Det nya året har knappt hunnit börja, men för tusentals verksamheter i Sverige tickar redan klockan. Den nya lagen om cybersäkerhet ställer nu skarpare krav på företag och organisationer. Och det räcker inte att vänta och se. Den som berörs måste agera – snabbt.
Från och med februari gäller nya regler som kan få konsekvenser för dem som inte följer dem.
Klicka här för att följa oss på Google
Cybersäkerhetslagen: Alla berörda måste registrera sig
I februari öppnades anmälan för verksamheter som omfattas av cybersäkerhetslagen. Och samtliga verksamhetsutövare som omfattas av lagen ska anmäla sig, oavsett sektor. Det gäller även för kommuner och regioner.
Enligt Myndigheten för civilt försvar ska anmälan göras så snart det kan ske från den 2 februari, och om inte anmälan kommer inom 14 dagar kan tillsynsmyndigheterna komma att vidta åtgärder.
Läkemedelsverket: Säkerställ så att du har anmält
För aktörer inom läkemedels- och medicinteknikområdet är det Läkemedelsverket som ansvarar för tillsynen. Myndigheten uppmanar nu berörda företag att kontrollera att anmälan verkligen är gjord.
– Cyberangrepp mot läkemedels- och medicinteknikområdet kan få direkt påverkan på patientsäkerheten och tillgången till kritiska produkter. Cybersäkerhetslagen är en viktig del i att stärka motståndskraften i hela försörjningskedjan. Nu behöver berörda företag säkerställa att de har anmält sig, säger Mats Wurmbach, projektledare på Läkemedelsverket, i ett pressmeddelande.
Cybersäkerhetslagen syftar till att stärka cybersäkerheten inom samhällsviktiga sektorer i hela EU. För företag inom läkemedel och medicinteknik innebär det krav på registrering samt skärpta krav på riskhantering, incidentrapportering och säkerhetsåtgärder.
Det här granskas vid tillsyn
Läkemedelsverket kommer att följa upp att verksamheter lever upp till regelverket.
– Tillsynen kommer att omfatta bland annat att företaget har genomfört en riskanalys, att lämpliga tekniska och organisatoriska säkerhetsåtgärder är införda och att rutiner för incidentrapportering finns på plats. Det är företaget som är ansvarig för att ta reda på villkor och göra nödvändiga anpassningar, fortsätter Mats Wurmbach vidare.
Det är alltså verksamheten själv som måste ta reda på om den omfattas av lagen och hur kraven ska uppfyllas.
Verksamheten gör bedömningen själv
Enligt Myndigheten för civilt försvar är det verksamhetsutövaren själv som ansvarar för att bedöma om den omfattas av cybersäkerhetslagen och om den ska klassas som väsentlig eller viktig aktör. Myndigheten gör inga individuella bedömningar åt enskilda verksamheter.
Den som lutar åt att omfattas bör dokumentera sina skäl och skicka in anmälan. Det går att återta anmälan senare om bedömningen ändras. Om man i stället bedömer att man inte omfattas ska även det dokumenteras, för att kunna redovisas vid behov.
Så går anmälan till
Anmälan sker via myndighetens e-tjänsteportal. Inloggning kräver BankID, Freja+ eller utländskt eID.
I formuläret ska följande uppgifter anges:
- Organisationsnamn
- Organisationsnummer och kontaktuppgifter
- Sektorsverksamhet (en eller flera)
- Eventuell verksamhet inom EU/EES
- Om organisationen är väsentlig eller viktig
- IP-adresser och domännamn
- Kontaktperson för anmälan
Källa: MCF
Om något behöver kompletteras kontaktar Myndigheten för civilt försvar verksamheten. En kvittens skickas manuellt när anmälan behandlats. En förenklad version av anmälningstjänsten lanserades den 2 februari 2026 i samband med att föreskriften, MCFFS 2026:1, började gälla. De som anmält sig via den förenklade versionen behöver inte göra en ny anmälan senare.
Det här behöver du göra nu
Anmälan ska göras så snart det kan ske från den 2 februari. Om den inte inkommer inom 14 dagar kan tillsynsmyndigheterna komma att agera.
- Ta reda på om din verksamhet omfattas av cybersäkerhetslagen.
- Bedöm om ni uppfyller kriterierna som väsentlig eller viktig aktör.
- Om ni omfattas – säkerställ att anmälan skickas in snarast möjligt.
Kort sagt: Det är upp till varje verksamhet att göra bedömningen – men ansvaret att agera ligger helt på organisationen själv.
