Omfattas din organisation av cybersäkerhetslagen? Den 15 januari 2026 trädde lagen (SFS 2025:1506) i kraft som den svenska implementeringen av EU:s NIS2-direktiv. Med den följer skärpta krav på cybersäkerhet för organisationer som bedriver samhällsviktig verksamhet.
Vilka omfattas?
Cybersäkerhetslagen omfattar väsentliga och viktiga verksamhetsutövare inom sektorer som energi, transport, hälso- och sjukvård, dricksvatten, digital infrastruktur, offentlig förvaltning och flera andra.
De viktigaste kraven
- Riskhantering: Du ska genomföra systematiska riskbedömningar och vidta lämpliga säkerhetsåtgärder.
- Incidentrapportering: Betydande incidenter ska rapporteras till tillsynsmyndigheten inom 24 timmar.
- Ledningens ansvar: Ledningen har ett personligt ansvar för att kraven uppfylls. Läs mer om vad ledningsansvaret innebär i praktiken.
- Leverantörskedjans säkerhet: Du ska beakta säkerhetsrisker i din leverantörskedja.
Vad bör du göra nu?
- Kartlägg om din organisation omfattas av cybersäkerhetslagen
- Genomför en gap-analys mot de nya kraven, exempelvis med stöd av ISO 27001
- Ta fram en handlingsplan med prioriterade åtgärder
- Implementera nödvändiga tekniska och organisatoriska åtgärder
- Följ upp kontinuerligt med hjälp av verktyg som Securapilot
Behöver du hjälp att komma igång? Kontakta oss för en kostnadsfri genomgång.
Fler insikter
Relaterade artiklar
Leveranskedjan är din största cybersäkerhetsrisk – inte din storlek
42 procent av svenska organisationer har låg mognad i leverantörskedjan. Att vara liten skyddar inte – det gör dig till den svagaste länken.
Lagen skyddar inte din verksamhet – det måste du göra själv
Cybersäkerhetslagen gäller inte alla. Men cyberhoten gör det. Fyra affärsrisker som kräver ledningens uppmärksamhet.
Sex regelverk. En styrningsstruktur. Noll ursäkter.
NIS2, GDPR, DORA, CRA, AI Act och cybersäkerhetslagen ställer överlappande krav. Fem tecken på att er styrning inte håller, och vad som fungerar istället.