Den 15 januari 2026 trädde Sveriges nya cybersäkerhetslag (SFS 2025:1506) i kraft och ersatte det gamla NIS1-ramverket med ett system som ställer väsentligt hårdare krav på landets organisationer. Lagen genomför EU:s NIS2-direktiv i svensk rätt och beräknas dra in 6 000 till 8 000 organisationer i sin tillämpning, jämfört med ungefär 900 under den tidigare lagstiftningen. Med böter på upp till €10 miljoner och ett krav på att styrelsen personligen bär ansvar för cybersäkerheten markerar lagen ett systemskifte i hur Sverige hanterar digital motståndskraft.
Vad är cybersäkerhetslagen?
Cybersäkerhetslagen (Cybersäkerhetslag, SFS 2025:1506) är den svenska implementeringen av EU:s NIS2-direktiv (Direktiv 2022/2555/EU). Direktivet antogs på EU-nivå i slutet av 2022 och syftar till att modernisera och harmonisera cybersäkerhetskraven inom unionen. Arbetet med den svenska lagstiftningen startade formellt i februari 2023 med en utredning som resulterade i betänkandet SOU 2024:64 “Nya regler om cybersäkerhet”.
Riksdagen röstade igenom lagen hösten 2025, och den trädde i kraft den 15 januari 2026. Registreringsportalen öppnade den 2 februari 2026, och sista dag för organisationer att anmäla sig var den 16 februari 2026. Organisationer som missade registreringsfristen är nu exponerade för de tillsynsbefogenheter som lagen ger myndigheterna, inklusive oanmälda revisioner och böter mot ledningen personligen.
Myndigheten för samhällsskydd och beredskap (MSB) är den centrala tillsynsmyndigheten och ansvarar för att utfärda fyra regelpaket som konkretiserar lagens krav. Det här är ingen liten justering av befintliga regler: lagen vidgar tillämpningsområdet från en smal definition av sektorsgrenar till att gälla hela den juridiska personen, oavsett hur verksamheten är organiserad internt.
Bakgrunden: Från NIS1 till NIS2
Den tidigare svenska NIS-lagstiftningen (SFS 2018:1174, lagen om informationssäkerhet för samhällsviktiga och digitala tjänster, LISK) trädde i kraft 2018 och implementerade det första NIS-direktivet. Under LISK gällde reglerna bara den specifika driftsgrenaren som utlöste sektorsklassificeringen, inte organisationen i sin helhet. Det innebar att en stor koncern med verksamhet i en känslig sektor teoretiskt sett kunde kringgå kraven genom intern organisering.
Sanktionssystemet under NIS1 var relativt begränsat och baserades på fasta svenska maxbelopp som branschaktörer och säkerhetsexperter länge kritiserade för att sakna avskräckande effekt. Cybersäkerhetslagen byter ut det systemet mot ett tvådelat modell: väsentliga enheter riskerar böter på upp till €10 miljoner eller 2% av global årsomsättning, det belopp som är högst av de två. Viktiga enheter riskerar €7 miljoner eller 1,4% av global omsättning.
Hotbilden mot Sverige har under perioden 2024-2026 förändrats dramatiskt. DNV:s rapport “How Cyber Resilient Are the Nordics? 2026” dokumenterade 60 cyberincidenter mot svenska organisationer under 2025, det högsta antalet bland de nordiska länderna. Finland noterade 44 incidenter, Danmark 41 och Norge 21 under samma period. Mot den bakgrunden är NIS2-implementeringen inte bara ett regulatoriskt krav utan en reaktion på ett reellt och eskalerande hotlandskap.
Vilka organisationer berörs?
Cybersäkerhetslagen gäller privata och offentliga organisationer som är verksamma inom de 18 sektorer som pekas ut i lagen. Inom dessa sektorer är den grundläggande storleksgränsen 50 anställda eller en årsomsättning och balansomslutning som överstiger €10 miljoner. Det är en tröskel som fångar de flesta medelstora och stora företag i Sverige.
