{"id":119,"date":"2026-06-19T04:46:04","date_gmt":"2026-06-19T04:46:04","guid":{"rendered":"https:\/\/shattered.io\/se\/2026\/06\/19\/cybersaekerhetslagen-nis2-2026\/"},"modified":"2026-06-19T04:47:43","modified_gmt":"2026-06-19T04:47:43","slug":"cybersaekerhetslagen-nis2-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/se\/cybersaekerhetslagen-nis2-2026\/","title":{"rendered":"Cybers\u00e4kerhetslagen: 6 000 f\u00f6retag under NIS2 [2026]"},"content":{"rendered":"\n

Den 15 januari 2026 tr\u00e4dde Sveriges nya cybers\u00e4kerhetslag<\/strong> (SFS 2025:1506) i kraft och ersatte det gamla NIS1-ramverket med ett system som st\u00e4ller v\u00e4sentligt h\u00e5rdare krav p\u00e5 landets organisationer. Lagen genomf\u00f6r EU:s NIS2-direktiv i svensk r\u00e4tt och ber\u00e4knas dra in 6 000 till 8 000 organisationer i sin till\u00e4mpning, j\u00e4mf\u00f6rt med ungef\u00e4r 900 under den tidigare lagstiftningen. Med b\u00f6ter p\u00e5 upp till \u20ac10 miljoner och ett krav p\u00e5 att styrelsen personligen b\u00e4r ansvar f\u00f6r cybers\u00e4kerheten markerar lagen ett systemskifte i hur Sverige hanterar digital motst\u00e5ndskraft.<\/p>\n\n\n\n

Vad \u00e4r cybers\u00e4kerhetslagen?<\/h2>\n\n\n\n

Cybers\u00e4kerhetslagen (Cybers\u00e4kerhetslag, SFS 2025:1506) \u00e4r den svenska implementeringen av EU:s NIS2-direktiv (Direktiv 2022\/2555\/EU). Direktivet antogs p\u00e5 EU-niv\u00e5 i slutet av 2022 och syftar till att modernisera och harmonisera cybers\u00e4kerhetskraven inom unionen. Arbetet med den svenska lagstiftningen startade formellt i februari 2023 med en utredning som resulterade i bet\u00e4nkandet SOU 2024:64 “Nya regler om cybers\u00e4kerhet”.<\/p>\n\n\n\n

Riksdagen r\u00f6stade igenom lagen h\u00f6sten 2025, och den tr\u00e4dde i kraft den 15 januari 2026. Registreringsportalen \u00f6ppnade den 2 februari 2026, och sista dag f\u00f6r organisationer att anm\u00e4la sig var den 16 februari 2026. Organisationer som missade registreringsfristen \u00e4r nu exponerade f\u00f6r de tillsynsbefogenheter som lagen ger myndigheterna, inklusive oanm\u00e4lda revisioner och b\u00f6ter mot ledningen personligen.<\/p>\n\n\n\n

Myndigheten f\u00f6r samh\u00e4llsskydd och beredskap (MSB) \u00e4r den centrala tillsynsmyndigheten och ansvarar f\u00f6r att utf\u00e4rda fyra regelpaket som konkretiserar lagens krav. Det h\u00e4r \u00e4r ingen liten justering av befintliga regler: lagen vidgar till\u00e4mpningsomr\u00e5det fr\u00e5n en smal definition av sektorsgrenar till att g\u00e4lla hela den juridiska personen, oavsett hur verksamheten \u00e4r organiserad internt.<\/p>\n\n\n\n

Bakgrunden: Fr\u00e5n NIS1 till NIS2<\/h2>\n\n\n\n

Den tidigare svenska NIS-lagstiftningen (SFS 2018:1174, lagen om informationss\u00e4kerhet f\u00f6r samh\u00e4llsviktiga och digitala tj\u00e4nster, LISK) tr\u00e4dde i kraft 2018 och implementerade det f\u00f6rsta NIS-direktivet. Under LISK g\u00e4llde reglerna bara den specifika driftsgrenaren som utl\u00f6ste sektorsklassificeringen, inte organisationen i sin helhet. Det innebar att en stor koncern med verksamhet i en k\u00e4nslig sektor teoretiskt sett kunde kringg\u00e5 kraven genom intern organisering.<\/p>\n\n\n\n

