Ny cybersäkerhetslag: det här behöver ni tänka på nu 

Ny cybersäkerhetslag: det här behöver ni tänka på nu 

Idag den 15/1 träder Sveriges nya cybersäkerhetslag i kraft. Lagen är den nationella implementeringen av EU:s NIS2-direktiv och innebär skärpta krav på hur samhällsviktiga och viktiga verksamheter ska arbeta med cybersäkerhet, riskhantering och incidentrapportering. För många organisationer markerar det startskottet för ett mer strukturerat, mer affärskritiskt, säkerhetsarbete. 

I den här artikeln går vi igenom vad lagen innebär i praktiken, vilka verksamheter som berörs, vad som faktiskt förändras för ledning och styrelse – och vad organisationer bör prioritera nu när lagen är på plats. 

Sverige sent ute

EU:s medlemsländer skulle ha infört NIS2 senast hösten 2024. Sverige är ett av flera länder som blivit försenade och har fått en så kallad reasoned opinion från EU-kommissionen, vilket har skapat osäkerhet på marknaden. 

Många organisationer har därför avvaktat i väntan på exakt lagtext och föreskrifter, trots att direktivets inriktning varit känd länge. Det har skjutit upp viktiga förberedelser, samtidigt som hotbilden fortsatt att öka. 

Men Sverige är inte ensamt. Flera EU-länder har varit sena, medan andra, som Finland och Danmark, redan haft lagstiftningen på plats och kommit längre i det praktiska arbetet med tillsyn och efterlevnad. 

Vad innebär lagen i praktiken?

Den nya cybersäkerhetslagen innebär att cybersäkerhet blir en tydligt reglerad ledningsfråga. Kraven omfattar bland annat: 

  • systematiskt och riskbaserat informations- och cybersäkerhetsarbete 
  • tekniska och organisatoriska skyddsåtgärder 
  • incidentrapportering inom snäva tidsramar 
  • kontinuitets- och återhämtningsförmåga 
  • hantering av risker i leverantörskedjan 

Lagen gäller bland annat regioner, kommuner och kommunalförbund inom sektorn offentlig förvaltning, liksom ett stort antal verksamheter inom 18 utpekade sektorer – till exempel energi, transport, bank och finans, hälso- och sjukvård, digital infrastruktur, livsmedel, avfallshantering och delar av tillverkningsindustrin. 

Som huvudregel omfattas medelstora och stora organisationer inom dessa sektorer, men även mindre aktörer kan träffas om de tillhandahåller särskilt kritiska tjänster. Dessutom påverkas många fler indirekt, genom skärpta säkerhets- och uppföljningskrav från kunder och uppdragsgivare. 

Skärpt ansvar för vd och styrelse 

En av de största förändringarna är att ansvaret för cybersäkerheten tydligt flyttas upp till högsta ledningsnivå. Vd och styrelse ska inte bara godkänna säkerhetsåtgärder, utan också följa upp att de fungerar i praktiken. 

Vid allvarliga brister kan sanktionsavgifter uppgå till 10 miljoner euro eller 2 procent av den globala omsättningen, beroende på typ av verksamhet. I vissa fall kan även personligt ansvar aktualiseras. 

Trots det är kännedomen om det skärpta ledningsansvaret fortfarande på många håll låg, särskilt utanför de mest reglerade sektorerna. 

Incidentrapportering – ett av de största skiftena

Lagen ställer krav på snabb incidentrapportering i flera steg. Men rapportering förutsätter faktisk förmåga: att kunna upptäcka incidenter, avgöra vad som är rapporteringspliktigt och agera strukturerat när något händer. 

Syftet är större än den enskilda organisationen. Genom rapportering skapas förutsättningar för gemensam lägesbild, snabbare informationsdelning och bättre samordning vid större cyberhändelser. 

Leverantörskedjan i fokus 

En annan central del av lagen är kraven på leverantörshantering. Organisationer måste nu ta ansvar för cybersäkerhetsrisker även utanför den egna IT-miljön. 

Det innebär bland annat att: 

  • kritiska leverantörer behöver identifieras och riskklassas 
  • säkerhetskrav måste tydliggöras i avtal 
  • uppföljning och kontroll blir en löpande fråga 
  • incidenter hos leverantörer måste kunna hanteras 

För många verksamheter är detta ett mer omfattande arbete än väntat, och ett område där mognaden ofta är låg. 

