05 november, 2025
Författare:
Daniel Brättemark

Nya cybersäkerhetslagen skärper kraven på IT-säkerhet för samhällsviktiga tjänster

Den nionde oktober i år överlämnade regeringen en proposition om en ny cybersäkerhetslag till riksdagen. Syftet är att omvandla EU:s NIS2-direktiv från 2022 till svensk lag, med målet att höja den gemensamma nivån på IT-säkerhet – särskilt inom cybersäkerhet för samhällsviktiga tjänster i Sverige. Lagen innebär att offentliga och privata verksamhetsutövare som erbjuder denna typ av tjänster ska genomföra aktiviteter för att skydda sina nätverks- och informationssystem. De ska även rapportera allvarliga incidenter som påverkar tjänsterna.

Alla som följer nyhetsrapporteringen nuförtiden är medvetna om att cybersäkerhetsincidenter är något som drabbar många typer av organisationer. Tyvärr är konsekvenserna ofta allvarliga så väl för organisationer som för privatpersoner. Den senaste tiden har till exempel uppmärksammade intrång drabbat organisationen Miljödata, fackföreningen Vision och Svenska Kraftnät. Stora mängder information, som till exempel personuppgifter, har stulits och i flera fall publicerats. Det är bland annat den här typen av incidenter som kan förhindras när den nya lagen träder i kraft den 15 januari 2026.

Säkerhetskraven i lagen kan delas in i ett antal kategorier:

  • Styrning och ledning

  • Incidentrapportering

  • Riskhantering

  • Kontinuitetshantering

  • Säkerhet i leveranskedjan

  • Tekniska säkerhetsåtgärder

Vad händer om organisationer inte följer lagen?

Företag och organisationer som hanterar samhällsviktiga tjänster kommer att behöva möta kraven inom dessa områden när lagen träder i kraft. Oförmåga att leva upp till detta kan leda till allvarliga konsekvenser. Organisationen kan drabbas av sanktionsavgifter upp till 10 miljoner euro eller 2% av den globala årsomsättningen. Personer i ledande befattningar är ansvariga för att säkerställa att det finns tillräckliga resurser för säkerhetsarbetet och att arbetet med att följa lagen prioriteras. Om det bedöms att de inte lever upp till dessa krav kan de personligen drabbas av förbud att inneha ledande befattningar i framtiden. Detta är tydliga incitament för organisationen och personer i ledande befattningar att prioritera arbetet med efterlevnad av Cybersäkerhetslagen.

Så säkerställer organisationer efterlevnad

Nästa fråga för organisationen blir då ofta hur de skall gå till väga för att säkerställa att de når rätt nivå av efterlevnad. Ett bra sätt att börja är att genomföra en nulägesanalys. Gå igenom de olika kategorierna och ta fram en bild av hur organisationen ligger till gentemot kraven. Resultatet av analysen blir en grund för att ta fram konkreta åtgärder för det löpande säkerhetsarbetet. Målsättningen skall vara att slutföra arbetet innan den 15 januari. Att kunna visa att implementation pågår och att det finns tydliga åtgärder kan dock räcka långt i dialogen med aktuell tillsynsmyndighet.

En grundförutsättning för att åstadkomma ett strukturerat och väl fungerande säkerhetsarbete är att det finns en tydlighet kring styrning och ledning. En vedertagen metod för detta är att följa ett etablerat ramverk som till exempel ISO/IEC 27001. Detta är även något som MSB rekommenderar. Även om certifiering och efterlevnad av denna standard inte är ett krav i lagen så fungerar det som ett utmärkt stöd i arbetet med efterlevnad. Några exempel på specifika åtgärder som krävs inom området styrning och leding är att en policy för cybersäkerhet skall upprättas och att ansvaret för cybersäkerhet i organisationen skall förtydligas. Det är även viktigt att alla medarbetare tar del av och förstår policyn. Ett bra tips är att hänvisa till den i samband med utbildningen i säkerhetsmedvetenhet som skall genomföras för alla medarbetare minst en gång per år. Det är dessutom nödvändigt att följa upp efterlevnaden av cybersäkerhetspolicyn regelbundet.