Sanktionssystemet under NIS1 var relativt begr\u00e4nsat och baserades p\u00e5 fasta svenska maxbelopp som branschakt\u00f6rer och s\u00e4kerhetsexperter l\u00e4nge kritiserade f\u00f6r att sakna avskr\u00e4ckande effekt. Cybers\u00e4kerhetslagen byter ut det systemet mot ett tv\u00e5delat modell: v\u00e4sentliga enheter riskerar b\u00f6ter p\u00e5 upp till \u20ac10 miljoner eller 2% av global \u00e5rsoms\u00e4ttning, det belopp som \u00e4r h\u00f6gst av de tv\u00e5. Viktiga enheter riskerar \u20ac7 miljoner eller 1,4% av global oms\u00e4ttning.<\/p>\n\n\n\n

Hotbilden mot Sverige har under perioden 2024-2026 f\u00f6r\u00e4ndrats dramatiskt. DNV:s rapport “How Cyber Resilient Are the Nordics? 2026” dokumenterade 60 cyberincidenter mot svenska organisationer under 2025, det h\u00f6gsta antalet bland de nordiska l\u00e4nderna. Finland noterade 44 incidenter, Danmark 41 och Norge 21 under samma period. Mot den bakgrunden \u00e4r NIS2-implementeringen inte bara ett regulatoriskt krav utan en reaktion p\u00e5 ett reellt och eskalerande hotlandskap.<\/p>\n\n\n\n

Vilka organisationer ber\u00f6rs?<\/h2>\n\n\n\n

Cybers\u00e4kerhetslagen g\u00e4ller privata och offentliga organisationer som \u00e4r verksamma inom de 18 sektorer som pekas ut i lagen. Inom dessa sektorer \u00e4r den grundl\u00e4ggande storleksgr\u00e4nsen 50 anst\u00e4llda eller en \u00e5rsoms\u00e4ttning och balansomslutning som \u00f6verstiger \u20ac10 miljoner. Det \u00e4r en tr\u00f6skel som f\u00e5ngar de flesta medelstora och stora f\u00f6retag i Sverige.<\/p>\n\n\n\n

Vissa kategorier av organisationer omfattas oberoende av storlek. Leverant\u00f6rer av betrodda tj\u00e4nster och den enda leverant\u00f6ren av en samh\u00e4llsviktig tj\u00e4nst i en region eller ett land faller under lagen oavsett om de har 10 eller 10 000 anst\u00e4llda. Det g\u00f6r att exempelvis en liten, regional eltj\u00e4nsteleverant\u00f6r utan konkurrenter kan vara tvungen att uppfylla samma krav som ett b\u00f6rsnoterat energibolag.<\/p>\n\n\n\n

Organisationerna delas in i tv\u00e5 niv\u00e5er: v\u00e4sentliga enheter<\/strong> och viktiga enheter<\/strong>. V\u00e4sentliga enheter befinner sig i de mest kritiska sektorerna som energi, transporter, bankv\u00e4sende och h\u00e4lso- och sjukv\u00e5rd. De underkastas proaktiv tillsyn och kan granskas utan f\u00f6rvarning. Viktiga enheter, som post- och pakettj\u00e4nster, avfallshantering och livsmedelsproduktion, underkastas reaktiv tillsyn och granskas framf\u00f6r allt vid misstanke om regelbrott eller efter en incident.<\/p>\n\n\n\n

