Cybersäkerhetslagen påverkar fler än de som omfattas direkt
Data/TeleDen nya cybersäkerhetslagen, som trädde i kraft den 15 januari 2026, berör främst större företag och samhällsviktiga verksamheter. Men även många installations- och säkerhetsföretag kan påverkas genom ökade krav från kunder och beställare.
Cybersäkerhetslagen är den svenska implementeringen av EU-direktivet NIS2 och syftar till att stärka cybersäkerheten inom EU. Lagen omfattar verksamheter inom 18 utpekade sektorer och har minst 50 anställda eller en omsättning på minst 10 miljoner euro.
Vissa verksamheter omfattas oavsett storlek, exempelvis delar av offentlig sektor och samhällsviktig verksamhet. För de flesta företag inom installationsbranschen kommer inte drekt att omfattas av lagen. Däremot ställer lagen krav på att berörda verksamheter ska ha kontroll över sin leverantörskedja. Det betyder att entreprenörer och leverantörer kan möta dessa krav genom upphandlingar, avtal och kundkrav.
Verksamheter som omfattas av lagen ska bland annat:
- anmäla sig enligt Myndigheten för civilt försvars anvisningar,
- bedriva ett systematiskt cybersäkerhetsarbete,
- genomföra riskanalyser och införa lämpliga säkerhetsåtgärder,
- utbilda ledning och medarbetare i cybersäkerhetsfrågor,
- rapportera cybersäkerhetsincidenter.
Under våren har två nya föreskrifter trätt i kraft som en direkt tillämpning av lagen. Den ena reglerar hur verksamheter ska identifiera sig och anmäla sig till tillsynsmyndigheten. Den andra beskriver krav på incidentrapportering och informationsskyldighet.
Ytterligare föreskrifter om säkerhetsåtgärder och utbildning väntas under hösten.
Mer information om lagen och aktuella föreskrifter finns på Myndigheten för civilt försvars webbplats: Det här är cybersäkerhetslagen