NIS 2 – ny cybersäkerhetslag

Under år 2022 antog EU det så kallade NIS 2-direktivet om åtgärder för att uppnå en hög gemensam cybersäkerhetsnivå inom EU. Regeringen har därför presenterat en proposition till en ny Cybersäkerhetslag i Sverige (prop. 2025/26:28) i syfte att implementera direktivet i svensk rätt. Lagen och övriga lagändringar föreslås träda i kraft den 15 januari 2026.

Vilka omfattas av lagändringarna?

Regeringens förslag till en ny Cybersäkerhetslag påverkar verksamhetsutövare inom vissa utvalda sektorer. Enligt EUs direktiv omfattas offentliga eller privata entiteter som har minst 50 anställda eller som har en balansomslutning och årsomsättning som överstiger 10 miljoner euro per år. Det kommer även finnas vissa undantag där lagen även omfattar mindre företag i vissa specifika branscher. Därtill kommer även företag som är leverantörer till ett företag som träffas av branschen också påverkas, vilket kommer innebära att den nya Cybersäkerhetslagen berör många företag. Följande sektorer kommer att omfattas av Cybersäkerhetslagen:

  • Energi ((elektricitet, fjärrvärme/-kyla, olja, gas och vätgas)
  • Transport (lufttransport, järnvägstransport, sjöfart och vägtransport)
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvårdssektorn
  • Dricksvatten
  • Avloppsvatten
  • Digital infrastruktur (molntjänster, datacentraltjänster, leverans av innehåll m.m.)
  • Förvaltning av IKT-tjänster mellan företag (utlokaliserade drifts-och säkerhetstjänster)
  • Offentlig förvaltning (myndigheter, kommuner, regioner). Undantag: Regeringen, riksdagen, utlandsmyndigheter, domstolar. Regioner men inte regionfullmäktige. Kommuner men inte kommunfullmäktige)
  • Rymden
  • Post- och budtjänster
  • Avfallshantering
  • Tillverkning, produktion och distribution av kemikalier
  • Produktion, bearbetning och distribution av livsmedel
  • Digitala leverantörer (marknadsplatser, sökmotorer, sociala nätverk)
  • Forskning
  • Tillverkning (bl. a. datorer, el-apparatur, medicintekniska produkter, motorfordon)

Vad innebär lagändringarna?

De nya kraven handlar främst om att företag kommer att behöva vidta åtgärder för att öka skyddet på sina nätverks- och informationssystem, s.k. säkerhetsåtgärder. Lagen innehåller även regler om tillsyn mot verksamhetsutövare som inte följer de nya kraven.

  • Hur kan verksamhetsutövare komma att påverkas av ändringarna och den nya lagen?

Lagförslaget innebär att verksamhetsutövare som omfattas av lagen bland annat:

  • ges en anmälningsplikt till tillsynsmyndigheten,
  • tvingas att vidta säkerhetsåtgärder,
  • får krav på sig att rapportera betydande incidenter,
  • ges ett ansvar för riskhanteringsåtgärder, och
  • ska genomgå utbildning kring säkerhetsåtgärder.

Sanktionsavgifter

Om företag åsidosätter sina skyldigheter enligt den nya lagen kan en sanktionsavgift tas ut. Sanktionsavgiftens storlek varierar beroende på vilken typ av verksamhetsutövare som åsidosatt sina förpliktelser:

  • För väsentliga verksamhetsutövare är sanktionsavgiften det högsta av:
    • upp till 2% av verksamhetsutövarens totala globala årsomsättning närmast föregående räkenskapsår, eller
    • 10 miljoner euro.
  • För enskilda verksamhetsutövare som är väsentliga är avgiften det högsta av:
    • 1,4% av verksamhetsutövarens totala globala årsomsättning närmst föregående räkenskapsår, eller
    • 7 miljoner euro
  • För offentliga verksamhetsutövare är sanktionsavgiften upp till 10 miljoner euro.

Så kan verksamhetsutövare förbereda sig inför ändringarna och den nya lagen

  • Utred om din verksamhet träffas av den nya lagen eller om ditt företag är leverantör till sådan verksamhet.
  • Undersök och förbered verksamheten för en eventuell anmälningsplikt.
  • Undersök att verksamheten har fungerande säkerhetsåtgärder till hands.
  • Se till att ledningen för en verksamhetsutövare bevakar möjligheter för att utbildas inom de säkerhetsåtgärder som krävs för att följa den nya lagen.

Kontakt

Om du eller ditt företag är intresserad av att få rådgivning gällande Cybersäkerhetslagen och vill veta om ditt företag påverkas är du välkommen att kontakta våra medarbetare på Wesslau Advokatbyrå.

Fredrik Björklund

fredrik.bjorklund@wadv.se

Erik Sjöberg

Clara Herbertsson

© 2025 Wesslau Advokatbyrå