Kategori<\/th>Exempel p\u00e5 sektorer<\/th>Maxb\u00f6ter<\/th>Tillsynsmodell<\/th><\/tr><\/thead>
V\u00e4sentliga enheter<\/td>Energi, transport, bankv\u00e4sende, h\u00e4lsa, dricksvatten, digital infrastruktur<\/td>\u20ac10 miljoner eller 2% av global oms\u00e4ttning<\/td>Proaktiv, inklusive oanm\u00e4lda revisioner<\/td><\/tr>
Viktiga enheter<\/td>Post, avfallshantering, livsmedel, kemikalier, forskning<\/td>\u20ac7 miljoner eller 1,4% av global oms\u00e4ttning<\/td>Reaktiv, prim\u00e4rt vid incident eller misstanke<\/td><\/tr>
Undantagna<\/td>Mikrof\u00f6retag utanf\u00f6r kritisk sektor, statliga s\u00e4kerhetsorgan<\/td>Ej till\u00e4mpligt<\/td>Ej till\u00e4mpligt<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Incidentrapportering: 24 timmar r\u00e4cker inte l\u00e4ngre<\/h2>\n\n\n\n

En av de mest konkreta f\u00f6r\u00e4ndringarna som cybers\u00e4kerhetslagen f\u00f6r med sig \u00e4r den strukturerade rapporteringsplikten vid cyberincidenter. Under den gamla lagstiftningen var rapporteringskraven oprecisa och varierade mellan sektorer. Nu g\u00e4ller en tvingande trestegsmodell med fasta tidsgr\u00e4nser.<\/p>\n\n\n\n

Steg ett \u00e4r en tidig f\u00f6rvarning<\/strong> som ska l\u00e4mnas till MSB och sektortillsynsmyndigheten inom 24 timmar fr\u00e5n det att organisationen fick k\u00e4nnedom om en allvarlig incident. Varningen ska inneh\u00e5lla information om huruvida incidenten misst\u00e4nks vara brottslig och om den kan ha gr\u00e4ns\u00f6verskridande effekter.<\/p>\n\n\n\n

Steg tv\u00e5 \u00e4r en incidentanm\u00e4lan<\/strong> som ska l\u00e4mnas inom 72 timmar. Anm\u00e4lan ska inneh\u00e5lla en bed\u00f6mning av incidentens allvarlighetsgrad, p\u00e5verkan och indikatorer p\u00e5 kompromiss. Leverant\u00f6rer av betrodda tj\u00e4nster har kortare tid: de ska l\u00e4mna incidentanm\u00e4lan redan inom 24 timmar.<\/p>\n\n\n\n

Steg tre \u00e4r en slutrapport<\/strong> som ska l\u00e4mnas inom en m\u00e5nad. Om incidenten fortfarande p\u00e5g\u00e5r l\u00e4mnas ist\u00e4llet en l\u00e4gesrapport. Slutrapporten ska inneh\u00e5lla en fullst\u00e4ndig beskrivning av incidenten, grundorsak, \u00e5tg\u00e4rder vidtagna och planerade. F\u00f6r banker och finansiell infrastruktur g\u00e4ller, ut\u00f6ver detta, parallella rapporteringskrav till Finansinspektionen under DORA-f\u00f6rordningen.<\/p>\n\n\n\n

Charlotte Pataky, pressansvarig p\u00e5 BankID, beskrev hanteringen av DDoS-attacken mot BankID den 23 april 2025 p\u00e5 ett s\u00e4tt som illustrerar varf\u00f6r tydliga rapporteringsplaner \u00e4r avg\u00f6rande: “Det var en otroligt kraftfull \u00f6verbelastningsattack som tar tid att \u00e5terst\u00e4lla. Men alla uppgifter \u00e4r skyddade, och var det under attacken. Vi incidentanm\u00e4ler till ber\u00f6rda myndigheter, polisanm\u00e4ler och utreder f\u00f6rst\u00e5s varf\u00f6r driftst\u00f6rningen varade s\u00e5 l\u00e4nge.” Attacken lamslog inloggning f\u00f6r mer \u00e4n 8,6 miljoner anv\u00e4ndare och tog ned tillg\u00e5ngen till banker, Swish och statliga e-tj\u00e4nster under flera timmar. Mer \u00e4n 10 000 felanm\u00e4lningar registrerades under den f\u00f6rsta timmen.<\/p>\n\n\n\n

B\u00f6ter p\u00e5 upp till \u20ac10 miljoner<\/h2>\n\n\n\n

Sanktionssystemet under cybers\u00e4kerhetslagen \u00e4r utformat f\u00f6r att vara verkligt avskr\u00e4ckande. B\u00f6terna kopplas till den globala oms\u00e4ttningen, vilket inneb\u00e4r att ett multinationellt bolag med svensk dotterbolagsverksamhet kan drabbas av b\u00f6ter baserade p\u00e5 koncernens totala v\u00e4rldsoms\u00e4ttning.<\/p>\n\n\n\n

