Omfattas din organisation av cybersäkerhetslagen? Den 15 januari 2026 trädde lagen (SFS 2025:1506) i kraft som den svenska implementeringen av EU:s NIS2-direktiv. Med den följer skärpta krav på cybersäkerhet för organisationer som bedriver samhällsviktig verksamhet.
Vilka omfattas?
Cybersäkerhetslagen omfattar väsentliga och viktiga verksamhetsutövare inom sektorer som energi, transport, hälso- och sjukvård, dricksvatten, digital infrastruktur, offentlig förvaltning och flera andra.
De viktigaste kraven
- Riskhantering: Du ska genomföra systematiska riskbedömningar och vidta lämpliga säkerhetsåtgärder.
- Incidentrapportering: Betydande incidenter ska rapporteras till tillsynsmyndigheten inom 24 timmar.
- Ledningens ansvar: Ledningen har ett personligt ansvar för att kraven uppfylls. Läs mer om vad ledningsansvaret innebär i praktiken.
- Leverantörskedjans säkerhet: Du ska beakta säkerhetsrisker i din leverantörskedja.
Vad bör du göra nu?
- Kartlägg om din organisation omfattas av cybersäkerhetslagen
- Genomför en gap-analys mot de nya kraven, exempelvis med stöd av ISO 27001
- Ta fram en handlingsplan med prioriterade åtgärder
- Implementera nödvändiga tekniska och organisatoriska åtgärder
- Följ upp kontinuerligt med hjälp av verktyg som Securapilot
Behöver du hjälp att komma igång? Kontakta oss för en kostnadsfri genomgång.
Fler insikter
Relaterade artiklar
Femton år av samma hotbild. Varför står mognaden still?
Svenska organisationer saknar fortfarande grundläggande cybersäkerhetsförmågor. Problemet är inte kunskap utan brist på systemförändring.
Cybersäkerhetslagen och ledningsansvaret. Är spelreglerna verkligen lika för alla?
Cybersäkerhetslagen kräver samma sak av alla sektorer, men konsekvenserna ser olika ut. Så påverkas ledningsansvaret i offentlig sektor.