Kort svar:<\/strong> Cybers\u00e4kerhetslagen g\u00e4ller sedan den 15 januari 2026. Den inf\u00f6r NIS2 i Sverige. Om er verksamhet omfattas beh\u00f6ver ni nu kunna visa fem saker: att ni vet om lagen g\u00e4ller f\u00f6r er, att ledningen har ansvar, att risker \u00e4r bed\u00f6mda, att incidenter kan rapporteras och att \u00e5tg\u00e4rder \u00e4r dokumenterade.<\/p>\n Det r\u00e4cker inte med en allm\u00e4n IT-policy. Ni beh\u00f6ver kunna visa hur arbetet styrs. Ni beh\u00f6ver ocks\u00e5 visa vilka beslut som har fattats och hur ni f\u00f6ljer upp arbetet.<\/p>\n Den 15 januari 2026 b\u00f6rjade den nya cybers\u00e4kerhetslagen att g\u00e4lla i Sverige. Lagen bygger p\u00e5 EU:s NIS2-direktiv. Den st\u00e4ller h\u00f6gre krav p\u00e5 m\u00e5nga verksamheter inom viktiga och digitala sektorer.<\/p>\n Myndigheten f\u00f6r civilt f\u00f6rsvar, tidigare MSB, beskriver att fler organisationer omfattas \u00e4n tidigare. Kraven sk\u00e4rps ocks\u00e5. Det g\u00e4ller bland annat riskarbete, s\u00e4kerhets\u00e5tg\u00e4rder, incidentrapportering och ledningens ansvar.<\/p>\n F\u00f6r verksamheter som omfattas \u00e4r fr\u00e5gan d\u00e4rf\u00f6r enkel: vad beh\u00f6ver vara klart nu? Den som v\u00e4ntar riskerar att halka efter. Det g\u00e4ller s\u00e4rskilt ansvar, dokumentation och incidentberedskap.<\/p>\n F\u00f6r en samlad \u00f6versikt \u00f6ver regelverket kan du l\u00e4sa mer om NIS2-r\u00e5dgivning f\u00f6r svenska verksamheter<\/a>.<\/p>\n Cybers\u00e4kerhetslagen g\u00e4ller f\u00f6r vissa verksamheter inom utpekade sektorer. Det f\u00f6rsta steget \u00e4r d\u00e4rf\u00f6r att avg\u00f6ra om lagen g\u00e4ller f\u00f6r er. Den bed\u00f6mningen b\u00f6r dokumenteras.<\/p>\n Om ni omfattas beh\u00f6ver ni visa att cybers\u00e4kerhet hanteras p\u00e5 ett ordnat s\u00e4tt. Arbetet ska ocks\u00e5 utg\u00e5 fr\u00e5n risk. Det betyder att ni beh\u00f6ver:<\/p>\n Arbetet b\u00f6r h\u00e4nga ihop med er befintliga informationss\u00e4kerhet. F\u00f6r m\u00e5nga \u00e4r systematiskt informationss\u00e4kerhetsarbete enligt ISO 2700x<\/a> en bra grund. Cybers\u00e4kerhetslagen har dock egna krav som ocks\u00e5 m\u00e5ste hanteras.<\/p>\n En tydlig f\u00f6r\u00e4ndring med NIS2 \u00e4r ledningens ansvar. Ledningen ska styra cybers\u00e4kerhetsarbetet. Arbetet ska vara systematiskt, riskbaserat och en del av den vanliga styrningen.<\/p>\n Det betyder att styrelse, vd och ledningsgrupp beh\u00f6ver f\u00e5 bra underlag. De beh\u00f6ver ocks\u00e5 kunna visa vilka m\u00e5l, resurser och prioriteringar de har beslutat om.<\/p>\n I praktiken b\u00f6r ledningen minst ha:<\/p>\n Evertrusts rekommendation \u00e4r att behandla NIS2 som en ledningsfr\u00e5ga. Det \u00e4r inte bara ett IT-projekt. Vid tillsyn blir beslut, riskunderlag och bevis ofta avg\u00f6rande.<\/p>\n Cybers\u00e4kerhetslagen har krav p\u00e5 incidentrapportering. Enligt Myndigheten f\u00f6r civilt f\u00f6rsvar ska betydande incidenter rapporteras. En incident kan till exempel p\u00e5verka sekretess, riktighet eller tillg\u00e5ng till system.