Så uppfyller du kraven i cybersäkerhetslagen – en guide för verksamheter

Cybersäkerhetslagen, som implementerar NIS2-direktivet i Sverige, ställer nya och högre krav på informationssäkerhet för samhällsviktiga och viktiga verksamheter. Oavsett om du tillhör en kommun, region eller privat aktör – här är en enkel vägledning för hur du steg för steg kan påbörja och strukturera ert arbete.

Bekräfta om ni omfattas av lagen

Är ni en offentlig aktör på kommunal, regional eller statlig nivå? Då omfattas ni nästan alltid. Driver ni en samhällsviktig tjänst enligt MSB:s klassificering (t.ex. vatten, energi, vård, skola, transport, digital infrastruktur)? Då omfattas ni med största sannolikhet. Även privata verksamhetsutövare kan omfattas, särskilt om de är leverantörer av kritiska eller viktiga tjänster.

Tips: Kolla er verksamhets relevans mot de kriterier MSB kommer publicera. Förbered er i god tid.
Enkel förklaring – vilka omfattas?

Offentlig sektor:

  • Kommuner, regioner och myndigheter som bedriver samhällsviktiga tjänster, t.ex. vård, skola, socialtjänst eller drift av it-infrastruktur.

Privat sektor:

  • Företag som erbjuder viktiga digitala tjänster som t.ex. molntjänster, datacenter, sökmotorer, sociala plattformar, DNS, domänregistrering eller betrodda tjänster (e-legitimation m.m.).
  • Verksamheter som tillhandahåller el, vatten, transporter, sjukvård, banktjänster eller andra samhällskritiska funktioner enligt NIS2-direktivets bilagor.
  • Verksamheter som är det enda alternativet i Sverige för en viss samhällsviktig funktion – även om de är privata.
  • Företag som är medelstora eller större, dvs har: Fler än 50 anställda eller omsätter mer än 10 miljoner euro per år.

Undantag:

  • Små verksamheter omfattas ofta inte, om de inte är särskilt kritiska.
  • Vissa undantag kan beslutas av regeringen eller ansvarig myndighet.

Utse ansvariga personer för cybersäkerhetsarbetet

En eller flera personer måste ha ett tydligt ledningsansvar för att följa lagen. Personerna ska kunna planera, leda och följa upp arbetet. Det kan vara t.ex. säkerhetsstrateg, informationssäkerhetssamordnare eller IT-chef, men måste vara tydligt dokumenterat.

Kravet gäller både ledningens engagemang och tydlig delegation i organisationen.

Gör en grundläggande riskanalys för informations- och cybersäkerhet

Nästa steg är att identifiera de risker och hot som er verksamhet kan drabbas av när det gäller nätverk, information och digitala system. Det handlar om att förstå vad som kan gå fel, varför det kan hända – och hur allvarliga konsekvenserna kan bli. En riskanalys är en förutsättning för att veta vilka skyddsåtgärder som behövs – och för att kunna prioritera rätt.

Vad ska du analysera?

  • Er förmåga att hantera störningar och driftavbrott
  • Risker kopplade till beroenden av IT-leverantörer eller molntjänster
  • Skydd av känsliga eller samhällskritiska uppgifter
  • Brister i befintliga tekniska och organisatoriska åtgärder

Hur gör man rent praktiskt?

Du kan använda SKR:s verktyg KLASSA, som ger en bra struktur för att klassa informationsmängder och system. Men det går också lika bra att använda en egen Excelmall, där du själv kartlägger risker och bedömer: Konsekvensnivå (t.ex. låg–hög eller 0–4), Sannolikhet och Skyddsvärde (t.ex. för konfidentialitet, riktighet och tillgänglighet). Mall och exempel hittar du på sidan Resurser.

Tänk på att riskanalysen är ett levande dokument – den ska uppdateras regelbundet och ligga till grund för både gap-analysen och säkerhetsåtgärderna.

