De viktigaste nyheterna inom informationssäkerhet 2025/2026

man-sitting-by-his-computer-working
Skriven av
Per Gustavsson
Lästid
7 min

Cybersäkerhet blir allt mer affärskritisk – inte bara för att följa regler, utan för att bygga förtroende och motståndskraft. Under 2025 och 2026 skärps kraven med nya EU-lagar, tekniska standarder och ökad tillsyn. I den här artikeln får du som CISO en uppdaterad översikt över de viktigaste förändringarna – och vad som krävs för att navigera rätt i ett allt mer komplext säkerhetslandskap. 

1. NIS2 införlivas i svensk lag

Under sommaren 2025 införlivas NIS2-direktivet i svensk lagstiftning. En av de viktigaste förändringarna är att NIS2 utvidgar omfånget av sektorer som omfattas av direktivet, vilket innebär att fler organisationer är skyldiga att vidta åtgärder för att öka sin cybersäkerhet. De centrala förändringar i NIS2 är:

  • Strängare krav och påföljder för både privata företag och digitala tjänsteleverantörer.  
  • Sanktionsnivåer upp till 10 milj. euro eller 2 % av omsättning
  • Personligt ansvar för styrelse och ledning vid bristande efterlevnad
Samtidigt träder även CER-direktivet (Critical Entities Resilience) i kraft. Det ställer krav på beredskap mot bredare hot som naturkatastrofer, olyckor och cyberattacker. Det omfattar bland annat regelbundna riskbedömningar, beredskapsplaner och skydd av samhällskritiska funktioner.  
 
Inför 2026 förväntas tillsynen enligt både NIS2 och CER skärpas, vilket innebär ökad risk för revisioner, kontroller och sanktioner för organisationer som inte lever upp till kraven. De som redan nu investerar i ett strukturerat säkerhetsarbete lägger grunden för både efterlevnad och långsiktigt konkurrenskraft.  

2. Nya viktiga tekniska standarder inom DORA

DORA-förordningen trädde i kraft i januari 2025 och syftar till att stärka den digitala motståndskraften hos finansiella aktörer inom EU. För att konkretisera kraven har EU:s tillsynsmyndigheter tagit fram tekniska standarder som väntas börja tillämpas under 2025 och 2026. Dessa fokuserar på fyra viktiga områden: 

  • IKT-riskhanteringsramverk: Ett ramverk som identifierar ytterligare element relaterade till IKT-riskhantering för att harmonisera verktyg, metoder, processer och riktlinjer.
  • Klassificering av IKT-relaterade incidenter: Specificerar kriterierna för klassificering av större IKT-relaterade incidenter, inklusive gränsvärden för när en incident anses vara betydande, samt hur man bedömer allvarliga cyberhot.
  • Policy för IKT-tjänster som utförs av leverantörer: Beskriver de delar av styrningsstrukturen, riskhanteringen och kontrollsystemet som finansiella företag bör implementera när de använder sig av tredjepartstjänster inom IT.
  • Mallar för register över information: Fastställer mallar som finansiella företag ska underhålla och uppdatera kopplade till avtal med leverantörer, något som spelar avgörande roll i deras ramverk för hantering av tredjepartsrisker. 

”Dessa tekniska standarder är bra eftersom de inte ger ett alltför stort tolkningsutrymme kring ramverket. Det gör det enklare att till exempel köpa in säkerhetssystem, utbilda personal och kravställa underleverantörer på rätt sätt. Det sistnämnda är särskilt intressant för CISOS att hålla ett öga på, för att få en större transparens kring t.ex. due diligence och säkerhetskrav i leverantörsavtal.” - Per Gustavsson 

Per_Gustavsson_profilbild_Stratsys
Per Gustavsson, CISO på Stratsys

3. NIST i svensk version 

Under 2025 fortsätter arbetet med att anpassa det amerikanska NIST Cybersecurity Framework till svenska förhållanden. Initiativet, som drivs av SIS (Svenska institutet för standarder), svarar på en ökande efterfrågan på cybersäkerhetsstöd i takt med den växande hotbilden i samhället. Den svenska NIST-standarden kommer att inkludera handböcker och tekniska specifikationer som ger praktiskt vägledning och konkreta verktyg för att implementera effektiva säkerhetsåtgärder.  

"NIST CSF blir en best practice för den svenska marknaden, och vägledningen kommer ge tydliga exempel på hur man kan använda det här ramverket i sin organisation. Det kommer underlätta ens fortsatta arbete med cybersäkerhet och säkerställa att det skydd man har är rätt dimensionerat i alla delar av NIST CSF. Samtidigt blir det enklare att vara compliant med nuvarande och kommande lagstiftning."
- Per Gustavsson, CISO på Stratsys 

4. AI Act börjar gälla - ny era för reglerad AI-användning

EU:s AI Act är nu delvis i kraft och får full tillämpning från 2026. Regelverket markerar en ny era för hur artificiell intelligens får användas inom hela EU och omfattar aktörer i hela kedjan - från tillverkare till installatörer och distributörer. AI-system delas in i fyra risknivåer som styr hur olika system för AI får användas – och förbjuder vissa delar helt och hållet. Specifika krav ställs på de system som har hög risk, exempelvis de som används inom utbildning, brottsbekämpning och infrastruktur. 