Risk att fastna i compliance 

Samtidigt som lagen nu träder i kraft finns det en risk att fastna i ett alltför snävt compliance-perspektiv. 

Grundtanken med NIS2 och den svenska cybersäkerhetslagen är inte att organisationer ska bocka av krav i en lista, utan att den faktiska motståndskraften ska öka. Kraven är i sig inte kontroversiella, utmaningen ligger i att omsätta dem i praktiken. 

Organisationer befinner sig dessutom på väldigt olika mognadsnivåer. Lagen kräver inte perfektion från dag ett, men den kräver riktning, tempo och ett systematiskt förbättringsarbete

Vad borde organisationer göra nu?

När lagen nu är i kraft finns några tydliga prioriteringar: 

  1. Identifiera om verksamheten omfattas – direkt eller indirekt 
  2. Genomför en gapanalys mot lagens krav 
  3. Tydliggör ansvar och beslutsvägar, särskilt i ledning och styrelse 
  4. Säkerställ förmåga till incidenthantering och rapportering 
  5. Kartlägg kritiska leverantörer och beroenden 
  6. Se arbetet som långsiktigt och kontinuerligt – inte som ett engångsprojekt 

Ett verktyg, inte ett mål

Den nya cybersäkerhetslagen är inte ett mål i sig, utan ett verktyg för att höja den gemensamma motståndskraften i ett allt mer digitalt och sammankopplat samhälle. 

Om lagen används som struktur för att ta steg i rätt riktning – och om samverkan mellan organisationer, sektorer och regioner ökar kan NIS2 bli startpunkten för ett starkare och mer robust cybersäkerhetsarbete i Sverige. 

Expertens bild: därför handlar NIS2 om mer än lagkrav

Vår affärsområdesansvariga för cybersäkerhet, Pernilla Rönn, intervjuas om den nya cybersäkerhetslagen och vad NIS2 innebär i praktiken i Techtidningen. I intervjun delar hon sin syn på varför Sverige varit sent ute, vilka utmaningar organisationer står inför, och varför fokus bör ligga på faktisk förmåga snarare än formell efterlevnad. 

Läs hela artikeln här

Behöver ni komma i mål med NIS2? 
Vill ni ha hjälp att tolka kraven, genomföra en gapanalys eller omsätta lagen i praktiskt cybersäkerhetsarbete – hör av er till oss. 

Jobba på HiQ

Kontakta oss!

Välj ditt närmaste kontor, ser fram emot att prata!