Vissa kategorier av organisationer omfattas oberoende av storlek. Leverantörer av betrodda tjänster och den enda leverantören av en samhällsviktig tjänst i en region eller ett land faller under lagen oavsett om de har 10 eller 10 000 anställda. Det gör att exempelvis en liten, regional eltjänsteleverantör utan konkurrenter kan vara tvungen att uppfylla samma krav som ett börsnoterat energibolag.
Organisationerna delas in i två nivåer: väsentliga enheter och viktiga enheter. Väsentliga enheter befinner sig i de mest kritiska sektorerna som energi, transporter, bankväsende och hälso- och sjukvård. De underkastas proaktiv tillsyn och kan granskas utan förvarning. Viktiga enheter, som post- och pakettjänster, avfallshantering och livsmedelsproduktion, underkastas reaktiv tillsyn och granskas framför allt vid misstanke om regelbrott eller efter en incident.
| Kategori | Exempel på sektorer | Maxböter | Tillsynsmodell |
|---|---|---|---|
| Väsentliga enheter | Energi, transport, bankväsende, hälsa, dricksvatten, digital infrastruktur | €10 miljoner eller 2% av global omsättning | Proaktiv, inklusive oanmälda revisioner |
| Viktiga enheter | Post, avfallshantering, livsmedel, kemikalier, forskning | €7 miljoner eller 1,4% av global omsättning | Reaktiv, primärt vid incident eller misstanke |
| Undantagna | Mikroföretag utanför kritisk sektor, statliga säkerhetsorgan | Ej tillämpligt | Ej tillämpligt |
Incidentrapportering: 24 timmar räcker inte längre
En av de mest konkreta förändringarna som cybersäkerhetslagen för med sig är den strukturerade rapporteringsplikten vid cyberincidenter. Under den gamla lagstiftningen var rapporteringskraven oprecisa och varierade mellan sektorer. Nu gäller en tvingande trestegsmodell med fasta tidsgränser.
Steg ett är en tidig förvarning som ska lämnas till MSB och sektortillsynsmyndigheten inom 24 timmar från det att organisationen fick kännedom om en allvarlig incident. Varningen ska innehålla information om huruvida incidenten misstänks vara brottslig och om den kan ha gränsöverskridande effekter.
Steg två är en incidentanmälan som ska lämnas inom 72 timmar. Anmälan ska innehålla en bedömning av incidentens allvarlighetsgrad, påverkan och indikatorer på kompromiss. Leverantörer av betrodda tjänster har kortare tid: de ska lämna incidentanmälan redan inom 24 timmar.
Steg tre är en slutrapport som ska lämnas inom en månad. Om incidenten fortfarande pågår lämnas istället en lägesrapport. Slutrapporten ska innehålla en fullständig beskrivning av incidenten, grundorsak, åtgärder vidtagna och planerade. För banker och finansiell infrastruktur gäller, utöver detta, parallella rapporteringskrav till Finansinspektionen under DORA-förordningen.
Charlotte Pataky, pressansvarig på BankID, beskrev hanteringen av DDoS-attacken mot BankID den 23 april 2025 på ett sätt som illustrerar varför tydliga rapporteringsplaner är avgörande: “Det var en otroligt kraftfull överbelastningsattack som tar tid att återställa. Men alla uppgifter är skyddade, och var det under attacken. Vi incidentanmäler till berörda myndigheter, polisanmäler och utreder förstås varför driftstörningen varade så länge.” Attacken lamslog inloggning för mer än 8,6 miljoner användare och tog ned tillgången till banker, Swish och statliga e-tjänster under flera timmar. Mer än 10 000 felanmälningar registrerades under den första timmen.
