Cybersäkerhetslagen: NIS2 i svensk rätt

Kort version

NIS2-direktivet (EU:s direktiv om nätverks- och informationssäkerhet) ersätter det ursprungliga NIS-direktivet från 2016 och utvidgar kretsen väsentligt: från cirka 1 000 omfattade verksamheter under gamla NIS-lagen till uppskattningsvis 5 000–8 000 under cybersäkerhetslagen. Storlekströskeln är 50 anställda eller 10 miljoner euro omsättning, men mindre bolag kan träffas om de är ensam leverantör i sin sektor. Styrelsen har personligt ansvar och ska ha genomgått utbildning som kan visas vid tillsyn. Lagen delar in verksamheter i två kategorier: väsentliga entiteter (de med störst samhällspåverkan, exempelvis energi, hälso- och sjukvård, transport) och viktiga entiteter (övriga som når storlekströskeln). Sanktioner för väsentliga entiteter når 10 miljoner euro eller 2 procent av global årsomsättning. Första konkreta deadline: incidentrapportering 1 juli 2026.

Det som många missar

Storlekströskeln fångar fler än man tror. Ett företag med 45 anställda men 12 miljoner euro i omsättning omfattas. Ett litet bolag som råkar vara enda leverantör av en samhällsviktig funktion i sin kommun omfattas. Lagen mäter inte bara egen storlek utan samhällspåverkan vid störning.

Det andra som underskattas är ledningsansvaret. Styrelseledamöter ska personligen godkänna riskhanteringsåtgärderna och genomgå cybersäkerhets- utbildning. Det är inte delegationsbart. Försummelse kan leda till temporärt förbud att utöva ledningsfunktioner. MSB (Myndigheten för samhällsskydd och beredskap), som samordnar Sveriges cybersäkerhetsarbete, har inte preciserat utbildningens format ännu, men tillsynsmyndigheterna kommer att kunna begära kvitto.

Två deadlines, inte en

Föreskrifterna delas i två steg och det är medvetet. MSB vill att rapporteringsförmågan ska vara på plats först:

• 1 juli 2026: incidentrapportering i tre steg (tidig varning inom 24 timmar, incidentrapport inom 72 timmar, slutrapport inom en månad). MSB:s rapporteringsportal förväntas vara i drift.
• 1 oktober 2026: samtliga tio kategorier av säkerhetsåtgärder ska vara dokumenterade och genomförda. Det inkluderar leverantörssäkerhet, multifaktorautentisering, kryptering och kontinuitetsplanering.

Bolag som planerar att ta allt som ett projekt med oktober som deadline bör notera att rapporteringsförmågan behöver vara operativ tre månader tidigare. Det räcker inte med en e-postadress till CERT-SE — Sveriges nationella CSIRT (Computer Security Incident Response Team), den enhet som tar emot incidentrapporter. Det krävs en processkedja: detektion, eskalering, tidsstämpling, rapportformulär.

DORA-avgränsningen

DORA (Digital Operational Resilience Act) är EU:s förordning om digital operativ motståndskraft i finanssektorn. Finansiella entiteter som omfattas av DORA är undantagna från de flesta operativa krav i cybersäkerhetslagen — DORA är lex specialis (speciallag som går före den generella). Men deras IKT-leverantörer som inte själva är finansiella entiteter kan träffas av cybersäkerhetslagen. Det första att kontrollera i leverantörskedjan är alltså: vilket regelverk hör motparten till, och vilka avtalsbilagor behövs?

Tillsyn: sju myndigheter, ojämn ambitionsnivå

MSB samordnar men tillsynen är fördelad: Energimyndigheten, Transportstyrelsen, Finansinspektionen, IVO, Livsmedelsverket och PTS har sektorsansvar. I praktiken innebär det att tillsynstrycket kommer att variera. Energi- sektorn och finans har redan mogen tillsynskultur. Tillverkningsindustrin och digitala leverantörer har det inte. Räkna med att de sektorer med befintliga tillsynsstrukturer agerar först.

Vad bolag bör göra

1. Skriv ner omfattningsbedömningen. Gör det även om slutsatsen är att bolaget inte omfattas. Dokumentet behövs vid tillsyn och det behövs i styrelseprotokollet.
2. Kontrollera om bolaget redan borde ha anmält sig. Anmälningsfristen var tre månader efter ikraftträdande (1 januari 2026). Bolag som omfattades vid den tidpunkten och inte anmält sig är redan sena.
3. Bygg incidentrapporteringskedjan nu, inte i september. 24-timmarsvarningen kräver att det finns en definierad eskaleringstrappa dygnet runt, inte bara kontorstid.
4. Boka styrelseutbildning. Det behöver inte vara en heldagskonferens, men det måste vara dokumenterat. MSB:s vägledning listar vad som ska täckas. Minst en session före 1 oktober.
5. Uppdatera IKT-leverantörsavtalen. Lägg in NIS2-säkerhetsbilaga med rapporteringskrav, revisionsrätt och kontaktuppgifter till CSIRT. Gäller alla nya avtal från 1 oktober, men börja med de avtal som förnyas närmast.

Källor

• Proposition 2025/26:28, Ett starkt skydd för nätverks- och informationssystem
• Regeringen, pressmeddelande 10 december 2025
• MSB, tidsplan för NIS2-införandet i Sverige
• Direktiv (EU) 2022/2555 (NIS2)