Läs fler artiklar här

insight Techvardag när mjukvara är affär – och markkontakt blir avgörande 
insight När affärslogiken byggs i kod – Samtal med HiQ:s vd i Agilpodden
insight Mjukvaruutveckling i offentlig sektor 2025:Digital transformation, datamodernisering och samverkan i praktiken
insight Cybersäkerhet i offentlig sektor 2025: offensiva och defensiva strategier
insight EU:s AI-omtag rätt väg för att behålla Europas ansvarsfulla konkurrenskraft
insight Offentlig sektor 2025: AI som kraft, kompass och katalysator
insight När AI möter cybersäkerhet: från risk till möjlighet
insight Atlassian Rovo: AI som navet för framtidens samarbete
insight Del 3: Plattformisering och digital motståndskraft: affärsstrategi på molnets villkor
insight Del 1: AI och kompetensväxling: redo för nästa stora skifte?
insight Del 2: Social engineering och cyberhot: den mänskliga faktorns återkomst
insight Windows 10-supporten upphör – så påverkas företag och vad du behöver göra nu 
insight Möt Laura Vantellini, HiQ:s nya Managing Director i Tyskland 
insight Digitalisering, AI och framtidens Sverige – samtal med civilminister Erik Slottner
insight Kunddata ny guldgruva – och hackarna gräver redan
insight Kvantdatorer och cybersäkerhet – från framtidshot till strategisk verklighet
insight Ny rapport visar hur vi använder ChatGPT: Som att köpa en iPhone och bara använda ficklampan
insight Från kris till insikt: Så bygger vi en säkrare digital offentlig sektor
insight Cyberlandskapet 2020–2025: Från pandemichock till AI-drivna hot
insight AI sätter ny standard för bankernas bedrägeribekämpning
insight När naturen slår till: så kan AI skydda energisystemet från nästa kris
insight AI gör Jira till utvecklarnas nya assistent
insight Bara fem procent lyckas med AI – så undviker du att bli en av förlorarna
insight Från frusen firmware till adaptiv intelligens: Embedded software förändrar spelplanen
insight Edge AI: intelligensen som flyttar in i systemen
insight Digital Resilience – nästa konkurrensfördel
insight Från Docker till Kubernetes – historien om hur vi bygger nästa generations digitala ekosystem
insight De 11 hetaste AI-agenterna 2025 – och hur de redan förändrar affären
insight AI-erfarenheter från utveckarens vardag: hur du använder AI till kod
insight Från data till agens: Navigera AI-mognadens väg mot agentiska system
insight Vad betyder ”Developer Experience” egentligen – och varför bryr sig affärsverksamheten?
insight Utvecklarens Framtid: Vad State of Software 2025 avslöjar om morgondagens tekniska roller
insight Från årsmodell till ständigt aktuell – hur mjukvaran omformar bilens livscykel
insight AI i elnätet – från framtidsvision till faktisk tillämpning
insight Effektivitet utan genvägar – så får du ut mer i varje steg av utvecklingscykeln
insight Intervju med Ashkan Fardost: Därför måste vi förstå tekniken som något djupt mänskligt
insight Mot en datadriven framtid: Falu Energi & Vattens strategiska resa
insight Trygg på svenska – ett språkinitiativ som bygger mod och gemenskap 
insight Java på molnens villkor – best practise för AWS, Azure och GCP
insight Att bygga en techbransch där alla känner sig hemma
insight Spring Boot, Quarkus eller Micronaut? Vi guidar dig rätt i ramverksdjungeln
insight AI – Tillverkningsindustrins sköld mot handelstullarnas nya verklighet?
insight Så bygger du förändringsstarka team – med Annika R Malmberg i Tech Royale
insight Vibe coding vs. DevOps: Framtiden för mjukvaruutveckling i AI-eran? 
insight Från trådar till tusental – så förändrar virtuella trådar hur vi skriver Java
insight Hur företag kan implementera POUR-principerna i sin digitala strategi inför EAA
insight Allt du behöver veta om digital tillgänglighet inför juni 2025
insight Så kan techproffs i början av karriären förbereda sig för framtidens DevOps
insight Varför CxO bör ha DevOps på sin radar
insight Trenderna som formar DevOps under 2025
insight ”Vi måste rusta oss mot en allt mer komplex hotbild”
insight DeepSeek och AI-kapprustningen – Vad betyder det för Sverige?
insight Unlearning för DevOps-team: En nyckelfärdighet för framtiden
insight DevOps och AI: Att bygga system som lär och anpassar sig
insight Om ledarskap och partnerskap inom tech med Simona Bamerlind
insight Hur du leder en techdriven organisation – Insikter från Ledarlabbet
insight Lär dig mer om CRA: en väg till ökade konkurrens-fördelar
insight En praktisk guide till Figmas Dev Mode
insight AI, cybersäkerhet och framtidens underrättelsearbete – ett samtal med Staffan Truvé
insight Så undviker du AI-projektens vanligaste fallgropar
insight Cybersäkerhet i fokus under oktober: Hur vi kan skapa ett tryggare digitalt samhälle
insight Förstå PSD3 och PSR: Varför de är viktiga och vad du behöver veta
insight Open Banking och API-ekonomin: Drivkrafter till ny innovation inom finans
insight Sveriges finansiella infrastruktur ur ett tech-perspektiv
insight Fem nycklar för IT- och techdriven innovation – lärdomar från Radar Talk
insight Autonoma fordon och revolutionen inom transportsektorn
insight AI och hållbarhet: Möjligheter, utmaningar och vägen framåt.
insight NIS2 – inte bara för samhällsviktiga funktioner
insight Fyra expertråd om affärsnytta med GAI
insight Ta täten inom Industriell IoT
insight Hur väl känner vi till barnens digitala preferenser, egentligen?
insight Norden tar täten i AI-racet
insight AI-utvecklingen i nordiska energi- och tillverkningsbolag
insight Revolutionen av AI-infrastruktur
insight Vaska fram guldet i din data
insight Styr rätt i AI-revolutionen
insight Skippa projekt & pi i mjukvaru-utvecklingen
insight Vad händer om din mjukvara fallerar?
insight Så gör HiQ för att hjälpa dig och ditt företag
insight Kulturen avgörande för att nå i mål med digitala investeringar 
insight AI – från data till affärsbeslut