Böter på upp till €10 miljoner
Sanktionssystemet under cybersäkerhetslagen är utformat för att vara verkligt avskräckande. Böterna kopplas till den globala omsättningen, vilket innebär att ett multinationellt bolag med svensk dotterbolagsverksamhet kan drabbas av böter baserade på koncernens totala världsomsättning.
För väsentliga enheter gäller det högsta av antingen €10 miljoner eller 2% av global årsomsättning. En organisation med 5 miljarder kronor i global omsättning riskerar böter på upp till 100 miljoner kronor om den befinns ha brutit mot lagens krav på ett allvarligt sätt. För viktiga enheter är taken €7 miljoner eller 1,4% av global omsättning.
Utöver ekonomiska sanktioner kan tillsynsmyndigheten förbjuda ledande befattningshavare i väsentliga enheter att utöva sin position under en period. Det är en ny typ av sanktion som saknade motsvarighet i NIS1-ramverket och som riktar sig direkt mot chefer och styrelsens ledamöter, inte bara mot organisationen som helhet.
Sanktionsavgifterna varierar beroende på om enheten klassificeras som väsentlig, viktig eller offentlig. För offentliga aktörer gäller fasta maxbelopp snarare än omsättningsbaserade tak, eftersom offentliga verksamheter i regel saknar kommersiell omsättning att beräkna böter på. MSB anger ett spann från 5 000 kronor i botten upp till €10 miljoner för de grövsta regelbrotten av privata väsentliga enheter.
Styrelseansvar: en ny verklighet för ledningsgrupper
Cybersäkerhetslagen inför explicit styrelseansvar för cybersäkerhet. Det innebär att organisationens högsta ledning, inklusive styrelseledamöter i aktiebolag och förvaltningschefer i offentliga verksamheter, inte längre kan delegera bort ansvaret till IT-avdelningen och betrakta frågan som avklarad.
Lagen kräver att ledningen godkänner de säkerhetsåtgärder organisationen vidtar, att den deltar i utbildning kring cyberhot och riskhantering, och att den är ytterst ansvarig för att incidentrapportering sker i rätt tid. Compliance-plattformen Junglemap sammanfattar förändringen: “Lagen ställer tydligare krav på ledningens och styrelsens ansvar för organisationens cybersäkerhet. Ledningen måste godkänna säkerhetsåtgärder och ha nödvändig kompetens.”
Konsekvensen för bolagsstyrelser är påtaglig. Cybersäkerhet bör nu behandlas på samma sätt som finansiell revision: inte som en teknisk detalj utan som en strategisk riskfråga. Styrelseledamöter som inte kan redogöra för organisationens incidentresponsplan, leverantörsbedömningar och säkerhetsarkitektur riskerar personliga sanktioner vid en allvarlig incident.
Säkerhetspolisen (SÄPO) underströk i mars 2026 relevansen av det fördjupade hotet: “Säkerhetspolisens bedömning är att säkerhetshot mot Sverige utförs av Ryssland och att dessa kan komma att bli allt vanligare. Vår bedömning är att hotet mot Sverige kommer att utvecklas på ett sådant sätt att situationen fortsätter att försämras under de kommande åren. Ryssland förblir det största hotet mot Sverige.” Det är ett budskap som gör att styrelseansvar inom cybersäkerhet handlar om nationell säkerhet, inte enbart regulatorisk compliance.
Leverantörskedjans säkerhet i fokus
Supply chain-säkerhet är ett av de tre kärnkraven i cybersäkerhetslagen, tillsammans med incidentrapportering och riskhantering. Organisationer som faller under lagen är ansvariga för att deras leverantörer och tredjeparter uppfyller digitala säkerhetskrav. Det räcker inte att den egna infrastrukturen är säker om en kritisk IT-leverantör brister.