Gör en gap-analys mot cybersäkerhetslagen (och NIS2)

När du har gjort en första riskanalys är nästa steg att genomföra en gap-analys – alltså att kartlägga skillnaden mellan nuläget och vad lagen kräver. Det är här du ser vilka säkerhetsåtgärder, processer eller styrdokument som saknas för att uppfylla kraven i cybersäkerhetslagen/NIS2.

Vad innebär en gap-analys?

En gap-analys innebär i praktiken att du går igenom ett antal kravpunkter och besvarar: Uppfyller vi detta idag? I vilken grad uppfyller vi det? Vad behöver vi göra för att helt uppfylla det?

Vad ska du analysera mot?

Vi rekommenderar att du i första hand använder kraven i cybersäkerhetslagen som utgångspunkt. I lagrådsremissen (2025) listas ett antal grundläggande och ytterligare säkerhetskrav – det är dessa du bör stämma av mot din verksamhets nuläge. Om du redan arbetar aktivt med ISO 27001 kan du även komplettera gap-analysen med kravbilden i Annex A, men det är inte ett krav enligt lagen.

Tips: En enkel mall för gap-analys i Excel finns tillgänglig under fliken "Resurser" här på OpenSec.

Ta fram en åtgärdsplan och börja införa säkerhetsåtgärder

När gap-analysen är klar har du en tydlig bild av vilka krav ni redan uppfyller – och vilka delar som behöver förbättras. Nästa steg är att omsätta analysen i en konkret åtgärdsplan.

Vad bör åtgärdsplanen innehålla?

  • Vilka åtgärder som ska genomföras
  • Varför de är viktiga (kopplat till lagkrav eller risk)
  • Vem som är ansvarig
  • När de ska vara klara (tidsplan)

Det kan handla om tekniska lösningar (t.ex. multifaktorautentisering), men också policyer, utbildning och avtal.

Tips: Skapa en checklista i Excel eller annan projektmall, där du loggar varje åtgärd, dess status och vem som är ansvarig. Den kan även fungera som underlag inför tillsyn eller uppföljning.

Dokumentera och formalisera ditt arbete

Efter att du börjat införa säkerhetsåtgärder behöver du se till att allt arbete dokumenteras på ett strukturerat sätt. Dokumentation är inte bara ett krav enligt cybersäkerhetslagen – det hjälper också din organisation att skapa ordning och spårbarhet.

Vad behöver dokumenteras?

  • Informationssäkerhetspolicy (övergripande mål och ansvar)
  • Riktlinjer och rutiner (ex. hantering av incidenter, åtkomsträttigheter, backuprutiner)
  • Riskanalyser och gap-analyser (inkl. hur de togs fram och vad de visar)
  • Åtgärdsplaner och genomförandestatus
  • Roller och ansvar (vem som ansvarar för vad)
  • Kontinuitetsplaner (för driftstörningar och avbrott)
Tips: Samla alla dokument i en mappstruktur eller ett gemensamt system (t.ex. SharePoint, Teams, filserver), så att de är lättåtkomliga både internt och inför tillsyn.

Etablera rutiner för incidenthantering och rapportering

En central del i både cybersäkerhetslagen och NIS2 är att du som verksamhetsutövare snabbt ska kunna upptäcka, hantera och rapportera betydande incidenter. Det räcker inte att reagera när något händer – du behöver ha tydliga, dokumenterade rutiner på plats i förväg.

Vad måste ni kunna göra?

  • Upptäcka och bedöma incidenter: Identifiera vad som hänt, hur allvarligt det är, och om det kvalificerar som en betydande incident.
  • Rapportera:
    • Upplysning till tillsynsmyndigheten (troligen MSB) inom 24 timmar efter att ni fått kännedom om incidenten.
    • Incidentanmälan inom 72 timmar (eller 24 timmar om ni tillhandahåller betrodda tjänster).
    • Delrapport vid begäran från myndigheten.
    • Slutrapport senast en månad efter incidentanmälan (eller lägesrapport om incidenten ännu pågår).
Tips: Skapa ett formulär eller mall för intern incidentrapportering – det gör det lättare att samla in rätt information snabbt.

