Den 15 januari träder en ny svensk cybersäkerhetslag i kraft som innebär skarpare krav på tusentals företag och myndigheter. Kraven är större men kan också leda till en bättre standard för hela samhället.
Ny cybersäkerhetslag: Påverkar den ditt företag?
Johan Colliander
Uppdaterad: 19 dec. 2025Publicerad: 19 dec. 2025
ANNONS
ANNONS
Mest läst i kategorin
Lagen genomför EU:s NIS 2-direktiv och kan få långtgående konsekvenser även för mindre företag som inte direkt omfattas.
”För att Sveriges cybersäkerhet ska kunna stärkas på bred front så behöver många av landets verksamhetsutövare lägga i en högre växel”, säger minister för civilt försvar Carl-Oskar Bohlin om den nya lagen i ett pressmeddelande.
Regeringen utfärdade den 11 december den nya lagen som syftar till att höja säkerhetsnivån i hela samhället.
Lagen omfattar både offentliga och privata aktörer i 18 olika sektorer som anses samhällsviktiga. Det är en kraftig utökning från de sju sektorer som tidigare omfattades av NIS1-direktivet från 2016.
Bank-id-varningen – ”mycket skada på samhället”
Som E55 har berättat ökar hotet om storskaliga cyberattacker mot det kontantlösa Sverige där 90 procent av betalningarna i dag är digitala och där ett fungerande bank-id är A och O.
Tusentals företag berörs
Bland de berörda sektorerna finns energi, transport, vård, finans, dricksvatten, digital infrastruktur och offentlig förvaltning. Enligt Daniel Reinholdsson, expert på cybersäkerhet från Cyber Defencely, kommer lagen att träffa tusentals bolag.
”Det som är viktigt att veta är att det gäller hela verksamheten”, säger Reinholdsson till Realtid.
ANNONS
Som huvudregel omfattas organisationer med minst 50 anställda eller en omsättning på 10 miljoner euro. Men det finns undantag. Är en verksamhet tillräckligt samhällsviktig kan den omfattas ändå.
Missa inte: Svenska bolag oförberedda på ny lag – det kan kosta. Realtid
Reinholdsson betonar att det ligger på varje organisation att själv ta reda på om man omfattas av lagen.
”Man kan inte säga ’jag visste inte, det fungerar inte. Det ligger en undersökningsplikt på verksamheterna att börja i tid”, säger han.
ANNONS
Senaste nytt
Ledningen får nytt ansvar
En av de mest genomgripande förändringarna är att ledningens ansvar skärps kraftigt.
Det kommer att ställas krav på utbildning och tillräcklig kunskap och förståelse för risker, säkerhetskrav och beslut som påverkar organisationens cybersäkerhet. i värsta fall kan företagsledare beläggas med näringsförbud om de inte tar sin säkerhetsroll på allvar.
ANNONS
Läs även: Varning för nytt malware – kan stjäla pengar och låsa din mobil. E55
Sanktionsavgifterna höjs också markant. Upp till 10 miljoner euro eller 2 procent av den globala omsättningen för vissa verksamhetstyper. Det personliga ansvaret för företagsledare är också en central del i den nya lagen.
”Det här blir ett paradigmskifte i säkerhetsarbetet. Tidigare sköttes det ofta av IT-folk, nu måste det bli en ledningsfråga på samma sätt som ekonomi och affärsplaner”, säger Reinholdsson.
Även mindre företag påverkas
Även om lagen formellt, som grundregel, inte träffar mindre företag kommer effekterna att sprida sig genom leverantörskedjor.
”De som omfattas kommer att ställa högre säkerhetskrav på sina underleverantörer. Om man ska få göra business behöver man ha en viss hygiennivå, säger han.
Han tror att detta kommer att leda till en allmän höjning av cybersäkerhetsnivån i hela samhället.
”Om några år tror jag att det här kommer bli en grundnivå för att vara en ansvarsfull och attraktiv leverantör. Det blir som att alla företag idag har lås på dörrarna och brandförsäkring”, säger Reinholdsson.
ANNONS
Missa inte: NIS2-direktivet behöver tas på allvar. Realtid
I lagstiftningen finns det ett antal grundläggande säkerhetskrav som man måste följa och som i grunden är riskbaserade, det handlar om att hitta en balanserad säkerhetsnivå utifrån varje verksamhets hotbild, skyddsvärden och funktion
”Det här handlar inte bara om hackers. Man måste jobba ur ett allriskperspektiv – strömavbrott, avgrävda kablar, tekniska fel. Det är lite som prepping, man ska vara förberedd på det oväntade”.
Råd till företagen
För företag som nu inser att de omfattas av lagen är rådet tydligt: börja omedelbart.
”Utreda snabbt om ni omfattas, skapa en nulägesbild och undvik analysparalys. Våga börja göra någonting – det här är ett kontinuerligt arbete, inte något man bara blir färdig med”, säger Reinholdsson.
Läs även: Kriminella jagar stressade konsumenter. Dagens PS
Han jämför situationen med att ta körkort, även om det känns jobbigt när man går igenom det, är resultatet värt besväret.
ANNONS
”Med tanke på det som händer runt om i världen, i Europa och Ukraina, så handlar det här om att säkerställa Europas existens. Jag tycker kraven är proportionerliga, även om det blir jobbigt för många”, säger Reinholdsson.
Tillsynen av den nya lagen kommer att utövas av flera myndigheter, vilket anges i den nya cybersäkerhetsförordningen som regeringen också beslutade om.
Vad krävs av företagen?
Den nya lagen ställer bland annat krav på att företag ska:
-
- Säkerställa att cybersäkerhetsarbetet är systematiskt, dokumenterat och riskbaserat genom att t.ex. införa lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska säkerhetsåtgärde
-
- Etablera en förmåga för att kunna rapportera allvarliga cybersäkerhetsincidenter till myndigheterna utifrån de rapporteringskrav som finns beslutade
-
- Säkra upp sin leveranskedja och ställa krav på underleverantörer samt kontinuerligt följa upp kraven
-
- Se till att ledningen får regelbunden utbildning i cybersäkerhet
Läs mer från Realtid - vårt nyhetsbrev är kostnadsfritt:
Johan Colliander
Mångårig ekonomijournalist. Tidigare på Fastighetsvärlden, Fri Köpenskap, Food Supply.
Johan Colliander
Mångårig ekonomijournalist. Tidigare på Fastighetsvärlden, Fri Köpenskap, Food Supply.
ANNONS
ANNONS
Senaste nytt
ANNONS
ANNONS