NIS, NIS2 och cybersäkerhetslagen (CSL) – Vad gäller nu och omfattas ni av reglerna?

Cybersäkerhet har under senare år blivit en central fråga för både samhällssäkerheten och den ekonomiska stabiliteten. I takt med detta har cybersäkerhetsregleringen i Europa tagit ett tydligt steg framåt som en del av Europeiska unionens (EU) digitala strategi, ofta benämnd EU:s Digital Decade.

Del 1 i Knowits bloggserie om cybersäkerhetslagen.

En viktig utgångspunkt i denna utveckling är Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (NIS-direktivet) och dess efterföljare Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet). I Sverige genomförs NIS2-direktivet genom cybersäkerhetslagen (2025:1506) (CSL).

Den nya regleringen innebär att kraven på organisationer har skärpts, både vad gäller omfattning och ansvar. Men vad innebär CSL i praktiken? Vilka organisationer omfattas, och hur bör verksamheter arbeta för att uppfylla de nya kraven?

Detta är den första delen i vår bloggserie om cybersäkerhetslagen. Här ger vi en övergripande statusbild och går igenom hur ni kan bedöma om ni omfattas av CSL eller inte.

Från NIS till NIS2

Det första NIS-direktivet var EU:s första gemensamma ramverk för cybersäkerhet och riktade sig mot organisationer som tillhandahåller tjänster som är kritiska för samhällets funktion, exempelvis inom energi, transport, hälso- och sjukvård och digital infrastruktur. Hotbilden förändrades och eskalerade dock snabbt. Ransomware, leveranskedjeattacker och ökade geopolitiska cyberhot visade att det befintliga regelverket var för snävt och för ojämnt tillämpat inom EU.

NIS2 antogs därför i december 2022 och innebär bland annat: 

• Betydligt fler sektorer och verksamheter omfattas (från 7 (NIS1) till 18 (NIS2) sektorer)
• Skärpta krav på riskhantering och införandet av lämpliga säkerhetsåtgärder.
• Tydligare ansvar för ledning och styrelse
• Ökat fokus på leveranskedjor och tredjepartsrisker
• Skärpta tillsynsbefogenheter och sanktionsmöjligheter

Även när det gäller tillämpningsområdet innebär NIS2-direktivet en betydligt högre grad av harmonisering mellan medlemsstaterna än det första NIS-direktivet. Detta sker genom att EU slår fast huvudregeln att alla organisationer som bedriver verksamhet som omfattas av bilaga 1 eller 2 i NIS2-direktivet samt uppfyller ett visst storlekskrav ska omfattas av regleringen. Det är inte en marginell uppdatering utan ett strukturellt skifte i hur cybersäkerhet ska regleras inom EU. NIS2-direktivet antogs parallellt med Europaparlamentets och rådets direktiv (EU) 2022/2557 om kritiska entiteters motståndskraft (CER-direktivet) som ett paketbeslut av EU. Tillsammans syftar dessa direktiv, som kallas för systerdirektiv och kompletterar varandra, till att stärka motståndskraften i samhällsviktig verksamhet i EU, vilket har betydelse för utvecklingen av det civila försvaret och totalförsvaret. Det innebär att omfattas man av CER, så omfattas man av även av CSL. Läs gärna våra tidigare inlägg om CER-direktivet för mer information.

Från NIS2 till svenska CSL

Då NIS2-direktivet är ett EU-direktiv måste det implementeras i svensk lagstiftning för att vara gällande. Sverige har implementerat NIS2 genom cybersäkerhetslagen som trädde i kraft den 15 januari 2026. CSL ersätter den tidigare NIS-lagen (Lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster). I svensk lagstiftning används begreppet verksamhetsutövare, medan NIS2-direktivet använder begreppet entitet. I detta sammanhang avser begreppen samma sak. CSL ställer övergripande krav på verksamhetsutövare att bland annat:

• Ha ett riskbaserat och systematiskt säkerhetsarbete
• Säkerhet i leveranskedjan
• Göra incidentrapporteringar
• Utbilda och tydliggöra ledningens ansvar
• Ha dokumentation på plats

En viktig förändring är att verksamheter klassificeras som väsentliga eller viktiga verksamhetsutövare, vilket påverkar tillsynens omfattning och de eventuella sanktionerna. Det är verksamhetsutövaren själv som ska bedöma om den omfattas av lagen eller inte. CSL ställer således krav på att verksamheten själv är drivande och aktiv i frågan.