<\/p>\n Myndigheten anger ocks\u00e5 att f\u00f6reskrifter om incidentrapportering b\u00f6rjar g\u00e4lla den 1 juli 2026. Fram till dess anv\u00e4nds tillf\u00e4lliga l\u00f6sningar p\u00e5 vissa delar.<\/p>\n Det viktiga \u00e4r att ni redan nu vet:<\/p>\n Ett vanligt misstag \u00e4r att behandla NIS2-incidenter som GDPR-incidenter. De kan \u00f6verlappa. Men reglerna har olika syften och olika krav.<\/p>\n Den st\u00f6rsta NIS2-risken under 2026 \u00e4r inte att policyn \u00e4r ofullst\u00e4ndig. Den st\u00f6rre risken \u00e4r att organisationen inte kan visa hur den har t\u00e4nkt.<\/p>\n Vid tillsyn beh\u00f6ver ni kunna f\u00f6rklara era val. Varf\u00f6r omfattas ni, eller varf\u00f6r g\u00f6r ni inte det? Vilka system \u00e4r kritiska? Vilka leverant\u00f6rer \u00e4r viktiga? Hur har ledningen prioriterat?<\/p>\n Ett bra NIS2-arbete b\u00f6r d\u00e4rf\u00f6r ge en tydlig kedja:<\/p>\n omfattningsbed\u00f6mning -> riskanalys -> beslut -> \u00e5tg\u00e4rder -> uppf\u00f6ljning -> incidentberedskap -> f\u00f6rb\u00e4ttring.<\/strong><\/p>\n Om kedjan saknas r\u00e4cker det s\u00e4llan att enskilda tekniska kontroller ser bra ut.<\/p>\n Dokumentera om lagen g\u00e4ller f\u00f6r er. Ange ocks\u00e5 sektor, delsektor och vilka tj\u00e4nster bed\u00f6mningen g\u00e4ller.<\/p>\n J\u00e4mf\u00f6r nul\u00e4get med lagens krav. En gap-analys f\u00f6r cybers\u00e4kerhetslagen<\/a> b\u00f6r leda till tydliga \u00e5tg\u00e4rder, ansvariga personer och tidsplan.<\/p>\n Se till att ledningen beslutar om m\u00e5l, resurser, ansvar och uppf\u00f6ljning.<\/p>\n Identifiera kritiska system, tj\u00e4nster och leverant\u00f6rer. Riskanalysen ska f\u00f6rklara varf\u00f6r ni har valt vissa s\u00e4kerhets\u00e5tg\u00e4rder.<\/p>\n Skapa en process f\u00f6r att uppt\u00e4cka, bed\u00f6ma och rapportera incidenter. Testa processen innan en verklig incident intr\u00e4ffar.<\/p>\n Kartl\u00e4gg leverant\u00f6rer som p\u00e5verkar kritiska tj\u00e4nster. Se till att avtal t\u00e4cker s\u00e4kerhetskrav, incidentinformation och underleverant\u00f6rer.<\/p>\n Spara beslut, riskbed\u00f6mningar, \u00e5tg\u00e4rdsplaner, \u00f6vningar och utbildningar. Efterlevnad beh\u00f6ver kunna visas, inte bara beskrivas.<\/p>\n Se till att ledning och viktiga funktioner f\u00f6rst\u00e5r sin roll. Utbildningen b\u00f6r kopplas till era faktiska risker.<\/p>\nVarf\u00f6r fr\u00e5gan \u00e4r viktig nu<\/h2>\n
Vad reglerna kr\u00e4ver i praktiken<\/h2>\n
\n
Ledningens ansvar g\u00e5r inte att delegera bort<\/h2>\n
\n
Incidentrapportering beh\u00f6ver vara testad<\/h2>\n
\n
Evertrusts kommentar<\/h2>\n
Checklista: detta b\u00f6r finnas p\u00e5 plats nu<\/h2>\n
1. Omfattningsbed\u00f6mning<\/h3>\n
2. NIS2-gap-analys<\/h3>\n
3. Ledningsbeslut<\/h3>\n
4. Riskbaserat s\u00e4kerhetsarbete<\/h3>\n
5. Incidentprocess<\/h3>\n
6. Leverant\u00f6rskontroll<\/h3>\n
7. Bevisning och dokumentation<\/h3>\n
8. Utbildning<\/h3>\n
9. Praktiskt verktygsst\u00f6d<\/h3>\n