Cybersäkerhetslagen

Denna sida är en förenklad översikt över cybersäkerhetslagen. Innehållet bygger på regeringens lagrådsremiss från juni 2025.

Vad är cybersäkerhetslagen?

Cybersäkerhetslagen är den svenska implementeringen av EU:s NIS2-direktiv. Den syftar till att skydda samhällsviktiga och viktiga verksamheter mot allvarliga cyberhot. Lagen ställer krav på säkerhetsåtgärder, incidentrapportering och tillsyn – och gäller både offentlig och privat sektor.

Det är alltså en bindande lag, inte bara en rekommendation. Den gäller särskilt för kommuner, regioner och vissa bolag som bedriver samhällsviktig verksamhet.

Vad innebär lagen för kommuner och regioner?

  • Kommunen ses som en hel verksamhetsutövare – inte varje nämnd för sig.
  • Kommunfullmäktige omfattas inte, utan det är förvaltningarna som berörs.
  • Kommunala bolag räknas separat och kan omfattas på egen hand.
  • Kommuner som är tillräckligt stora (se nedan) klassas som väsentliga verksamhetsutövare.

Vem omfattas?

En kommun eller region omfattas automatiskt om minst ett av följande uppfylls:

  • Minst 250 anställda, eller
  • Minst 50 miljoner euro i årsomsättning och 43 miljoner euro i balansomslutning

Dessa räknas då som "väsentliga verksamhetsutövare" och omfattas av de mest långtgående kraven.

Vad kräver lagen?

1. Säkerhetsåtgärder

  • Genomför riskanalyser
  • Arbeta med kontinuitetsplanering
  • Inför tekniska och organisatoriska skyddsåtgärder

2. Incidentrapportering

Informera utsedd myndighet (troligen MSB) om en betydande incident inom 24 timmar, gör en incidentanmälan senast 72 timmar efter kännedom, lämna delrapport på begäran och slutrapport inom en månad (eller lägesrapport om incidenten pågår). Myndighet föreskriver vad som räknas som en betydande incident, men tre faktorer ska vägas in: påverkan på tillgängligheten, ekonomisk skada, och påverkan på samhället eller tredje part.

3. Tillsyn och sanktioner

Om kraven inte uppfylls kan myndigheter införa sanktionsavgifter eller andra rättsliga åtgärder.

Vad gäller inte?

Vissa delar av kommunens verksamhet kan undantas, exempelvis:

  • Säkerhetskänslig verksamhet som omfattas av säkerhetsskyddslagen (ex. VA-system)
  • Säkerhetsskyddsklassificerade uppgifter (undantag vid informationsutlämning)
  • Brottsbekämpande verksamhet (gäller dock inte kommunal övervakning eller ordningsvakter)

I dessa fall gäller dock fortfarande att anmälningsplikt kvarstår och resten av kommunen omfattas som vanligt.

Varför är detta viktigt?

Cybersäkerhetslagen förväntas bli ett av de mest centrala regelverken inom offentlig förvaltning. Den kräver inte bara att kommuner skyddar sin information, utan att det görs systematiskt och proaktivt – med dokumenterade rutiner, ansvarsfördelning och rapporteringsvägar.

Läs hela lagrådsremissen här (PDF)