För svenska företag blir det nödvändigt att genomföra riskbedömningar och åtgärder för att uppfylla kraven. Företag bör inleda sitt arbete med att inventera hur AI används i verksamheten och bedöma risknivån för varje system. Sanktionerna vid överträdelser kan uppgå till sju procent av den globala årsomsättningen – vilket gör det affärskritiskt att agera i tid. 

“Användningen av AI bör ske i flera steg innan man implementerar det fullt i organisationen – det måste börja litet och kontrollerat, och testas på massa olika sätt. Framför allt är det viktigt att misslyckas snabbt. Målet är att komma fram till hur man kan använda AI på ett sätt som stöttar verksamheten och kunderna. Dagens utmaningar med AI är rent av desamma tre saker som redan för 30 år sedan – etik, datakvalitet och determinism. Är det okej att använda tekniken på avsett sätt? Är datan som används tillräckligt bra? Och hur säkerställer man att samma fråga får likadant svar över tid?” – Per Gustavsson 

5. Skärpta krav på cybersäkerhet i hela leverantörskedjan

Med NIS2 och DORA kommer också nya, särskilda krav på att säkerställa god cybersäkerhet i leverantörskedjan – på ett betydligt mer avgörande sätt än tidigare. En organisation är inte längre ansvarig bara för sin egen cybersäkerhet, utan måste säkerställa att också leverantörer och partners uppfyller vissa säkerhetsstandarder. Närmare hälften av alla it-incidenter inrapporterade av myndigheter under 2023 skedde hos en leverantör, vilket tydligt visar hur ansvar och samarbete blir allt viktigare för att skydda organisationen. Särskilt viktigt är det när flera verksamheter har en och samma leverantör som drabbas, som i fallet med attacken mot Tietoevry vintern 2024. Dessa typer av störningar riskerar att få störst samhällskonsekvenser, eftersom en mängd organisationer påverkas samtidigt. 

NIS2-direktivets utökade krav innebär att organisationer måste agera särskilt för att förhindra risker som kan uppstå även i leveranskedjan. Detta kräver allt från regelbundna säkerhetsbedömningar till klausuler kring cybersäkerhet i avtal, samt noggrann övervakning av delad trafik och data. 

Inför 2026 kommer tillsynen att skärpas, med särskilt fokus på hur organisationer hanterar externa risker. Ett tidigt och systematiskt arbete med leverantörssäkerhet blir avgörande för både regelefterlevnad och långsiktig motståndskraft. 

6. Cyber Resilience Act - nya krav på digitala produkter från 2026

Cyber Resilience Act (CRA) är EU:s nya regelverk som syftar till att stärka cybersäkerheten i produkter med digitala inslag – allt från mjukvara till uppkopplad hårdvara. Reglerna omfattar tillverkare, importörer och distributörer, och ställer krav på inbyggd säkerhet, löpande uppdateringar samt incidentrapportering. Regelverket omfattar även Open Source Software och tredjepartskomponenter, vilket kräver att företag kartlägger och dokumenterar komponentkedjor (SBOM – Software Bill of Materials) för sina produkter.

CRA antogs under 2024 och börjar tillämpas från 2026, men redan under 2025 bör berörda aktörer inventera sina produkter och se över utvecklingsprocesser, dokumentation och leverantörskedjor. Regelverket kompletterar NIS2 och DORA, men riktar sig mer direkt till teknik- och produktbolag. Syftet är att säkerställa att produkter är säkra – inte bara när de släpps på marknaden, utan under hela sin livscykel. 

7. EU Data Act (2025) - nya spelregler för dataåtkomst och interoperabilitet

EU Data Act, som kompletterar AI Act och Data Governance Act, syftar till att skapa rättvisa spelregler för tillgång till data, förbättra interoperabilitet och stimulera innovation inom EU. För SaaS-leverantörer och andra aktörer innebär det att användare måste ges möjlighet att få åtkomst till och dela sina data på ett standardiserat sätt – både gentemot andra tjänster och offentliga aktörer i särskilda fall. 

Lagen träder i kraft den 12 september 2025. Företag som berörs behöver redan nu granska sina dataflöden, API-strukturer och kontraktsvillkor för att säkerställa att de lever upp till de nya kraven på transparens och datautbyte. 

8. Threat-led penetration testing (TLPT) och TIBER-EU införs bredare

I Sverige har Finansinspektionen signalerat att man i större utsträckning kommer att tillämpa TIBER-EU som del av tillsyn och kravställning under 2025–2026, särskilt för banker, betalningsleverantörer och andra systemviktiga aktörer inom finanssektorn. 

TIBER-EU står för Threat Intelligence-Based Ethical Red Teaming och är ett EU-ramverk som togs fram av Europeiska centralbanken (ECB) 2018. Det syftar till att ge enhetliga riktlinjer för avancerad, hotbaserad penetrationstestning (TLPT), där man använder hotunderrättelser och etiska hackare för att simulera verkliga cyberangrepp mot organisationers teknik, processer och människor. 

