Cybersäkerhetslagen är i kraft. Vad förväntas av ledningen?
Många företag delegerar cybersäkerhetsfrågor till IT-avdelningen. Få vet att cybersäkerhetslagen som trädde i kraft den 15 januari 2026 gör det till en otillräcklig lösning.
Cybersäkerhetslagen (2025:1506) genomför NIS2-direktivet i svensk rätt [1]. Lagen ställer krav på systematiskt säkerhetsarbete, riskhantering och incidentrapportering för organisationer i 18 samhällsviktiga sektorer. Men det som verkligen förändrar spelplanen är inte de tekniska kraven. Det är att ledningen nu explicit pekas ut som ansvarig, att toppchefer kan hållas personligt ansvariga vid bristande efterlevnad och att böterna kan uppgå till 10 miljoner euro eller 2 procent av organisationens globala omsättning [2].
Cybersäkerhet är inte längre en fråga ni kan delegera.
Berörs er organisation?
NIS2 gäller organisationer i 18 utpekade sektorer, indelade i väsentliga och viktiga verksamheter. Väsentliga sektorer inkluderar energi, transport, bankväsende, hälso- och sjukvård, dricksvatten och digital infrastruktur. Viktiga sektorer inkluderar bland annat livsmedel, tillverkning av läkemedel och medicintekniska produkter, post- och kurirtjänster samt digitala tjänster [1].
Medelstora och stora företag i dessa sektorer omfattas som regel. Om ni är osäkra är utgångspunkten enkel: anta att lagen gäller tills ni vet att den inte gör det. MCF är tillsynsmyndighet och kan ge vägledning.
Vad lagen kräver av er som ledare
Det som är nytt med cybersäkerhetslagen jämfört med tidigare reglering är att ledningens roll är explicit reglerad. Det räcker inte att IT-avdelningen har koll. Lagen kräver att ledningen godkänner säkerhetsåtgärder, aktivt följer upp det systematiska säkerhetsarbetet och genomgår utbildning i cybersäkerhet [2].
MCF har under hösten 2025 publicerat föreskrifter om vilka säkerhetsåtgärder som krävs och vad ledningsutbildningen ska innehålla [3]. I korthet innebär det att er organisation behöver ha följande på plats:
Riskanalys En strukturerad och dokumenterad process för att identifiera cybersäkerhetsrisker i verksamheten. Inte ett engångsprojekt, utan en löpande aktivitet.
Säkerhetsåtgärder Tekniska och organisatoriska åtgärder som är proportionerliga mot de risker ni identifierat. Det handlar om åtkomstkontroll, kryptering, säkerhetskopiering och tydliga rutiner för vad som gäller om något går fel.
Incidenthanteringsplan En klar plan för vad som händer vid en cyberincident. Vem beslutar? Vem rapporterar till MCF? Hur kommunicerar ni med kunder och samarbetspartners? En betydande incident ska anmälas inom 24 timmar och följas upp med en fullständig rapport inom 72 timmar [1].
Leverantörssäkerhet Ni ansvarar också för att era IT-leverantörer uppfyller rimliga säkerhetskrav. Det är ett krav många missar och som gör det nödvändigt att se över avtalen med era viktigaste IT-partners.
Ledningsutbildning Minst en gång per år ska ledningen genomgå utbildning som ger tillräcklig kunskap om cybersäkerhetsrisker och hur de hanteras i verksamheten.
Testa dina kunskaper här
Det affärsmässiga argumentet
Lagen gäller sedan januari 2026, men MSBs tillsyn byggs upp successivt under året. Det finns ingen nådefrist, men de som agerar nu bygger ett försprång.
Det finns också en dimension bortom regelefterlevnaden. Kunder, partners och investerare börjar ställa frågor om cybersäkerhet som en del av sina egna granskningar. Att inte kunna svara på dem skapar osäkerhet. Och en cyberincident i ett litet eller medelstort företag utan beredskap kostar i genomsnitt betydligt mer än vad ett strukturerat säkerhetsarbete hade kostat att bygga upp [3].
Att ha cybersäkerheten på plats är inte bara en fråga om efterlevnad. Det är en fråga om att kunna fortsätta driva verksamheten när något väl händer.
Vår roll
Vi hjälper er att ta ett samlat grepp om cybersäkerhetslagen utan att drunkna i tekniska detaljer.
Vi börjar med att gå igenom om och hur er organisation berörs, följt av en gap-analys mot lagens krav. Utifrån den tar vi fram en åtgärdsplan som prioriterar det som har störst effekt och passar er verksamhets storlek och resurser.
Vi hjälper er också att förbereda ledningen: vad behöver ni veta, vad behöver ni besluta och hur bygger ni ett säkerhetsarbete som håller över tid?
Om ni vill veta mer är ni välkomna att höra av er. Vi börjar alltid med ett samtal om var ni är i dag och vad som skulle göra störst skillnad.
Källor
[1] MCF, Det här är NIS2-direktivet. https://www.mcf.se/sv/amnesomraden/informationssakerhet-och-cybersakerhet/krav-och-regler-inom-informationssakerhet-och-cybersakerhet/nis-direktivet/cybersakerhetslagen-nis2/det-har-ar-cybersakerhetslagen/
[2] MCF, NIS2 för ledningen. https://www.mcf.se/sv/amnesomraden/informationssakerhet-och-cybersakerhet/krav-och-regler-inom-informationssakerhet-och-cybersakerhet/nis-direktivet/cybersakerhetslagen-nis2/cybersakerhetslagen-for-ledningen/
[3] MCF, Remiss: Föreskrifter om säkerhetsåtgärder och utbildning, oktober 2025. https://www.mcf.se/contentassets/117fc4a6e0a34ec286d4d05285e3f348/msb-2025-13269–foreskrifter-remiss-foreskrifter-om-sakerhetsatgarder-och-utbildning-remissversion.pdf
