NIS2 och cybersäkerhetslagen – vilka omfattas och vad måste organisationer göra nu?

Den 15 januari 2026 trädde den nya cybersäkerhetslagen i kraft i Sverige. Lagen bygger på NIS2-direktivet och innebär skärpta krav på riskhantering, incidentrapportering och ledningens ansvar. Betydligt fler organisationer än tidigare omfattas – både inom privat och offentlig sektor. I det här inlägget går vi igenom vad NIS2 innebär, vilka som berörs och vad ni behöver göra.

Vad är NIS2-direktivet?

NIS står för Network and Information Security, det vill säga nätverks- och informationssäkerhet. NIS-direktivet är ett EU-regelverk som syftar till att säkerställa att viktiga samhällsfunktioner och digitala tjänster skyddas mot cyberhot och it-incidenter.

Det ursprungliga NIS-direktivet upphörde att gälla den 18 oktober 2024 och ersattes då av NIS2-direktivet. Bakgrunden till det nya direktivet är att det tidigare regelverket visade sig ha brister och att tillämpningen skiljde sig kraftigt mellan EU:s medlemsländer. NIS2 har därför tagits fram för att skapa mer enhetliga och skärpta krav på cybersäkerhet inom EU.

I Sverige har NIS2-direktivet implementerats genom den nya cybersäkerhetslagen (2025:1506) (förkortas ’CSL’), som beslutades av regeringen den 11 december 2025 och trädde i kraft den 15 januari 2026. Samtidigt upphävdes lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Den äldre lagen gäller dock fortfarande för överträdelser som inträffade före ikraftträdandet av CSL.

Syftet med NIS2-direktivet är att stärka skyddet för cybersäkerhet och öka förtroendet för samhällsviktiga tjänster i EU:s medlemsländer. Detta sker genom skärpta krav på organisationer som verkar inom de sektorer som anges i direktivets bilaga 1 och 2. Sammanlagt omfattas 18 sektorer, som delas in i högkritiska och andra kritiska sektorer.

Organisationer som är verksamma inom någon av dessa sektorer benämns i NIS2-direktivet för entiteter, medan de i svenska cybersäkerhetslagen kallas verksamhetsutövare. Verksamhetsutövarna delas i sin tur in i väsentliga respektive viktiga, beroende på vilken sektor de tillhör. Klassificeringen påverkar bland annat hur tillsyn, kontroller och ingripanden ska genomföras.

Oavsett sektor innebär NIS2 att organisationer behöver arbeta mer strukturerat och systematiskt med riskhantering och cybersäkerhet.

Vilka organisationer berörs av CSL?

Cybersäkerhetslagen omfattar både privata, offentliga och ideella organisationer.

CSL gäller för organisationer som bedriver verksamhet inom någon av de sektorer som anges i bilaga 1 och 2 till NIS2-direktivet, se nedan. Kraven skiljer sig dock åt beroende på om verksamheten bedrivs inom offentlig eller privat sektor. NIS2-direktivet omfattar sammanlagt 18 sektorer, vilket är en betydande utvidgning jämfört med tidigare reglering som endast omfattade sju sektorer.

Väsentliga (högkritiska) sektorer:

1. Energi
2. Transporter
3. Bankverksamhet
4. Finansmarknadsinfrastruktur
5. Hälso- och sjukvårdssektorn
6. Dricksvatten
7. Avloppsvatten
8. Digital infrastruktur
9. Förvaltning av IKT-tjänster (mellan företag) ¹
10. Offentlig förvaltning
11. Rymden

Viktiga (kritiska) sektorer:

1. Post- och budtjänster
2. Avfallshantering
3. Tillverkning, produktion och distribution av kemikalier
4. Produktion, bearbetning och distribution av livsmedel
5. Tillverkning (t.ex. medicintekniska produkter, elapparatur och motorfordon)
6. Digital leverantör (t.ex. digitala marknadsplatser, sökmotorer och sociala plattformar)
7. Forskning

Privat sektor

För privata och ideella organisationer gäller, utöver kravet på sektorstillhörighet, även ett storlekskrav. Som huvudregel ska organisationen motsvara eller vara större än ett medelstort företag, vilket innebär minst 50 anställda eller en årsomsättning på minst 10 miljoner euro.

Storlekskraven kan dock vara svårnavigerade, särskilt för företag som ingår i en koncern. I vissa fall ska uppgifter om antal anställda och omsättning räknas samman med andra företag inom koncernen.

Storlekskravet är dock inte absolut. Även mindre företag kan omfattas av CSL, exempelvis om verksamhetsutövaren tillhandahåller en tjänst i Sverige som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet.

Organisationen ska dessutom, som utgångspunkt, vara etablerad i Sverige. Oavsett etablering eller verksamhetens storlek gäller CSL för:

”…verksamhetsutövare som i Sverige tillhandahåller allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster.”

Ett allmänt elektroniskt kommunikationsnät kan till exempel vara internet, mobilnät eller fasta telefonnät. Allmänt tillgängliga elektroniska kommunikationstjänster kan exempelvis avse telefoni, internetåtkomst och datakommunikation.

Lagen gäller också för en verksamhetsutövare som har huvudsakligt etableringsställe i Sverige eller en företrädare som är etablerad här, om verksamhetsutövaren tillhandahåller vissa nätverks- och internettjänster.

Offentlig sektor

Offentlig förvaltning utgör en egen sektor enligt NIS2-direktivet, vilket innebär att nästan hela den offentliga sektorn omfattas av CSL. Undantagna är regeringen, Regeringskansliet, myndigheter som lyder under riksdagen (exempelvis Riksbanken) samt domstolar.

