Cybersäkerhetslagen (2025:1506, hädanefter CSL) är Sveriges genomförande av Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet) och innebär skärpta krav på verksamhetsutövare som är leverantörer av samhällsviktiga tjänster. I detta blogginlägg, som utgör det tredje i vår bloggserie om CSL, skriver vi om de krav på säkerhetsåtgärder som lagen ställer och några generella tips för hur ni kan inleda arbetet mot efterlevnad.
Del 3 i Knowits bloggserie om cybersäkerhetslagen
Av CSL framgår att verksamhetsutövare är skyldiga att vidta lämpliga och proportionerliga åtgärder för att skydda sina nätverks- och informationssystem. Lämplighet innebär i sammanhanget att rätt åtgärd vidtas i förhållande till en specifik risk, medan proportionalitet handlar om hur omfattande åtgärden behöver vara för att motverka eller eliminera risken. Ytterligare resonemang kring lämplighet och proportionalitet kan läsas i propositionen till CSL, här.
Åtgärderna ska vara tekniska, driftsrelaterade eller organisatoriska – med andra ord rör det sig om åtgärder över ett brett spann. Säkerhetsåtgärderna ska utgå från ett allriskperspektiv, vilket innebär att alla typer av risker som kan påverka verksamhetsutövaren systematiskt ska identifieras, bedömas och hanteras.
CSL anger en lägstanivå för säkerhetsåtgärderna, de ska nämligen som minst inbegripa följande:
Myndigheten för civilt försvar (MCF, tidigare MSB) har tagit fram och publicerat ett utkast till föreskrifter och allmänna råd avseende säkerhetsåtgärder och utbildning. Föreskrifterna beskriver bland annat hur de organisatoriska, tekniska, fysiska och driftsmässiga åtgärderna ska tolkas och tillämpas. Exempelvis framgår att cybersäkerhetsarbetet ska bedrivas systematiskt, allriskbaserat och vara integrerat i ordinarie ledning och styrning. Systematiskt och allriskbaserat arbete definieras i utkastet till föreskriften som arbete som bedrivs med stöd av interna regler och arbetssätt för att upprätthålla, genomföra, driva, övervaka, kontrollera, underhålla och utveckla verksamhetens cybersäkerhet utifrån risk. Ledningen har ett uttryckt ansvar att sätta mål, besluta om riskacceptans, resurser och prioriteringar för återställning av verksamheter samt att utse roller med tydliga mandat. Föreskrifterna hänvisar till ISO/IEC 27001 och 27002 eller motsvarande standarder som lämpliga för stöd i arbetet mot efterlevnad.
Det är dock viktigt att minnas att det rör sig om ett utkast till föreskrifter som nyligen varit ute på remiss, där MCF bjudit in berörda myndigheter, företag och andra verksamheter att lämna synpunkter på materialet. I samband med remissförfarandet mottog MCF cirka 200 remissvar med betydande åsiktsskillnader. Ungefär hälften av remissvaren uppgav att föreskrifterna var för detaljerade, medan övriga uppgav motsatsen. Vid ett webbinarium den 20 februari lyfte MCF möjligheten till en ny remissrunda, vilket är mycket ovanligt. Detta indikerar att det finns en betydande skillnad på önskemål om vägledning och styrning av cybersäkerhetsarbetet hos de aktörer som omfattas av lagen, kanske på grund av en ojämn mognad?
För att säkerställa efterlevnad av CSL är de angivna säkerhetsåtgärderna en central punkt. I dagsläget kan antas att en en stor andel av svenska verksamheter redan arbetar med någon, eller några av de åtgärder som beskrivs, men att arbetet är fragmenterat och att det finns en stor skillnad på mognadsgrad mellan verksamheter (se exempelvis resultatet från Cybersäkerhetskollen 2025). Detta medför naturligtvis att de olika säkerhetsåtgärderna är uppfyllda i olika grad mellan olika verksamheter. För att inleda arbetet mot efterlevnad har vi på Knowit ett antal generella tips:
1) Analysera om- och hur er organisation omfattas av Cybersäkerhetslagen
Arbetet bör, naturligt nog, inledas av en analys av om- och hur den egna verksamheten omfattas av regleringen. Se gärna vårt tidigare blogginlägg som handlar om just detta!
2) Informera ledningen om deras ansvar
I det fall verksamheten omfattas är det viktigt att informera ledningen om ansvar, vilket skapar förutsättningar för ett sådant ledarskap över cybersäkerhetsarbetet som kravställs av lagen.
3) Genomför en gapanalys
En gapanalys är till stor hjälp för att avgöra hur er verksamhet svarar mot de krav som ställs i CSL. Kanske finns det redan upprättade styrande dokument för cybersäkerhet, medan strategier för att hantera leverantörsrelationer släpar efter? En gapanalys kan i detta läge skapa värdefulla insikter inför det att de stödjande tillämpningsföreskrifterna finns tillgängliga.
4) Se över drifts,- förvaltnings- och utvecklingsmodellen för IT
Utifrån resultatet av den genomförda gapanalysen bör verksamhetens modell för IT-drift, förvaltning och utveckling ses över. Översyn av modellen är viktigt eftersom ett systematiskt och riskbaserat säkerhetsarbete är en grundläggande förutsättning för efterlevnad av CSL, varför säkerhet behöver genomsyra modellen. Detta skapar förutsättningar för en tydlig ansvarsfördelning, styrning och uppföljning av säkerhetsarbetet.
5) Samverka både internt och externt
För att säkerhetsarbetet ska ha en chans att fungera är samverkan centralt både inom organisationen och med externa parter. Internt behöver exempelvis verksamheten samverka med IT, juridik, säkerhet och ledning för att säkerställa att korrekta säkerhetsåtgärder implementeras och att säkerhetsarbetet styrs aktivt och följs upp. Därtill är det av vikt att samtliga anställda i verksamheten medvetandegörs om sitt ansvar i säkerhetsarbetet. Externt behöver organisationen samverka med aktörer i den digitala leveranskedjan för att säkerställa att säkerhetskrav efterlevs. I flera fall är samverkan med myndigheter också nödvändig när rapporteringsskyldigheter i samband med incidenter finns.
6) Satsa långsiktigt på cybersäkerhetsarbetet
Viktigt att veta är att de ökade kraven vi ser på cybersäkerhet är här för att stanna. Det finns ingen “quick fix” för att säkerställa ett systematiskt säkerhetsarbete. Långsiktiga satsningar med fokus på ständiga förbättringar i kombination med engagemang på ledningsnivå är vad som krävs för efterlevnad.
7) Börja i liten skala, men framför allt – kom i gång!
Att inleda arbetet mot efterlevnad av CSL kan uppfattas som överväldigande, omfattande och komplext. Just därför är det av vikt att inte bli handlingsförlamad av det kravpaket som lagen innehåller, utan att börja med arbetet omgående. Att börja arbetet i liten skala och allt eftersom beta av de olika kraven är en framgångsfaktor för att ta sig an kraven på säkerhetsåtgärderna. Och kanske viktigast av allt – lär er av misstag och fallgropar och repetera arbetet tills det fullt ut är integrerat i era ordinarie verksamhetsprocesser. Bristande efterlevnad kan dessutom leda till tillsynsåtgärder och sanktionsavgifter, vilket ytterligare understryker vikten av att påbörja arbetet i god tid.