F\u00f6r v\u00e4sentliga enheter g\u00e4ller det h\u00f6gsta av antingen \u20ac10 miljoner eller 2% av global \u00e5rsoms\u00e4ttning. En organisation med 5 miljarder kronor i global oms\u00e4ttning riskerar b\u00f6ter p\u00e5 upp till 100 miljoner kronor om den befinns ha brutit mot lagens krav p\u00e5 ett allvarligt s\u00e4tt. F\u00f6r viktiga enheter \u00e4r taken \u20ac7 miljoner eller 1,4% av global oms\u00e4ttning.<\/p>\n\n\n\n

Ut\u00f6ver ekonomiska sanktioner kan tillsynsmyndigheten f\u00f6rbjuda ledande befattningshavare i v\u00e4sentliga enheter att ut\u00f6va sin position under en period. Det \u00e4r en ny typ av sanktion som saknade motsvarighet i NIS1-ramverket och som riktar sig direkt mot chefer och styrelsens ledam\u00f6ter, inte bara mot organisationen som helhet.<\/p>\n\n\n\n

Sanktionsavgifterna varierar beroende p\u00e5 om enheten klassificeras som v\u00e4sentlig, viktig eller offentlig. F\u00f6r offentliga akt\u00f6rer g\u00e4ller fasta maxbelopp snarare \u00e4n oms\u00e4ttningsbaserade tak, eftersom offentliga verksamheter i regel saknar kommersiell oms\u00e4ttning att ber\u00e4kna b\u00f6ter p\u00e5. MSB anger ett spann fr\u00e5n 5 000 kronor i botten upp till \u20ac10 miljoner f\u00f6r de gr\u00f6vsta regelbrotten av privata v\u00e4sentliga enheter.<\/p>\n\n\n\n

Styrelseansvar: en ny verklighet f\u00f6r ledningsgrupper<\/h2>\n\n\n\n

Cybers\u00e4kerhetslagen inf\u00f6r explicit styrelseansvar f\u00f6r cybers\u00e4kerhet. Det inneb\u00e4r att organisationens h\u00f6gsta ledning, inklusive styrelseledam\u00f6ter i aktiebolag och f\u00f6rvaltningschefer i offentliga verksamheter, inte l\u00e4ngre kan delegera bort ansvaret till IT-avdelningen och betrakta fr\u00e5gan som avklarad.<\/p>\n\n\n\n

Lagen kr\u00e4ver att ledningen godk\u00e4nner de s\u00e4kerhets\u00e5tg\u00e4rder organisationen vidtar, att den deltar i utbildning kring cyberhot och riskhantering, och att den \u00e4r ytterst ansvarig f\u00f6r att incidentrapportering sker i r\u00e4tt tid. Compliance-plattformen Junglemap sammanfattar f\u00f6r\u00e4ndringen: “Lagen st\u00e4ller tydligare krav p\u00e5 ledningens och styrelsens ansvar f\u00f6r organisationens cybers\u00e4kerhet. Ledningen m\u00e5ste godk\u00e4nna s\u00e4kerhets\u00e5tg\u00e4rder och ha n\u00f6dv\u00e4ndig kompetens.”<\/p>\n\n\n\n

Konsekvensen f\u00f6r bolagsstyrelser \u00e4r p\u00e5taglig. Cybers\u00e4kerhet b\u00f6r nu behandlas p\u00e5 samma s\u00e4tt som finansiell revision: inte som en teknisk detalj utan som en strategisk riskfr\u00e5ga. Styrelseledam\u00f6ter som inte kan redog\u00f6ra f\u00f6r organisationens incidentresponsplan, leverant\u00f6rsbed\u00f6mningar och s\u00e4kerhetsarkitektur riskerar personliga sanktioner vid en allvarlig incident.<\/p>\n\n\n\n