Det handlar alltså inte om vanliga sårbarhetsskanningar, utan om realistiska attacker som testar den faktiska motståndskraften – från upptäckt till respons. Organisationer som omfattas bör redan nu utveckla processer för att planera, genomföra och följa upp dessa tester för att bygga upp genuin cyberresiliens. 

9. Cyberförsäkringar ställer nya krav på evidens

Under slutet av 2024 och nu i början av 2025 ser vi tydligt hur marknaden för cyberförsäkringar förändras. Försäkringsbolagen kräver allt oftare att företag kan visa upp dokumenterad evidens på sina cybersäkerhetsåtgärder, exempelvis: 

  • Säkerhetsövervakning (SOC)
  • MFA och stark autentisering 
  • Patchhantering och sårbarhetsreducering 
  • Regelbunden utbildning av personal 

Det räcker alltså inte längre med policies på papper – företagen behöver bevisa att säkerhetsarbetet fungerar i praktiken för att få rätt skydd och premier. För de som saknar evidens riskerar premierna att öka kraftigt, eller i värsta fall att försäkring inte erbjuds alls. 

Dessutom använder många försäkringsbolag nu tredjepartsgranskningar och verktyg för att bedöma sina försäkringstagares hela leverantörskedja. Supply chain-säkerhet har därmed blivit en avgörande faktor för att uppfylla försäkringskraven och säkra gynnsamma villkor. 

10. Ny nationell cybersäkerhetsstrategi för Sverige 

Under 2025 arbetar regeringen med att ta fram Sveriges nya nationella cybersäkerhetsstrategi för perioden 2025–2030. Strategin ska ange ramar och prioriteringar för både offentlig och privat sektor, med fokus på samverkan, innovation och stärkt motståndskraft. 

Bland de områden som diskuteras ingår: 

  • Stärkt nationell och internationell samverkan inom cybersäkerhet 
  • Förbättrad informationsdelning mellan myndigheter och företag 
  • Höjd beredskap mot hybrid- och cyberhot 
  • Investeringar i cybersäkerhetsforskning och kompetensförsörjning 
  • Tydligare ansvarsfördelning mellan myndigheter och sektorer 

Strategin väntas påverka allt från statliga cybersäkerhetsprojekt och tillsyn till EU-samarbeten och finansieringsprogram. Företag och organisationer bör bevaka utvecklingen noggrant. 

11. Årets bubblare 2025/2026: Kryptering och dataskydd - framtidsutsikter för PETs och quantum-readiness 

På konferenser den senaste tiden ser vi en tydlig trend: Privacy Enhancing Technologies (PETs) och quantum-readiness hamnar allt högre upp på agendan. 

Trycket ökar i takt med GDPR, AI Act och internationella standarder, där tekniker som differential privacy, federated learning och homomorphic encryption blir allt viktigare för att hantera känslig data på ett säkert och regulatoriskt korrekt sätt. Fler företag förväntas börja tillämpa dessa tekniker, inte bara för att möta regelkrav, utan även för att möta ökande förväntningar på ansvarsfull databehandling. 

Samtidigt lyfter EU och internationella initiativ behovet av quantum-readiness: att kartlägga kryptoberoenden och säkerställa att kritiska system och data kan stå emot framtida hot från kvantdatorer. Även om det ännu inte är ett formellt krav, börjar framåtblickande organisationer redan nu analysera sina kryptografiska lösningar, algoritmer och beroenden för att minska riskerna när kvanttekniken slår igenom. 

Tillsammans utgör dessa områden årets stora tekniska bubblare inom kryptering och dataskydd – och den som agerar tidigt stärker både sin konkurrenskraft och sin regulatoriska beredskap inför de kommande åren. 

Sammanfattning 

2025/2026 fortsätter den gradvisa transformering vi sett under de senaste åren. Vi går från ett fokus på enbart regelefterlevnad till att cybersäkerhet och dataskydd blir frågor om trovärdighet – oavsett om det handlar om privata företag, offentliga myndigheter eller kommuner. För företag handlar det om konkurrenskraft och marknadsförtroende; för offentliga aktörer handlar det om att upprätthålla samhällsförtroende och leveransförmåga. 

Vi ser en tydlig trend mot ökad transparens, starkare krav på leverantörskedjor och en växande önskan om mer automation och systematik i hur vi hanterar säkerhet och efterlevnad.  Det här är inte en förändring som sker över en natt, men vi bedömer – och många med oss tror – att vi under 2025/2026 kommer se mer av en rörelse mot transparens, automatisering och ett holistiskt synsätt på säkerhet och efterlevnad, där organisationer inte bara svarar upp mot regelkrav utan också bygger förtroende och robusthet genom hela värdekedjan. 

Vill du veta mer om hur Stratsys kan stötta er i ert informationssäkerhetsarbete? Läs mer om vår produkt Informationssäkerhet & dataskydd eller kontakta oss direkt.