Myndigheten för civilt försvars föreskrifter och status

CSL är ett ramverk som anger vad som gäller. Detaljer om hur vissa krav ska uppfyllas preciseras genom föreskrifter från berörda myndigheter, bland annat från Myndigheten för civilt försvar (MCF). Den första föreskriften från MCF, ”Föreskrifter om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare” MCFFS 2026:1, är redan beslutad och trädde i kraft den 2 februari 2026.

MCFFS 2026:1 innehåller bland annat bestämmelser om:

• Skyldigheten för verksamheter som omfattas av lagen att själva identifiera sig och aktivt anmäla sig
• Vad en anmälan ska innehålla för uppgifter
• Undantag för partnerföretag och anknutna företag
• Omständigheter som ska beaktas vid bedömningen om verksamhetsutövares etableringsställe
• Ytterligare verksamhetsutövare som omfattas som väsentliga och viktiga som utvidgar NIS2 bilagorna (bilaga I och II) och vilka som eventuellt undantas
• Att anmälan ska ske via MCF:s portal inom angiven tidsfrist

Den svenska lagstiftaren har med kapitel 4 i MCF:s föreskrift utökat listan över sektorer som omfattas av CSL och som ska anmälas till MCF. Detta bekräftar att NIS2:s bilagor endast utgör minimumnivån och att medlemsstaterna är fria att anta desto fler striktare och omfattande regler. Det gör föreskriften till en central del för att förstå vem som faktiskt måste anmäla sig, eftersom den påverkar vilka aktörer som omfattas utöver de som direkt pekas ut i NIS2s bilagor. Tilläggas kan att andra tillsynsmyndigheter såsom Post-och Telestyrelsen (PTS) kommer att ta fram egna föreskrifter för de sektorer de utövar tillsyn över (vilket vid skrivande stund inte har gjorts ännu).

Vad är på gång?

Förutom MCFFS 2026:1 är inga andra föreskrifter beslutade. Flera centrala föreskrifter från MCF har dock varit ute på remiss och förväntas beslutas under 2026:

• ”Incidentrapportering och informationsskyldighet”: planeras träda i kraft under våren 2026.
• ”Säkerhetsåtgärder och utbildning”: förväntas träda i kraft under sommaren 2026.
• ”Säkerhetsrevisioner och tekniska kontroller”: planeras under hösten 2026.

Synpunkter från remissen analyseras och föreskrifterna justeras innan slutligt beslut fattas. Det innebär inte att processen är pausad utan att rättssäkerhet och proportionalitet ska säkerställas.

Lagen gäller trots att alla föreskrifter inte är beslutade

Det är viktigt att skilja på lag och föreskrifter. Att vissa föreskrifter ännu inte är beslutade innebär inte att skyldigheterna är uppskjutna, utan CSL är i full kraft och gällande lag. De grundläggande kraven på riskhantering, incidentrapportering och ledningens ansvar gäller sedan 15 januari i år. De kommande föreskrifterna kommer att förtydliga hur kraven ska uppfyllas, men de förändrar inte det faktum att verksamheter redan omfattas av regelverket. Att invänta slutlig detaljreglering innan man agerar är därför förenat med en stor risk. Det är som att vänta på brandinstruktionerna medan det redan brinner.

Omfattas er verksamhet av cybersäkerhetslagen? Så gör ni bedömningen

En central del i CSL är att det är verksamhetsutövaren själv som ska avgöra om lagen gäller för verksamheten och därefter anmäla sig till MCF. Ansvaret att både identifiera och anmäla ligger alltså hos organisationen själv. Myndigheten för civilt försvar tagit fram ”Vägledning för anmälan och identifiering av verksamhetsutövare som omfattas av cybersäkerhetslagen” som ett komplement till föreskriften MCFFS 2026:1. 

Är ni osäkra på om er verksamhet omfattas av CSL, eller vill ha stöd i att göra bedömningen? Hör gärna av er till oss på Knowit så hjälper vi er att reda ut vad som gäller.

För att göra det enklare att komma igång med bedömningen har vi sammanställt en enkel checklista nedan.

Praktisk checklista

För att omfattas av CSL måste flera aspekter uppfyllas. Aspekterna kan ses som en trappa. Det vill säga uppfyller er organisationen det första steget kan ni gå vidare att titta på nästa.

1) Kartlägg verksamheten (”Sektorskravet”)

• Vilka tjänster eller funktioner levererar ni?
• Kan ni identifiera tjänsten eller funktionen till en sektor i bilaga I eller bilaga II till NIS2-direktivet?
• Bedriver ni verksamhet som listas i föreskriften MCFFS 2026:1 avseende ytterligare verksamhetsutövare?
  