Riskhantering och incidentrapportering

Andra områden som är av största vikt för säkerhetsarbetet och som också tas upp i lagen är riskhantering och incidentrapportering. En organisations säkerhetsarbete handlar i stor utsträckning om att hantera risker på olika nivåer. Utan ett strukturerat sätt att bearbeta dessa är det inte möjligt att bedriva ett väl fungerande säkerhetsarbete. Ett bra arbetssätt är att genomföra workshops med ledningen och de olika affärsområdena för att säkerställa att alla relevanta risker fångas upp och hanteras på ett strukturerat sätt. För kritiska risker behöver det finnas ett tydligt ägarskap och identifierade åtgärder som prioriteras av organisationen. Incidentrapportering är ett annat område som är centralt i lagstiftningen. Organisationen behöver ha en väl etablerad process för att identifiera och hantera incidenter. Det finns ett tydligt krav som säger att allvarliga Incidenter skall rapporteras till MSB i enlighet med dessa tidsramar:

  • Första varningen ska rapporteras inom 24 timmar från det att incidenten upptäcks. Syftet är att snabbt informera myndigheterna om att en incident har inträffat och att den kan få betydande konsekvenser.

  • En detaljerad incidentrapport skall delas inom 72 timmar efter upptäckt. Ska innehålla mer information om incidentens art, omfattning, påverkan och vidtagna åtgärder.

  • En slutrapport skall tillhandahållas inom en månad från det att incidenten upptäcktes. Ska inkludera en fullständig analys, lärdomar och eventuella ytterligare åtgärder som vidtagits eller planeras.

Säkerhetsåtgärder

Slutligen så är en viktig funktion med lagen att säkerställa att organisationer är väl förberedda för att undvika att allvarliga incidenter inträffar. För att åstadkomma detta är det nödvändigt att genomföra ett antal tekniska säkerhetsåtgärder. För de flesta organisationerna är detta inga nyheter eftersom det är åtgärder som säkerhetsexperter har rekommenderat under lång tid för att upprätthålla en hög säkerhetsnivå i ett samhälle där förändringstakten inom teknikområdet är snabbare än någonsin. Viktiga kategorier inom detta område är patchning och sårbarhetshantering, nätverkssäkerhet och upprätthållande av robusta åtkomstkontroller. För att ha möjlighet att upptäcka allvarliga säkerhetsincidenter i realtid krävs också någon form av aktiv säkerhetsövervakning.

Sammanfattningsvis innebär den nya cybersäkerhetslagen ett omfattande ansvar för organisationer som tillhandahåller samhällsviktiga tjänster. Lagen ställer krav på både tekniska och organisatoriska åtgärder, tydlig styrning och ledning samt en strukturerad hantering av risker och incidenter. För att undvika allvarliga konsekvenser – både för verksamheten och för enskilda ledningspersoner – krävs ett proaktivt och systematiskt arbete med cybersäkerhet. Genom att påbörja en nulägesanalys, följa etablerade ramverk och säkerställa att rätt kompetens och resurser finns på plats, kan organisationer inte bara uppfylla lagens krav utan också stärka sin motståndskraft mot framtida hot. Den nya lagen är inte bara en skyldighet – den är en möjlighet att bygga ett säkrare digitalt samhälle.

Stärk organisationens IT-säkerhet med rätt stöd

Att uppfylla kraven i den nya cybersäkerhetslagen kräver tid, resurser och rätt kompetens. Vi på ECIT hjälper företag att stärka sin säkerhet genom analyser, tekniska lösningar och rådgivning. Läs mer om hur vi kan stötta er med IT-säkerhet.

DSC01869 Daniel Brättemark

Daniel Brättemark

Daniel Brättemark är en erfaren rådgivare inom cybersäkerhet som hjälper företag att identifiera risker, stärka sin motståndskraft och omsätta säkerhetskrav till praktiska lösningar. Med ett strategiskt och verksamhetsnära perspektiv bidrar han till tryggare och mer hållbara IT-miljöer. Kontakt: 070-8246878 eller hello@ecitsolutions.se