Den 1 januari 2025 trädde den svenska cybersäkerhetslagen i kraft som en implementering av EU:s NIS2-direktiv. Lagen innebär skärpta krav på cybersäkerhet för organisationer som bedriver samhällsviktig verksamhet.
Vilka omfattas?
Cybersäkerhetslagen omfattar väsentliga och viktiga entiteter inom sektorer som energi, transport, hälso- och sjukvård, dricksvatten, digital infrastruktur, offentlig förvaltning och flera andra.
De viktigaste kraven
- Riskhantering: Organisationer ska genomföra systematiska riskbedömningar och implementera proportionerliga säkerhetsåtgärder.
- Incidentrapportering: Betydande incidenter ska rapporteras till tillsynsmyndigheten inom 24 timmar.
- Ledningens ansvar: Ledningen har ett personligt ansvar för att säkerställa att kraven uppfylls.
- Leverantörskedjans säkerhet: Organisationer ska beakta säkerhetsrisker i sin leverantörskedja.
Vad bör ni göra nu?
- Kartlägg om er organisation omfattas av cybersäkerhetslagen
- Genomför en gap-analys mot de nya kraven
- Ta fram en handlingsplan med prioriterade åtgärder
- Implementera nödvändiga tekniska och organisatoriska åtgärder
- Följ upp kontinuerligt med hjälp av verktyg som Securapilot
Behöver ni hjälp att komma igång? Kontakta oss för en kostnadsfri genomgång.
Fler insikter
Relaterade artiklar
Femton år av samma hotbild. Varför står mognaden still?
Färsk kartläggning visar att svenska organisationer fortfarande saknar grundläggande cybersäkerhetsförmågor. Problemet är inte brist på kunskap. Det är brist på systemförändring.
Cybersäkerhetslagen och ledningsansvaret. Är spelreglerna verkligen lika för alla?
Cybersäkerhetslagen ställer samma krav på offentlig och privat sektor, men konsekvenserna vid brister ser olika ut. Vi granskar vad det innebär för ledningsansvaret.