CGI-incidenten från mars 2026 illustrerar problemet konkret. Hackergruppen ByteToBreach påstod sig ha stulit ett stort dataset från CGI:s svenska division, inklusive källkod som används av offentliga myndigheter. Källkod, lösenord och krypteringsnycklar ska ha läckt ut, enligt journalister på Dagens Nyheter som granskade materialet. CGI bekräftade att angripare fick tillgång till ett begränsat antal interna testservrar i Sverige och att en äldre version av applikationens källkod stals. Produktionsmiljöer och driftdata påverkades inte, hävdade bolaget.
En av de berörda myndigheterna var Skatteverket. Peder Sjölander, Skatteverkets IT-direktör, kommenterade: “Vi tar alla incidenter på allvar, men vi ser inte något som påverkar oss just nu.” Händelsen visar ändå hur en enda komprometterad IT-leverantör skapar osäkerhet om statliga system och hur lagens krav på leverantörsbedömning fyller en verklig funktion.
Under cybersäkerhetslagen måste organisationer dokumentera sin bedömning av leverantörsrisker, ställa säkerhetskrav i avtal och verifiera att leverantörerna faktiskt lever upp till kraven. Det är en process som kräver resurser och förändrade upphandlingsrutiner, och som för många organisationer innebär en kulturell omställning lika mycket som en teknisk.
MSB:s fyra regelpaket styr implementeringen
Myndigheten för samhällsskydd och beredskap (MSB) har fått i uppdrag att utfärda fyra regelpaket som konkretiserar cybersäkerhetslagens krav. Tidplanen för regelpaketen speglar en gradvis upptrappning av tillsynens tekniska skärpa:
- Paket 1 (februari 2026): Föreskrifter om anmälan och identifiering av enheter som faller under lagens tillämpningsområde.
- Paket 2 (april 2026): Föreskrifter om säkerhetsåtgärder och utbildning av personal och ledning.
- Paket 3 (april 2026): Föreskrifter om incidentrapportering och informationsskyldigheter.
- Paket 4 (juni 2026): Föreskrifter om säkerhetsrevisioner och säkerhetsskanning av IT-system.
Det fjärde regelpaketets ikraftträdande i juni 2026 innebär att tillsynsmyndigheter nu har fullständiga juridiska befogenheter att genomföra tekniska säkerhetsgranskningar av organisationernas IT-miljöer. Organisationer som inte genomfört sin egenbedömning och identifierat luckor riskerar att möta tillsynsmyndigheten helt oförberedda.
MSB:s riktlinjer pekar ut ett antal baslinjesäkerhetsåtgärder som krävs: dokumenterad riskanalys, incidenthanteringsplan, backup- och kontinuitetslösningar, åtkomstkontroll, kryptering och regelbunden utbildning av personal. Organisationer som inte kan redovisa dessa kontroller vid en revision riskerar sanktioner även om de inte drabbats av någon faktisk incident.
Hotbilden som driver lagstiftningen
Cybersäkerhetslagen är inte skapad i ett vakuum. Den reflekterar en hotbild som har förändrats dramatiskt sedan 2018. Sverige drabbades under 2025 av 60 dokumenterade cyberincidenter mot organisationer i olika sektorer, det högsta i Norden. Tre typer av hot dominerar hotslandskapet mot svenska organisationer under 2025 och 2026.
DDoS-attacker mot kritisk infrastruktur. BankID-attacken den 23 april 2025 är det tydligaste exemplet. BankID används av 8,6 miljoner svenska medborgare och hanterade 7,9 miljarder identifieringar och signeringar under 2025 via 7 900 anslutna tjänster. En attack mot tjänsten slår direkt mot bankernas inloggningstjänster, Swish-betalningar och myndigheters e-tjänster. Attacken fick fler än 10 000 felanmälningar på under en timme och lamslade systemet i tre timmar.
Ransomware och datastöld. IT-leverantören Miljödata drabbades av en ransomware-attack som påverkade runt 200 kommuner och regioner. Personuppgifter från 1,5 miljoner personer ska ha stulits. Svenska kraftnät, operatören av det nationella elnätet, bekräftade ett dataintrång efter att den Rysslandskopplade hackergruppen Everest ransomware påstod sig ha hämtat hundratals gigabyte data.