Cybersäkerhetslagen gäller även för samtliga regioner och kommuner. Fullmäktige och förbundsdirektioner är dock undantagna. Lagen kan dessutom göras tillämplig på statliga myndigheter som regeringen särskilt beslutar om, även om övriga krav för tillämplighet inte är uppfyllda.

Vilka organisationer omfattas inte av CSL?

 Cybersäkerhetslagen (CSL) är inte tillämplig på alla verksamhetsutövare. Vilka undantag som gäller framgår av första kapitlet, 10–16 §§. Bestämmelserna omfattar bland annat verksamhetsutövare som redan omfattas av strängare eller mer långtgående krav enligt annan lagstiftning än CSL, samt vissa aktörer inom finanssektorn. Undantagen innebär inte att verksamheterna saknar krav på informations- eller cybersäkerhet, utan att dessa frågor i stället regleras genom annan lagstiftning

Det finns även begränsningar för verksamheter som bedriver säkerhetskänslig verksamhet eller brottsbekämpande verksamhet. Statliga myndigheter som till övervägande del bedriver sådan verksamhet omfattas inte av CSL.

Cybersäkerhetslagen är inte heller tillämplig på privata verksamhetsutövare som uteslutande bedriver säkerhetskänslig verksamhet eller som endast tillhandahåller tjänster till de myndigheter som omfattas av undantagen ovan

Steg-för-steg: vad kräver CSL av er organisation?

1. Ta reda på om ni omfattas av CSL

Det första steget är att avgöra om er organisation omfattas av cybersäkerhetslagen. Bedömningen baseras bland annat på vilken sektor ni verkar inom samt, för privata och ideella organisationer, verksamhetens storlek.

Om organisationen omfattas ska verksamhetsutövaren anmäla sig till den tillsynsmyndighet som regeringen utser. Vilken myndighet som är ansvarig beror på vilken sektor verksamheten tillhör. Anmälan ska göras så snart som möjligt efter att lagen trätt i kraft. Vilken tillsynsmyndighet som är aktuell framgår av 7§ i cybersäkerhetsförordningen (2025:1507).

2. Inför tekniska och organisatoriska säkerhetsåtgärder

Verksamhetsutövare som omfattas av CSL ska vidta lämpliga och proportionerliga tekniska och organisatoriska säkerhetsåtgärder för att skydda sina nätverks- och informationssystem mot incidenter. Kraven innebär i praktiken ett mer strukturerat arbete med riskhantering, informationssäkerhet och cybersäkerhetsåtgärder än tidigare.

3. Säkerställ att ledningen har tillräcklig kompetens

Personer i organisationens ledning ska genomgå utbildning i cybersäkerhet och säkerhetsåtgärder. Vilka personer som omfattas beror på organisationens verksamhetsform. Syftet är att ledningen ska ha tillräcklig kunskap för att kunna identifiera risker och fatta välgrundade beslut om vilka säkerhetsåtgärder som behöver vidtas.

4. Rapportera incidenter och informera berörda parter

Vid en betydande incident ska verksamhetsutövaren utan onödigt dröjsmål informera ansvarig tillsynsmyndighet, dock senast inom 24 timmar från det att organisationen fått kännedom om incidenten.

En fullständig incidentanmälan ska därefter lämnas in inom 72 timmar. För verksamhetsutövare som tillhandahåller betrodda tjänster gäller i stället en tidsfrist på 24 timmar.

Verksamhetsutövare ska även lämna delrapporter på begäran av tillsynsmyndigheten. En slutrapport ska som huvudregel lämnas in senast en månad efter incidentanmälan. Om incidenten fortfarande pågår ska en lägesrapport lämnas in efter en månad, följt av en slutrapport inom en månad efter att incidenten har hanterats.

Om det är lämpligt ska verksamhetsutövaren även informera mottagarna av sina tjänster, exempelvis kunder eller klienter, när en betydande incident eller ett allvarligt cyberhot sannolikt påverkar tillhandahållandet av tjänsterna.

Sanktioner

Verksamhetsutövare som bryter mot cybersäkerhetslagen (CSL) riskerar betydande sanktionsavgifter. Avgiftens storlek beror på om verksamhetsutövaren klassas som väsentlig eller viktig, men kan som högst uppgå till det högre av 10 miljoner euro eller 2 procent av verksamhetsutövarens totala globala årsomsättning under närmast föregående räkenskapsår. Offentliga verksamhetsutövare har ett tak för sanktionsavgifter på 10 miljoner kronor. Sanktionsavgifterna kan dessutom kombineras med förelägganden och andra tillsynsåtgärder.

Sanktionsnivåerna för privat sektor innebär en markant skärpning jämfört med den tidigare lagstiftningen, då sanktionsavgifterna uppgick till lägst 5 000 kronor och högst 10 000 000 kronor.

Att avgöra om man omfattas av CSL och att komma i gång med rätt åtgärder kan vara komplext. Vi hjälper er gärna, både med bedömningen och det praktiska arbetet. Tveka inte att kontakta oss för mer information på 046-2731717 eller info@gdphero.se.

Anton Melin

info@gdprhero.se

046-2731717

1. Informations- och kommunikationstekniktjänst är en tjänst som helt eller huvudsakligen består i överföring, lagring, hämtning eller behandling av information via nätverks- och informationssystem, enligt artikel 2.13 i förordning (EU) 2019/881.