Den 15 januari 2026 trädde cybersäkerhetslagen (SFS 2025:1506) i kraft. Med den följer skärpta krav på systematiskt cybersäkerhetsarbete, incidentrapportering och – inte minst – ett tydligare ansvar för ledningen. Men en närmare granskning av lagens konstruktion visar att konsekvenserna för ledningen ser väsentligt olika ut beroende på om verksamheten är privat eller offentlig.
Vad säger lagen om ledningsansvar?
Cybersäkerhetslagen ställer krav på att ledningsorganet i en verksamhet ska ta aktivt ansvar för cybersäkerhetsarbetet. Konkret innebär det bland annat att ledningen ska genomgå utbildning om säkerhetsåtgärder och att de kan ställas till svars för överträdelser.
Enligt propositionen definieras ledningsorganet på följande sätt:
- Aktiebolag: styrelse och VD
- Statliga myndigheter: myndighetschef (enrådighetsmyndighet), styrelse (styrelsemyndighet) eller nämnd (nämndmyndighet)
- Kommuner och regioner: kommun- respektive regionstyrelsen
Lagen ger också tillsynsmyndigheter ett kraftfullt verktyg: möjligheten att ansöka om förbud för en person att utöva sin ledningsroll hos en verksamhetsutövare. Det är ett direkt personligt ansvarsutkrävande som går utöver ekonomiska sanktioner.
Undantaget: offentlig sektor
Här uppstår en viktig skillnad. Lagen anger uttryckligen att förbud att utöva ledningsroll inte får riktas mot offentliga verksamhetsutövare. Det innebär att det stärkaste personliga sanktionsverktyget – att faktiskt kunna avlägsna en ledningsperson från sin roll – är avskuret för kommuner, regioner och statliga myndigheter.
Denna begränsning bekräftas av Myndigheten för civilt försvar (MCF) i deras FAQ om cybersäkerhetslagen, senast uppdaterad den 12 februari 2026.
Vad gäller då för offentlig sektor?
Det är viktigt att understryka att offentlig sektor inte är undantagen från lagen i övrigt. Sanktionsavgifter gäller fullt ut. För väsentliga verksamhetsutövare kan avgifterna uppgå till 10 miljoner euro eller 2 procent av den globala årsomsättningen, och för viktiga verksamhetsutövare upp till 7 miljoner euro eller 1,4 procent. Tillsynsmyndigheter kan också utfärda anmärkningar och förelägganden.
Skillnaden ligger i vem som bär konsekvensen. I ett privat företag kan sanktionen träffa både organisationen ekonomiskt och ledningen personligen. I en kommun träffar den ekonomiska sanktionen kommunens budget – och i förlängningen de medborgare vars välfärdstjänster finansieras därifrån.
Varför spelar detta roll i praktiken?
För att förstå den praktiska betydelsen behöver man titta på hur styrning fungerar i offentlig sektor jämfört med privat sektor.
Mandatperiod och kontinuitet
I en kommun består ledningsorganet av förtroendevalda som roterar med politiska mandatperioder på fyra år. Systematiskt cybersäkerhetsarbete kräver långsiktig uppbyggnad och mognad – ofta tre till fem år för att nå en stabil nivå. Det skapar en naturlig spänning mellan den politiska cykeln och cybersäkerhetsarbetets tidsperspektiv.
Kompetens och förutsättningar
Kommunstyrelseledamöter har sällan specialiserad kompetens inom informationssäkerhet. Det är inte heller rimligt att förvänta sig det – men det förutsätter att det finns fungerande stödstrukturer och att ledningen har tillgång till rätt beslutsunderlag.
Incitamentsstruktur
Utan möjligheten till personliga konsekvenser för ledningen vilar drivkraften helt på organisationens egen förmåga att skapa intern styrning. Det är inte omöjligt – men det kräver medvetna beslut.