Statsaktörers spionage och sabotage. SÄPO:s hotbedömning från mars 2026 fastslår att Ryssland är det största hotet mot Sverige och att Kina utgör ett långsiktigt hot mot landets ekonomiska säkerhet. Finance Sweden:s hotbedömning för banker 2026 noterar att “cyberbrottsutpressning i allt större utsträckning bygger på informations- och identitetsstöld samt utnyttjande av leverantörsberoenden” och att “AI-baserade attackmetoder ställer ökade krav på bankernas förmåga att upptäcka, hantera och stå emot direkta och indirekta cyberangrepp.”
| Land | Cyberincidenter 2025 | Viktigaste hotaktörer | NIS2-lag i kraft | Uppskattade berörda enheter |
|---|---|---|---|---|
| Sverige | 60 | Ryssland, Kina, kriminella grupper | 15 jan 2026 | 6 000-8 000 |
| Finland | 44 | Ryssland, statsaktörer | Jan 2023 (tidig implementering) | Uppskattningsvis 3 000-5 000 |
| Danmark | 41 | Statsaktörer, ransomware | Nov 2024 | Uppskattningsvis 2 000-4 000 |
| Norge | 21 | Energi- och oljeindustri | Jan 2025 | Uppskattningsvis 2 000-3 000 |
Cybersäkerhetsmarknaden: 2,02 miljarder dollar år 2026
Cybersäkerhetslagen är en stark katalysator för en marknad som redan växer snabbt. Mordor Intelligences rapport om den svenska cybersäkerhetsmarknaden värderar den till 2,02 miljarder dollar år 2026 och spår en CAGR på 8,87%, vilket tar marknaden till 3,09 miljarder dollar år 2031. Tillväxttakten drivs av regulatoriska krav, ökad hotbild och en påtaglig digitalisering av både privat och offentlig sektor.
Bank-, finans- och försäkringssektorn (BFSI) stod för den största andelen av cybersäkerhetsutgifterna i Sverige under 2025, med 18,56% av marknaden. Hälso- och sjukvårdssektorn väntas däremot ha den snabbaste tillväxttakten framöver, med en CAGR på 10,11%, driven av digitalisering av journalsystem och kravet på att skydda patientdata.
Det svenska försvarsbudgetförslaget för 2026 inkluderade 370 miljoner kronor öronmärkt för förstärkt cybersäkerhet, vilket lyfter den totala försvarsbudgeten till 49,83 miljarder kronor. Det är en signal om att cybersäkerhet ses som en del av det nationella försvaret, inte enbart en fråga för IT-avdelningar och compliance-team.
Compliance med cybersäkerhetslagen driver direkt efterfrågan på konsulttjänster, tekniska plattformar för incidenthantering och MSB-anpassade utbildningar för styrelseledamöter. Leverantörer av GRC-system (Governance, Risk, Compliance) rapporterar kraftigt ökad efterfrågan från svenska kunder under första halvåret 2026, en marknadsdynamik som förväntas hålla i sig minst fram till 2028 när de sista implementeringsfristerna passerar.
Sverige mot Europa: hur ser NIS2-implementeringen ut?
EU:s NIS2-direktiv hade en deadline för nationell implementering den 17 oktober 2024. Sverige missade denna deadline och implementerade sin lag den 15 januari 2026, mer än tre månader efter att flertalet andra EU-länder hade gjort det. Det är en försening som EU-kommissionen noterat, men konsekvenserna för Sverige som stat har hittills stannat vid formella påpekanden snarare än rättsliga processer.
Jämfört med de strängaste implementeringarna inom EU, bland annat Belgien och Tyskland, är den svenska modellen ändå i linje med direktivets kärna: bred sektortäckning, omsättningsbaserade böter och explicita krav på ledningsansvar. Belgien är känt för att ha en av de mest aktiva tillsynsmyndigheterna i EU och har redan genomfört ett antal revisioner och utfärdat sanktioner under NIS2. Det ger Sverige en möjlighet att lära av ett mer moget tillsynssystem.