  

2) Kontrollera storlek och koncernstruktur (”Storlekskravet”)

• Hur många anställda har ni? Minst 50 anställda är kravet eller en omsättning/balansomslutning på minst 10 miljoner euro.
• Finns partnersföretag eller anknutna företag som påverkar beräkningen?
• Er verksamhet ska vara minst medelstor (”SMF”) (om inte undantag gäller) för att omfattas. Vid storleksbedömning används senast fastställda räkenskapsår och tvåårsregeln beaktas.

Undantag från storlekskravet

Vissa verksamhetsutövare som inte uppfyller storlekskravet, det vill säga inte är ett medelstort företag eller större, kan ändå omfattas om ni är av särskild betydelse för samhällets funktionalitet. Dessa gäller om (alternativa kriterier):

• Den enda leverantören av tjänsten som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet,
• Om en störning på den tjänst ni tillhandahåller kan ha en betydande påverkan på skyddet för människors liv och hälsa, allmän säkerhet eller folkhälsa eller kan medföra betydande systemrisker,
• Har särskild betydelse på nationell eller regional nivå för en särskild sektor eller typ av tjänst eller för andra sektorer som är beroende av er, eller
• Ni tillhandahåller betrodda tjänster (digitala tjänster som används för att skapa eller verifiera tillit i elektroniska transaktioner, till exempel genom att säkerställa identitet)

3) Etableringskravet

För att omfattas av CSL är huvudregeln att ni måste vara etablerade i Sverige.

4) Lex specialis

Om en mer specifik reglering är tillämplig för er har den företräde framför CSL, om den ställer likvärdiga eller strängare krav på informations- och cybersäkerhet och incidentrapportering. Exempel på sådan specifik reglering är DORA-förordningen vilket innebär att DORA har företräde framför CSL.

5) Säkerhetskänslig eller brottsbekämpande verksamhet

Om er verksamhet omfattas av säkerhetsskyddslagen (2018:585) och som har betydelse för Sveriges säkerhet omfattas ni helt eller delvis inte av CSL. Detsamma gäller brottsbekämpande verksamhet.

6) Fastställ klassificering

Om ni uppfyller kriterierna ovan för att omfattas av CSL så blir nästa steg att avgöra om ni är en väsentlig eller viktig verksamhetsutövare. Huvudregeln är att företag som är större än medelstora företag som omfattas av bilaga 1 till NIS2-direktivet är väsentliga och övriga är viktiga.

• Skulle en allvarlig incident hos oss påverka samhällsviktig funktion?
• Är vi en unik eller svårersättlig aktör?
• Är vi en central nod i en leveranskedja?

Om ni efter denna bedömning kommer fram till att ni omfattas av CSL är nästa steg att anmäla er till MCF. Kom ihåg att det är ni som verksamhetsutövare som ansvarar för att anmäla er.

Vad betyder detta i praktiken för de verksamheter som omfattas?

CSL påför höga sanktionsavgifter om en verksamhet inte uppfyller lagens krav på cybersäkerhet och incidentrapportering. Sanktionsavgiften kan bli så hög som det största av 10 000 000 € eller 2 % av organisationens totala globala årsomsättning föregående räkenskapsår. Om er verksamhet omfattas bör ni redan nu:

• Säkerställa korrekt klassificering: Avgör om ni är väsentlig eller viktig verksamhetsutövare. Det påverkar tillsynsnivå och sanktionsavgift.
• Etablera eller uppdatera ett riskbaserat cybersäkerhetsarbete: CSL bygger på riskhantering. Identifiera era mest kritiska tillgångar, kartlägg hot och sårbarheter, dokumentera riskbedömningar och besluta om proportionella säkerhetsåtgärder.
• Se över leveranskedjerisker och tredjepartsberoenden. NIS2 och CSL lägger ett tydligt ansvar på säkerhet i leveranskedjan. Det innebär att ni behöver identifiera era kritiska leverantörer, bedöma deras säkerhetsnivå, säkerställa avtalskrav och incidentrapportering, följa upp och inte bara förlita er på självdeklarationer.
• Förankra ansvar och kompetens på ledningsnivå. Ansvar kan inte delegeras bort – det kan bara organiseras.
• Förbereda rutiner för incidentrapportering: Även om detaljföreskrifterna är på väg gäller redan lagens krav på rapportering av betydande incidenter. Det innebär att ni behöver ha en fungerande incidenthanteringsprocess, kunna bedöma om en incident är rapporteringspliktig, säkerställa dokumentation och kommunikationsvägar, förbereda intern och extern informationshantering.

Lagen är spelplanen. Föreskrifterna är regelboken. Matchen har redan börjat.

I nästa del av serien

I nästa del av vår bloggserie kollar vi på kraven på incidentrapportering och informationsskyldighet, stay tuned!