Cyber­säkerhets lagen

Om ett företag omfattas av lagen gäller bland annat krav på att:

• anmäla verksamheten till Myndigheten för civilt försvar
• övervaka cyberrelaterade incidenter
• rapportera betydande incidenter
• säkerställa att cybersäkerhetsarbetet är förankrat på ledningsnivå

Mer detaljerade krav införs successivt genom föreskrifter under 2026.

Bedömningen sker i två steg – och görs av företaget självt.

1.Storlek

Lagen gäller normalt företag som (inkl. koncern):

• har minst 50 anställda, eller
• omsätter minst 10 miljoner euro per år

Om inget av detta uppfylls gäller lagen i regel inte.

2.Verksamhet

Företaget måste dessutom tillhöra en utpekad verksamhetskategori i lagen.

Det sker inte genom ett formellt myndighetsbeslut – verksamheten avgör själv om den tillhör en kategori.

Exempel inom transportsektorn

Kan omfattas:

• järnvägsföretag som kör person- eller godstrafik
• infrastrukturförvaltare (spår, signal, el, trafikledning)
• tjänsteleverantörer som ingår i järnvägssystemet enligt regelverket
• fordonstillverkare (om storlekskraven uppfylls)

Kan omfattas genom andra delar av lagen:

• kollektivtrafikföretag, exempelvis som operatörer av ITS‑lösningar
  (och de kommer dessutom att omfattas av CER‑direktivet)

Alla verksamheter som omfattas av lagen klassas som viktig eller väsentlig sektor.

Skillnaden påverkar främst:

• hur tillsyn bedrivs
• sanktionsnivåer

Väsentliga verksamheter får mer aktiv tillsyn, medan viktiga verksamheter främst granskas vid misstanke om brister.

• Transportstyrelsen – tillsyn inom järnväg, väg, sjöfart och luftfart
• PTS – tillsyn för post- och paketverksamhet
• Myndigheten för civilt försvar – anmälan, föreskrifter, incidentrapportering och nationell samordning

Cybersäkerhetslagen ersätter inte tidigare regelverk – den kompletterar dem.

Det innebär att företag inom säkerhetsskydd kan återanvända stora delar av sitt befintliga arbete.

När ett företag omfattas gäller lagen för hela verksamheten, inte bara enskilda system.

Berörda företag ska anmäla sig inom 14 dagar (från 2026‑02‑02).
Anmälan görs via MCF:s e‑tjänst.

Vägledning är under framtagande. Utgångspunkten är att incidenter som uppenbart bör rapporteras också ska rapporteras. Rutinerna justeras när slutliga föreskrifter är på plats.

Styrelse och vd ansvarar för att lagen följs.
Ansvaret kan inte delegeras till IT‑funktioner eller externa leverantörer.

Sanktionsavgifter kan bli betydande, och vid upprepade brister kan ledande personer tillfälligt förbjudas att utöva sitt uppdrag.

Företag som omfattas bör:

• bekräfta och dokumentera att lagen gäller
• förankra ansvar på styrelse- och ledningsnivå
• utse ansvariga för cybersäkerhet och incidenthantering
• etablera grundläggande förmåga att upptäcka och hantera incidenter
• säkerställa rutiner för rapportering
• anmäla verksamheten till MCF
• dokumentera roller, beslut och genomförda åtgärder

ISO/IEC 27001 kan användas som stöd, men ersätter inte lagens krav.

Även företag som inte omfattas av cybersäkerhetslagen har starka skäl att arbeta systematiskt med cybersäkerhet. Digitala angrepp och IT‑störningar kan få konsekvenser långt utöver lagkrav.