En skillnad som branschanalytiker lyfter fram är att den svenska lagen kräver att organisationer aktivt registrerar sig hos tillsynsmyndigheten. Den svenska registreringsfristen gick ut den 16 februari 2026. Organisationer som missade fristen och inte registrerade sig befinner sig nu i ett aktivt tillsynsläge utan att ens ha påbörjat sin compliance-resa. MSB har kapacitet att genomföra oanmälda revisioner utan att den drabbade organisationen har lämnat en incidentanmälan eller gjort sig skyldig till ett känt regelbrott.
Branschernas utmaningar
Tillverkningsindustrin, kommunal förvaltning och hälso- och sjukvårdssektorn pekas ut som de tre sektorer i Sverige som har störst utmaningar att möta lagens krav i tid.
Industrin hanterar ofta äldre industriella kontrollsystem (OT-system) som aldrig designades för att kopplas till internet och saknar grundläggande säkerhetsfunktioner som lösenordsskydd och krypterade kommunikationskanaler. En rapport om nordisk energi-OT från 2026 visade att 54% av VPN-gateways mot industriella system i Norden körde föråldrad firmware med kända sårbarheter. Cybersäkerhetslagens krav på riskanalys och säkerhetsåtgärder gäller fullt ut även för OT-miljöer som faller under lagens sektordefinitioner.
Kommunal sektor bär en dubbel börda: hög beroende av IT för att leverera samhällstjänster och kroniskt begränsade IT-säkerhetsbudgetar. Miljödata-attacken mot 200 kommuner och regioner visade konkret hur en enskild leverantörsattack skapar kaskadeffekter i hela den kommunala sektorn. Kommuner klassificeras som väsentliga eller viktiga enheter om de levererar tjänster inom vatten, avlopp eller digital infrastruktur, och måste uppfylla lagens krav trots begränsade resurser.
Hälso- och sjukvården hanterar patientdata som räknas som känslig personuppgift och är en attraktiv måltavla för ransomware-grupper. Sjukhusangrepp kan direkt äventyra patienters liv. Sjukvårdssektorn befinner sig i gruppen väsentliga enheter med de hårdaste kraven, men har historiskt sett haft lägre IT-säkerhetsbudgetar än exempelvis finanssektorn.
Experter spår fem förändringar under de kommande 12 månaderna
Compliance- och säkerhetsexperter från ledande nordiska konsultfirmor och teknikbolag pekar på fem sannolika utvecklingstrender i spåren av cybersäkerhetslagen under 2026-2027:
1. Tillsynsmyndighetens första beslut sätter prejudikat. MSB och sektortillsynsmyndigheterna förväntas fatta de första offentliga besluten om sanktioner eller tillsynsåtgärder under lagens nya regelverk under hösten 2026. Det kommer att tydliggöra tillämpningens skärpa och ge marknaden ett konkret prejudikat att förhålla sig till.
2. Leverantörskedjekrav kaskaderar nedåt. Stora väsentliga enheter som banker och energibolag ställer hårdare säkerhetskrav på sina leverantörer, även sådana som inte själva faller under lagen. Det skapar ett inofficiellt compliance-krav för SME-företag som levererar IT- eller OT-system till kritisk sektor.
3. Styrelseutbildning i cybersäkerhet ökar markant. Lagens krav på att ledningen är kompetent i cyberhot och riskhantering driver en boom i styrelseriktade utbildningar. Leverantörer som Junglemap, ISACA och stora konsultfirmor ser stark efterfrågan under hela 2026 och 2027.
4. Fler offentliga incidentrapporter. Den korta rapporteringsfristen på 24 timmar innebär att fler incidenter blir offentliga, antingen via MSB:s publicering eller via organisationernas egna kommunikationskanaler. Det ökar transparensen kring cyberhot men kräver att organisationer har väl genomtänkta kommunikationsplaner.
