Det är nu 2026 och i år kommer en rad nya regler och lagar att träda i kraft. Till exempel kommer lönetransparensdirektivet, som syftar till att uppnå lika lön för lika arbete genom ökad insyn i arbetsgivarnas lönesättning, att bli verklighet i sommar. Men redan nu i januari kommer vissa nya bestämmelser att börja gälla.
Så är fallet med den nya cybersäkerhetslagen, vilken gäller från och med torsdagen den 15 januari.
Klicka här för att följa oss på Google
Vad är cybersäkerhetslagen?
Det var år 2022 som EU antog ett direktiv – kallat NIS2 – om åtgärder för en hög gemensam cybersäkerhetsnivå inom unionen. Detta direktiv ersätter det tidigare NIS-direktivet.
För att genomföra direktivet i svensk rätt fattade regeringen beslut om en proposition, om bland annat ett förslag på en ny cybersäkerhetslag, i oktober 2025. I december samma år utfärdade regeringen den nya lagen och beslutade om en ny cybersäkerhetsförordning.
Rent konkret innebär det här att kraven blir både hårdare och tydligare för verksamhetsutövare i Sverige.
– För att Sveriges cybersäkerhet ska kunna stärkas på bred front så behöver många av landets verksamhetsutövare lägga i en högre växel. Det handlar exempelvis om kommuner och företag, som för den enskilda verksamhetens räkning behöver bygga upp sin motståndskraft – i syfte att bygga Sverige mer motståndskraftigt. Den lag som regeringen nu har utfärdat syftar till att skärpa den kravställningen, sa Carl-Oskar Bohlin (M), minister för civilt försvar, i ett pressmeddelande i december.
Totalt är det 18 sektorer som omfattas av NIS2-direktivet och den nya cybersäkerhetslagen, enligt Myndigheten för civilt försvar (MCF):
- Energi
- Transporter
- Bankverksamhet
- Finansmarknads-infrastruktur
- Hälso- och sjukvårdssektorn
- Dricksvatten
- Avloppsvatten
- Digital infrastruktur
- Förvaltning av IKT-tjänster
- Offentlig förvaltning
- Rymden
- Post- och budtjänster
- Avfallshantering
- Tillverkning, produktion och distribution av kemikalier
- Produktion, bearbetning och distribution av livsmedel
- Tillverkning
- Digitala leverantörer
- Forskning
Verksamhetsutövare inom dessa sektorer ska identifiera om man omfattas och i så fall anmäla verksamheten. Man ska därutöver etablera och sedan "upprätthålla ett systematiskt arbete med informationssäkerhet, införa lämpliga säkerhetsåtgärder och utbilda ledning såväl som personal", uppger MCF. Ett viktigt krav är också att man ska rapportera in incidenter som medför, eller kan medföra, större störningar.
Storlekskrav för att omfattas av cybersäkerhetslagen
Förutom att man ska bedriva verksamhet inom någon av de 18 sektorerna så ska man om man omfattas av den nya cybersäkerhetslagen klassas som antingen väsentlig verksamhetsutövare eller viktig verksamhetsutövare. Så här beskriver Energimyndigheten de två olika kategorierna:
"Väsentliga verksamhetsutövare är de som tillhör någon av de högkritiska sektorerna och som överstiger tröskeln för ett medelstort företag. Det innebär att verksamhetsutövaren: 1) sysselsätter fler än 250 personer eller 2) har en omsättning som överstiger 50 miljoner euro eller en balansomslutning som överstiger 43 miljoner euro per år."
"Viktiga verksamhetsutövare är de som tillhör de högkritiska sektorerna och som är ett medelstort företag. Det innebär att verksamhetsutövaren: 1) sysselsätter fler än 50 personer eller 2) har en omsättning eller balansomslutning som överstiger 10 miljoner euro per år."
Flera tillsynsmyndigheter och högre sanktionsavgifter
Det finns flera tillsynsmyndigheter som ska se till att NIS2-direktivet och cybersäkerhetslagen efterföljs av berörda verksamhetsutövare, däribland Transportstyrelsen och Post- och telestyrelsen som även bedrivit tillsyn av det gamla NIS-direktivet. Men i och med införandet av det nya direktivet kommer också fler myndigheter få i uppdrag att utföra tillsyn.
Dessa kommer, med det nya direktivet och den nya lagen, kunna ställa krav på åtgärder och i vissa fall utfärda sanktionsavgifter. Dessa sanktionsavgifter är högre än vad de tidigare varit under det tidigare NIS-direktivet.
IT-chefen: "Kan bli lite kaos"
När GDPR – som ska skydda individers grundläggande rätt till integritet genom att ge dem större kontroll över sina personuppgifter – blev till verklighet år 2018 blev det rörigt på många håll. Enligt Thomas Nilsson, IT-chef på den kommunala it-driftorganisationen EttIT, finns en risk att samma sak händer igen.
– Det är inte många utanför it-avdelningen som känner till att lagen träder i kraft den 15 januari. Det kan komma som en chock: ”Oj, måste vi göra allt detta?” Privatpersoner påverkas nog inte lika mycket, men företag och myndigheter gör det. Så ja, det kan bli lite kaos i januari. Det är mycket jobb att göra innan dess, har han sagt till nyhetssajten Voister.