Förbered er för tillsyn och granskning

Cybersäkerhetslagen och NIS2 ställer inte bara krav på att ni vidtar åtgärder – ni måste även kunna visa att ni har gjort det. Det innebär att ni behöver förbereda er för tillsyn, både dokumentärt och organisatoriskt.

Vad innebär tillsyn?

Tillsynen kommer att skötas av en eller flera utsedda myndigheter (troligtvis MSB, Post- och telestyrelsen eller Inspektionen för vård och omsorg beroende på sektor). Myndigheten får rätt att:

  • Begära in dokumentation och utredningar
  • Göra platsbesök och intervjuer
  • Följa upp tidigare incidenter eller åtgärder
  • Utfärda sanktioner eller förelägganden om brister upptäcks
Tips: Se över vilka dokument och bevis ni enkelt kan ta fram vid en begäran – skapa en “tillsynsmapp” digitalt.

Följ upp, förbättra och håll arbetet levande

Cybersäkerhetsarbete är inget man gör en gång och sedan glömmer. För att leva upp till kraven i cybersäkerhetslagen och NIS2 behöver informationssäkerheten vara ett kontinuerligt arbete.

Vad innebär uppföljning och förbättring?

  • Utvärdera resultatet av de åtgärder ni infört. Har riskerna minskat? Har incidenterna blivit färre eller mildare?
  • Analysera nya risker och förändringar i omvärlden, tekniken eller organisationen.
  • Gör årliga uppdateringar av riskanalysen, gap-analysen och åtgärdsplanen.
  • Lär av incidenter, både egna och andras (MSB kommer att dela analyser av större händelser).
Tips: Sätt en årlig intern uppföljning i kalendern – gärna efter sommarsemestern eller inför budgetplaneringen.

Håll koll på viktiga datum och kompletterande regelverk

Cybersäkerhetslagen föreslås träda i kraft den 15 januari 2026 enligt lagrådsremissen. Förordningar och föreskrifter kommer att komplettera lagen, med MSB som trolig tillsynsmyndighet.

CER-direktivet (Lagen om motståndskraft i samhällsviktiga tjänster) har följande nyckeldatum:

  • 17 januari 2026: Nationell riskbedömning ska vara klar
  • 17 juli 2026: Identifiering av kritiska verksamheter
  • +9–10 månader efter identifiering: Riskanalys och åtgärdsplan ska vara framtagna
Även om lagen ännu inte gäller, bör organisationer börja förbereda sig – särskilt om man redan idag har en viktig funktion i samhället.
Enkel förklaring – gäller CER-direktivet oss?

Sektorer som omfattas:

  • Energi (el, gas, olja)
  • Transport (väg, järnväg, sjöfart, luftfart)
  • Vattenförsörjning
  • Digital infrastruktur
  • Hälso- och sjukvård
  • Livsmedelsproduktion
  • Bank och finans
  • Post och kurirtjänster
  • Offentlig förvaltning

Även kommuner, regioner och statliga myndigheter kan omfattas om de bedriver verksamhet inom dessa sektorer.

När vet man om man omfattas?

Det är staten (troligtvis Länsstyrelsen eller MSB) som identifierar vilka verksamheter som anses vara kritiska. Senast 17 juli 2026 ska detta vara klart. Efter det får verksamheten ett formellt besked om att de omfattas, och måste då följa lagens krav.

Vad måste man göra?

  • Göra riskanalyser utifrån både fysiska och tekniska hot.
  • Ta fram åtgärdsplaner för att hantera störningar.
  • Meddela myndigheterna om incidenter.
  • Säkerställa att viktiga funktioner fungerar även vid kris eller sabotage.