5. Marknaden konsolideras kring CSIRT-tjänster. Kraven på incidenthantering och 24/7-beredskap är resurskrävande för medelstora organisationer att uppfylla internt. Det driver efterfrågan på outsourcad Computer Security Incident Response Team-kapacitet (CSIRT) och Security Operations Center (SOC) som tjänst, där Truesec, Atea och en rad svenska och nordiska aktörer konkurrerar om de snabbast växande kontrakten.
Relaterad bevakning
Fördjupa dig i de hot och regelverk som omger cybersäkerhetslagen:
- Cyber Resilience Act: 15 M€ i böter för osäkra produkter [2026]
- Nordisk cybersäkerhet 2026: 54% av chefer skyller ifrån sig
- Sverige under cyberattack: BankID, SVT och banker drabbade [2026]
- Miljödata-attacken: 200 kommuner och 870 000 drabbade [2026]
- Ryskt sabotage mot kritisk infrastruktur: 60 fall [2026]
FAQ: Cybersäkerhetslagen och NIS2 i Sverige
När trädde cybersäkerhetslagen i kraft?
Cybersäkerhetslagen (SFS 2025:1506) trädde i kraft den 15 januari 2026 och ersatte den tidigare lagen om informationssäkerhet för samhällsviktiga och digitala tjänster (LISK, SFS 2018:1174).
Hur många organisationer berörs av lagen?
Uppskattningsvis 6 000 till 8 000 organisationer i Sverige, jämfört med ungefär 900 under den tidigare lagstiftningen. Grundgränsen är 50 anställda eller €10 miljoner i omsättning och balansomslutning inom en av de 18 utpekade sektorerna.
Vad händer om organisationen missar incidentrapporteringsfristen?
Tillsynsmyndigheten kan utfärda sanktioner, inklusive böter och i allvarliga fall ett förbud för ledande befattningshavare att utöva sin position. Den inledande tidiga förvarningen ska lämnas inom 24 timmar, incidentanmälan inom 72 timmar och slutrapport inom en månad.
Vilken myndighet är ansvarig för tillsyn?
MSB (Myndigheten för samhällsskydd och beredskap) är den centrala tillsynsmyndigheten och utfärdar föreskrifter. Sektortillsynsmyndigheter, exempelvis Finansinspektionen för banker och Socialstyrelsen för vård, hanterar sektorsspecifik tillsyn.
Vad innebär det att organisationen klassas som väsentlig enhet?
Väsentliga enheter utsätts för proaktiv tillsyn och kan granskas utan förvarning. De möter de högsta sanktionsgränserna (€10 miljoner eller 2% av global omsättning) och ledningen kan personligen förbjudas att utöva sin roll vid allvarliga regelbrott.
Gäller cybersäkerhetslagen leverantörer?
En organisation som faller under lagen är ansvarig för att bedöma och hantera leverantörsrisker. Leverantörerna är inte direkt reglerade av lagen om de inte själva uppfyller sektors- och storlekskriterierna, men de som levererar till väsentliga enheter möter hårdare avtalskrav som en indirekt konsekvens.
Är den svenska implementeringen strängare än direktivet kräver?
Den svenska lagen ligger nära direktivets miniminivå men har lagt till forskning och universitetsverksamhet som en inhemsk sektor utöver NIS2:s 18 angivna sektorer. Tillgångsbaserade trösklar och sanktionsnivåer följer direktivets krav utan inhemska påslag.
Källor och fördjupning: Innovaiden: Sweden’s Cybersecurity Act (2025:1506), RISMA Systems om cybersäkerhetslagen, Chambers Cybersecurity 2026: Sweden, MSB: NIS-direktivet, Copla: NIS2 i Sverige, Junglemap: Fem sätt att följa cybersäkerhetslagen
