Nytt direktiv om cybersäkerhet träder i kraft i januari 2026
Efter årsskiftet 2026 träder en ny lag om cybersäkerhet i kraft i Sverige, som utgår från EU:s NIS2-direktiv. NIS2 innebär en kraftig skärpning av kraven på cybersäkerhet för många olika typer av verksamheter, vilket gör det nödvändigt för företag och organisationer att redan nu förbereda sig på kommande skyldigheter.
Energi är en sektor som berörs. Men även stålföretagen berörs då flera listade sektorer ingår i branschens verksamheter. Foto: Pia Nordlander.
Omfattning och berörda sektorer
Den nya lagen kommer att omfatta ett stort antal organisationer, särskilt de som bedriver samhällsviktig verksamhet. EU har definierat 18 sektorer som särskilt kritiska, uppdelade i högkritiska och andra kritiska sektorer.
– Även stålföretag behöver sätta sin in i det här eftersom hantering av energiprodukter, avloppsvatten, kemikalier och vissa produkter under REACH omfattas och naturligt ingår i branschens verksamhet. Dessutom är ju cyberhot något som alla bör arbeta aktivt med att kunna hantera i allt högre utsträckning, säger Pär Hermerén, rådgivare i energi- och klimatfrågor på Jernkontoret.
För företag är det viktigt att analysera om man berörs. Bland de verksamheter som berörs finns bland annat:
- Energi
- Avloppsvatten
- Kemikalier
- Elapparatur
- Transport
- Digital infrastruktur
- Hälsa
- Livsmedelsförsörjning
- Tillverkning
Vilka organisationer som omfattas i Sverige bestäms genom både lag och myndighetsföreskrifter, men kriterierna är ännu inte helt fastställda.
Centrala krav
De organisationer som identifieras som berörda av NIS2-lagstiftningen kommer behöva uppfylla flera centrala krav, bland annat:
- Självidentifiering och anmälan till ansvarig myndighet
- Införande av systematiskt arbetssätt kring riskhantering och informationssäkerhet
- Genomförande av riskanalyser och införande av säkerhetsåtgärder
- Utbildning av ledning och personal i cybersäkerhet
- Rapportering av incidenter som orsakar eller riskerar att orsaka betydande störningar
- Krav på säkerhet i leverantörskedjan
Organisationerna kommer att stå under tillsyn, och brister i efterlevnaden kan resultera i omfattande sanktionsavgifter.
Myndighetsansvar och vägledning
Myndigheten för samhällsskydd och beredskap (MSB) är utsedd till samordnande myndighet. MSB ansvarar för förordningar, samlad information och vägledning kring implementeringen. Närmare bestämmelser och detaljerade föreskrifter kommer att tas fram av respektive sektorsansvarig myndighet.
MSB erbjuder också stöd i form av rådgivningstjänster för organisationer som behöver hjälp med att etablera ett strukturerat cybersäkerhetsarbete.
Kunskap och förberedelse
För företag och organisationer som vill fördjupa sig i frågan anordnar MSB Cybersäkerhetskonferensen den 20–21 oktober 2025. Konferensen belyser bland annat hur NIS2 ska implementeras i både privat och offentlig verksamhet och kan följas på plats eller digitalt.
Information och uppdateringar finns tillgängliga via MSB:s webbplats:
