blir avgörande - och dokumentation fungerar som ett stöd för styrning, inte som ett självändamål.

Om du ser lagen som en checklista riskerar du att missa poängen. Istället handlar det om ett långsiktigt arbetssätt. Bara så kan du stå rustad för tillsyn och händelser som inträffar. Här kan du ladda ner vår egen checklista för NIS2.

Vad behöver man kunna visa upp vid tillsyn? 

Även om detaljer varierar mellan organisationer handlar tillsyn ofta om samma sak: spårbarhet och förmåga över tid.

Det betyder att det behöver gå att visa:
  • Vilka risker ni har identifierat och hur de prioriteras
  • Vilka kontroller och åtgärder som finns, och vem som ansvarar
  • Hur ni följer upp status, avvikelser och förbättringar
  • Hur incidenter hanteras och hur lärdomar omsätts i åtgärder
  • Hur leverantörer kravställs och följs upp

Cybersäkerhet med ordentlig motståndskraft

De fem pelare som vi har gått igenom visar att cybersäkerhetslagen inte är tänkt som ett tekniskt regelverk för specialister. Den bör ses som ett ramverk för att stärka organisationers motståndskraft i en allt mer digital och sårbar omvärld.

Lagen premierar tydligt ansvar, systematiskt arbete och förmågan att följa upp och förbättra. Det handlar mindre om perfektion och mer om överblick och beslutsförmåga.

Vanliga fallgropar med cybersäkerhetslagen

En vanlig fallgrop att cybersäkerhet fortsatt behandlas som en isolerad IT-fråga, snarare än som en del av verksamhetens övergripande styrning. Det leder ofta till att risker identifieras tekniskt, men inte vägs in i strategiska prioriteringar och beslut.

Rent konkret kan det handla om att:

  • Ansvaret för cybersäkerhet hamnar för långt ned i organisationen.
  • Ledningens roll begränsas till godkännande snarare än aktiv uppföljning.
  • Arbetet fokuserar på att ta fram dokument som inte implementeras i praktiken.
  • Riskhantering, incidenthantering och leverantörsstyrning drivs som separata spår.

När arbetet bedrivs på detta sätt blir resultatet ofta punktinsatser som saknar sammanhang och långsiktig effekt – i strid med lagens intentioner.

Konsekvenserna när cybersäkerheten brister

När cybersäkerheten brister finns en tydlig cost of inaction. Konsekvenserna är sällan begränsade till tekniska system. Incidenter påverkar ofta verksamhetens förmåga att fungera och kan snabbt få följdeffekter i flera led. För många organisationer innebär detta inte bara driftstörningar, utan även ökade kostnader, press på personal och ett långvarigt återställningsarbete.

Bristande cybersäkerhet kan leda till:

  • Avbrott i samhällsviktiga eller verksamhetskritiska tjänster.
  • Förlorat förtroende hos kunder, partners och intressenter.
  • Ökade kostnader för återställning och åtgärder.
  • Tillsynsåtgärder, krav på förbättringar och i vissa fall sanktioner.

När strukturer för riskhantering, incidentrapportering och uppföljning saknas blir det också svårt att i efterhand visa att organisationen haft kontroll över situationen. Det understryker vikten av att kunna visa hur cybersäkerhetsarbetet hanteras.

Cybersäkerhetslagen som startpunkt

Cybersäkerhetslagen är verklighet. För vissa organisationer upplevs den som ännu ett regelverk att förhålla sig till. För andra blir den en katalysator för tydligare styrning, bättre samordning och ökad robusthet. Det bästa cybersäkerhetsarbetet är både långsiktigt och strukturerat - och möjligt att följa upp.

Ta nästa steg - se hur du kan samla och effektivisera arbetet med cybersäkerhetslagen.

Vanliga frågor om cybersäkerhetslagen

Gäller cybersäkerhetslagen (NIS2) vår organisation?

Det beror på vilken verksamhet ni bedriver, vilken sektor ni tillhör och i vissa fall storlek/omsättning. Även organisationer som inte omfattas direkt kan påverkas indirekt via kund- och leverantörskrav.

Läs mer: Vad är NIS2 och vilka organisationer omfattas? 

Vad menas med tillsyn – och vad behöver vi kunna visa upp?

Tillsyn innebär att myndighet kan granska hur ni uppfyller kraven, och att ni behöver kunna visa spårbarhet i arbetet: beslut, ansvar, risker, åtgärder och uppföljning över tid. Det är ofta enklare att klara detta om ni har struktur för dokumentation, uppföljning och rapportering.

Var börjar man om man vill komma igång?

Börja med att klargöra om ni omfattas, gör en nulägesbild (risker och gap) och ta fram en prioriterad plan. Målet är att skapa ett arbetssätt som går att följa upp – inte bara enstaka punktinsatser.

Läs mer: NIS2 – en praktisk roadmap och Smarta prioriteringar för att lyckas med NIS2