S\u00e4kerhetspolisen (S\u00c4PO) understr\u00f6k i mars 2026 relevansen av det f\u00f6rdjupade hotet: “S\u00e4kerhetspolisens bed\u00f6mning \u00e4r att s\u00e4kerhetshot mot Sverige utf\u00f6rs av Ryssland och att dessa kan komma att bli allt vanligare. V\u00e5r bed\u00f6mning \u00e4r att hotet mot Sverige kommer att utvecklas p\u00e5 ett s\u00e5dant s\u00e4tt att situationen forts\u00e4tter att f\u00f6rs\u00e4mras under de kommande \u00e5ren. Ryssland f\u00f6rblir det st\u00f6rsta hotet mot Sverige.” Det \u00e4r ett budskap som g\u00f6r att styrelseansvar inom cybers\u00e4kerhet handlar om nationell s\u00e4kerhet, inte enbart regulatorisk compliance.<\/p>\n\n\n\n

Leverant\u00f6rskedjans s\u00e4kerhet i fokus<\/h2>\n\n\n\n

Supply chain-s\u00e4kerhet \u00e4r ett av de tre k\u00e4rnkraven i cybers\u00e4kerhetslagen, tillsammans med incidentrapportering och riskhantering. Organisationer som faller under lagen \u00e4r ansvariga f\u00f6r att deras leverant\u00f6rer och tredjeparter uppfyller digitala s\u00e4kerhetskrav. Det r\u00e4cker inte att den egna infrastrukturen \u00e4r s\u00e4ker om en kritisk IT-leverant\u00f6r brister.<\/p>\n\n\n\n

CGI-incidenten fr\u00e5n mars 2026 illustrerar problemet konkret. Hackergruppen ByteToBreach p\u00e5stod sig ha stulit ett stort dataset fr\u00e5n CGI:s svenska division, inklusive k\u00e4llkod som anv\u00e4nds av offentliga myndigheter. K\u00e4llkod, l\u00f6senord och krypteringsnycklar ska ha l\u00e4ckt ut, enligt journalister p\u00e5 Dagens Nyheter som granskade materialet. CGI bekr\u00e4ftade att angripare fick tillg\u00e5ng till ett begr\u00e4nsat antal interna testservrar i Sverige och att en \u00e4ldre version av applikationens k\u00e4llkod stals. Produktionsmilj\u00f6er och driftdata p\u00e5verkades inte, h\u00e4vdade bolaget.<\/p>\n\n\n\n

En av de ber\u00f6rda myndigheterna var Skatteverket. Peder Sj\u00f6lander, Skatteverkets IT-direkt\u00f6r, kommenterade: “Vi tar alla incidenter p\u00e5 allvar, men vi ser inte n\u00e5got som p\u00e5verkar oss just nu.” H\u00e4ndelsen visar \u00e4nd\u00e5 hur en enda komprometterad IT-leverant\u00f6r skapar os\u00e4kerhet om statliga system och hur lagens krav p\u00e5 leverant\u00f6rsbed\u00f6mning fyller en verklig funktion.<\/p>\n\n\n\n

Under cybers\u00e4kerhetslagen m\u00e5ste organisationer dokumentera sin bed\u00f6mning av leverant\u00f6rsrisker, st\u00e4lla s\u00e4kerhetskrav i avtal och verifiera att leverant\u00f6rerna faktiskt lever upp till kraven. Det \u00e4r en process som kr\u00e4ver resurser och f\u00f6r\u00e4ndrade upphandlingsrutiner, och som f\u00f6r m\u00e5nga organisationer inneb\u00e4r en kulturell omst\u00e4llning lika mycket som en teknisk.<\/p>\n\n\n\n

MSB:s fyra regelpaket styr implementeringen<\/h2>\n\n\n\n

Myndigheten f\u00f6r samh\u00e4llsskydd och beredskap (MSB) har f\u00e5tt i uppdrag att utf\u00e4rda fyra regelpaket som konkretiserar cybers\u00e4kerhetslagens krav. Tidplanen f\u00f6r regelpaketen speglar en gradvis upptrappning av tillsynens tekniska sk\u00e4rpa:<\/p>\n\n\n\n