Inga krav på intern tillsynsroll
Ytterligare en detalj värd att notera: cybersäkerhetslagen ställer inga krav på att verksamheter inrättar en intern tillsynsroll för cybersäkerhet. Däremot ställer lagen krav på att organisationen följer upp sina egna arbetssätt och verifierar att skyddet faktiskt fungerar. Det är alltså ingen formell kravbild på internrevision av cybersäkerhet, men det systematiska arbetssättet förutsätter egentligen att det sker.
Vad kan offentlig sektor göra?
Att det personliga sanktionsverktyget saknas innebär inte att offentlig sektor står utan möjligheter. Det innebär att organisationen själv måste bygga de styrmekanismer som lagen inte tvingar fram. Några konkreta åtgärder:
Koppla cybersäkerhetsansvar till delegationsordningen
Gör det synligt och formellt vem i organisationen som äger olika delar av cybersäkerhetsrisken. När ansvar är tydligt kopplat till en funktion eller person ökar både medvetenheten och möjligheten till uppföljning.
Låt internrevisionen granska cybersäkerhet
De flesta kommuner och regioner har internrevision som granskar ekonomi och verksamhet. Att inkludera informationssäkerhet i granskningsplanen är ett naturligt steg som skapar intern ansvarsutkrävning utan att kräva lagändring.
Gör ledningsutbildningen operativt relevant
Lagen kräver att ledningen genomgår utbildning. Hur utbildningen ska utformas är ännu inte fastställt i föreskrift. Här finns ett tillfälle att gå bortom det formella och ge kommunstyrelsen verktyg att faktiskt förstå och följa upp cybersäkerhetsarbetet.
Lyft cybersäkerhet in i den politiska styrkedjan
Cybersäkerhet bör inte enbart vara en fråga för IT-avdelningen eller en enskild nämnd. När kommunstyrelsen är formellt ledningsorgan behöver de också löpande lägesbilder och beslutsunderlag – inte bara årsrapporter.
Använd Cybersäkerhetskollen och MCF:s metodstöd
MCF tillhandahåller fritt tillgängliga verktyg för att bedöma och utveckla det systematiska cybersäkerhetsarbetet. Dessa ger en strukturerad utgångspunkt för organisationer som behöver komma igång eller vidareutveckla sitt arbete.
Sammanfattning
Cybersäkerhetslagen ställer samma krav på offentlig och privat sektor. Samma skyldigheter kring riskhantering, incidentrapportering och ledningens ansvar gäller. Men konsekvenserna vid brister ser olika ut. Förbudet att utöva ledningsroll – lagens stärkaste personliga sanktionsverktyg – är inte tillämpbart i offentlig sektor.
Det gör det ännu viktigare att offentliga verksamheter bygger en intern styrning som kompenserar för den begränsningen. Mandat, ansvar och riskägarskap måste hänga ihop – också när lagen inte fullt ut tvingar fram det.
Källor
- Cybersäkerhetslagen (SFS 2025:1506)
- Cybersäkerhetsförordningen (SFS 2025:1507)
- MCF: Frågor och svar om cybersäkerhetslagen, uppdaterad 2026-02-12
- MCF: Cybersäkerhetslagen för ledningen
- MCFFS 2026:1 – Föreskrifter om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare
- Proposition 2024/25:45 – Cybersäkerhet i Sverige (Regeringens proposition)
Behöver ni stöd med att tolka cybersäkerhetslagen och bygga en fungerande styrmodell? Kontakta oss för en kostnadsfri genomgång.
Fler insikter
Relaterade artiklar
NIS2 och cybersäkerhetslagen: vad gäller nu?
Den svenska cybersäkerhetslagen trädde i kraft januari 2025. Vi går igenom de viktigaste kraven och vad din organisation behöver göra.
ISO 27001:2022: de viktigaste förändringarna
Den uppdaterade standarden medför nya kontroller och en omstrukturerad kontrollbilaga. Så påverkas ert LIS.