Omfattas din organisation av cybersäkerhetslagen? Den 15 januari 2026 trädde lagen (SFS 2025:1506) i kraft som den svenska implementeringen av EU:s NIS2-direktiv. Med den följer skärpta krav på cybersäkerhet för organisationer som bedriver samhällsviktig verksamhet.
Vilka omfattas?
Cybersäkerhetslagen omfattar väsentliga och viktiga verksamhetsutövare inom sektorer som energi, transport, hälso- och sjukvård, dricksvatten, digital infrastruktur, offentlig förvaltning och flera andra.
De viktigaste kraven
- Riskhantering: Du ska genomföra systematiska riskbedömningar och vidta lämpliga säkerhetsåtgärder.
- Incidentrapportering: Betydande incidenter ska rapporteras till tillsynsmyndigheten inom 24 timmar.
- Ledningens ansvar: Ledningen har ett personligt ansvar för att kraven uppfylls. Läs mer om vad ledningsansvaret innebär i praktiken.
- Leverantörskedjans säkerhet: Du ska beakta säkerhetsrisker i din leverantörskedja.
Vad bör du göra nu?
- Kartlägg om din organisation omfattas av cybersäkerhetslagen
- Genomför en gap-analys mot de nya kraven, exempelvis med stöd av ISO 27001
- Ta fram en handlingsplan med prioriterade åtgärder
- Implementera nödvändiga tekniska och organisatoriska åtgärder
- Följ upp kontinuerligt med hjälp av verktyg som Securapilot
Behöver du hjälp att komma igång? Kontakta oss för en kostnadsfri genomgång.
Fler insikter
Relaterade artiklar
Compliance-kostnaden är inte en teknikfråga. Det är en styrningsskuld.
Europeiska företag lägger ~150 miljarder euro på regelefterlevnad varje år. AI snabbar inte upp det om styrningen saknas.
Säkerhet som inte kommuniceras är säkerhet som inte finns
Rätt riskbild räcker inte om ledningen inte kan agera på den. Så når du beslut uppåt och beteende nedåt.