Regeringens förslag till Cybersäkerhetslag – detta behöver ni veta
Tele2 Företags säkerhetsblogg
Sverige tar nu ett stort steg mot att implementera EU:s direktiv NIS2, i form av ett förslag till en svensk Cybersäkerhetslag. I det här inlägget går vi igenom vad lagförslaget innebär, vad som sannolikt kommer gälla framöver, och hur du kan förbereda verksamheten inför att lagen träder i kraft i början av 2026.
Vad har hänt?
Den 12 juni i år överlämnade regeringen en lagrådsremiss om Cybersäkerhetslagen. Efter Lagrådets granskning väntas riksdagen fatta beslut under året. Lagförslaget innebär betydligt skärpta säkerhetskrav för verksamheter som omfattas – men det innehåller också inslag av stöd till de verksamhetsansvariga.
Vem omfattas?
Om ni tidigare har bedömt att ni omfattas av NIS2 kan det vara dags att göra om bedömningen. Regeringens förslag skiljer sig från den tidigare statliga utredningen (SOU 2024:18), bland annat i definitionen av vad som utgör ett medelstort företag, vilket påverkar tröskeln för om lagen gäller för er.
Det finns tyvärr inga genvägar: ni behöver själva analysera om er verksamhet överskrider kvalificeringskraven i lagförslaget (LRR Cybersäkerhetslagen).
Vilka delar av verksamheten omfattas?
Om ni omfattas av lagen gäller den för hela verksamheten – inte enbart de it- och nätverksmiljöer som direkt stödjer exempelvis transport, avfallshantering eller livsmedelsproduktion. Även andra delar av verksamhetens it-system måste bedömas, om de kan utgöra en indirekt risk.
Kort sagt: tröskeln för att omfattas höjs, men för de som omfattas breddas kraven betydligt.
Vad innebär lagen för verksamheter som omfattas?
Cybersäkerhetslagen innebär omfattande krav, men också viss vägledning och stöd. Fokus ligger på riskhantering – risker som kan orsaka oacceptabel skada måste identifieras, analyseras och hanteras.
Exempelvis ska en leverantör av ett kommunalt lönesystem inte kunna påverka andra känsliga delar av kommunens it-miljö. Verksamheten måste även ha förmåga att identifiera incidenter och upptäcka obehörig åtkomst.
Lagen specificerar inte exakt vilka åtgärder som ska vidtas – det är upp till varje verksamhetsansvarig att besluta och införa lämpliga säkerhetsåtgärder. Hur hanterar man exempelvis leverantörsrelaterade risker? Ja, det kan handla om strikta brandväggsregler, separerad it-infrastruktur eller särskilt övervakad fjärråtkomst.
Tillsynsmyndigheten kommer bedöma om era åtgärder är proportionerliga i förhållande till riskerna – antingen genom planerad tillsyn eller vid en incident.
Vad behöver ni göra nu?
Här är en checklista på vad ni bör prioritera redan idag:
✅ 1. Bedöm om ni omfattas.
Gör en grundlig analys utifrån regeringens lagförslag – kommer Cybersäkerhetslagen gälla för er?
✅ 2. Förtydliga ansvar
Säkerhetsansvaret är högsta ledningen – efterlevnadsarbetet av Cybersäkerhetslagen behöver förankras där.
✅ 3. Systematisk riskhantering
Finns redan fungerande processer för andra riskområden (exempelvis inom finans)? Går det använda annan riskhantering som grund för att hantera it- och informationssäkerhetsrisker? Annars, hitta den modell som passar er verksamhet.
✅ 4. Dokumentera och följ upp
Dokumentation är nödvändig både för undvika personberoenden och för att möta tillsynsmyndighetens krav.
✅ 5. Identifiera nödvändiga åtgärder
Utbildning, incidentprocesser, nätverksövervakning, leverantörskrav – vilka åtgärder har ni redan? Vilka saknas? Prioritera det mest kritiska.
✅ 6. Anmäl er i tid
Om ni omfattas av lagen m�åste ni anmäla detta till rätt tillsynsmyndighet innan lagen träder i kraft. Underlåtenhet kan leda till sanktionsavgifter.
✅ 7. Genomför oberoende granskning
Ledningen bör låta genomföra en oberoende kontroll – exempelvis via internrevision eller extern granskning – antingen kring styrning av säkerhetsarbetet eller specifikt inom it och nätverk.
Sammanfattning
Äntligen vet vi mer om Cybersäkerhetslagens faktiska krav – men vi vet inte allt. Mer detaljer kommer följa, men det är viktigt att alla verksamheter nu påbörjar en bedömning och GAP-analys. Omfattas er verksamhet av Cybersäkerhetslagen är den viktig eller väsentlig för ett fungerande Sverige.
Vi får ofta frågor om förebyggande och reaktiva riskhanteringsåtgärder - kontakta oss gärna för it- och nätverkslösningar med förmåga att hantera ett stort antal riskområden i en samlad lösning.
Vänliga hälsningar
Martin Fransson
Säkerhetschef, Tele2 Företag
Håll dig uppdaterad
Till nästkommande blogginlägg fortsätter vi att djupdyka i aktuella händelser, säkerhetsutmaningar och lösningar på säkerhetsrisker inom ramen för Tele2s expertområden. Du är alltid välkommen att höra av dig till oss om du vill veta mer om vad Tele2 Företag kan göra för att öka förmåga och resultat i ert arbete med säkerhet. Vänliga hälsningar Martin Fransson Säkerhetschef – Tele2 FöretagHur kan vi hjälpa dig?
Tele2 Företag erbjuder anpassade nätverks- och säkerhetslösningar för stora och små företag. Låt oss tillsammans hitta rätt lösning för ditt företags behov. Läs mer om våra säkerhetstjänster eller fyll i formuläret via knappen nedan så kontaktar vi dig.