Lyssna

Säkerhetsåtgärder enligt cybersäkerhetslagen

Cybersäkerhetslagen (NIS2-direktivet) ställer högre krav på verksamheters arbete med cybersäkerhet. Cybersäkerhetslagen innebär att verksamhetsutövare som omfattas av lagen ska vidta en rad säkerhetsåtgärder.

På den här sidan finns övergripande information om säkerhetsåtgärder, vilka regler som gäller samt vilket stöd som finns att tillgå.

Övergripande information

Informationen på sidan är övergripande och uppdateras löpande. Ytterligare stöd kommer att publiceras under hösten 2026.

Systematiskt och riskbaserat arbete med säkerhetsåtgärder

Verksamheten ska arbeta systematiskt och riskbaserat utifrån interna respektive externa krav och behov.

Att arbeta systematiskt innebär att regelbundet analysera verksamhetens krav, att införa ändamålsenliga säkerhetsåtgärder utifrån dessa krav, samt att kontinuerligt följa upp och förbättra skyddet. Med riskbaserat menas att säkerhetsåtgärderna ska vara anpassade till verksamhetens identifierade risker och behov, vilket ger ett ändamålsenligt skydd.

Säkerhetsåtgärder ska utformas och införas för att hantera risker som hotar säkerheten i nätverks- och informationssystem.

Verksamheten behöver till exempel arbeta med

  • riskhantering (att identifiera, analysera och bedöma risker),
  • kontinuitetshantering (att förbereda sig för att kunna upprätthålla kritisk verksamhet även vid störningar) och
  • säkerhet i leveranskedjan (att krav på cybersäkerhet även ställs på leverantörer).

Verksamheten ska även följa upp cybersäkerhetsarbetet och utvärdera säkerhetsåtgärderna samt vid behov genomföra förbättringar.

Arbetet med cybersäkerhet ska inte vara skilt från verksamhetens ledning och styrning av organisationen. Verksamheten identifierar och hanterar behovet av användningen av relevanta standarder som kan stötta i arbetet.

Krav på säkerhetsåtgärder enligt cybersäkerhetslagen

Cybersäkerhetslagen ställer krav på att verksamhetsutövare ska vidta lämpliga och proportionella åtgärder inom ett antal olika områden för att skydda nätverks- och informationssystem mot incidenter. Myndigheter som regeringen utser får meddela föreskrifter som förtydligar innebörden av kraven i lagen.

Myndigheten för civilt försvar har därför utfärdat föreskrifter om säkerhetsåtgärder och ledningens utbildning. Föreskrifterna träder i kraft 1 oktober 2026. Cyberverksamheten vid myndigheten överförs till Nationellt cybersäkerhetscenter (NCSC) vid FRA den 1 juli 2026, varvid också ansvaret för föreskrifterna flyttas till NCSC.

MCFFS 2026:11 föreskrifter om säkerhetsåtgärder och ledningens utbildning.

De flesta verksamhetsutövare berörs av föreskrifterna i sin helhet. Vissa verksamhetsutövare berörs endast av kraven på ledningens utbildning (2 kap.). Det gäller för verksamhetsutövare som uteslutande bedriver sektorsverksamhet inom digital infrastruktur, digitala leverantörer, förvaltning av IKT-tjänster (mellan företag), post- och budtjänster samt rymden. För dessa sektorer gäller krav på säkerhetsåtgärder som finns i EU:s genomförandeförordning resp. kommande föreskrifter från PTS.

Mer information om genomförandeförordningen och PTS föreskrifter finns på PTS webbplats:  PTS tar fram föreskrifter

Vilka säkerhetsåtgärder ska vidtas?

Verksamheter ska vidta organisatoriska, tekniska och fysiska säkerhetsåtgärder som upprätthåller en hög nivå av cybersäkerhet. Föreskrifterna beskriver vilka åtgärder som minst ska vidtas inom respektive område. Verksamhetsutövaren behöver göra en egen riskanalys för att avgöra vilken nivå av skydd som behövs (säkerhetsåtgärden Riskhantering). För särskilt utpekade sektorer finns det även vissa sektorsspecifika säkerhetsåtgärder som meddelas i föreskrifterna.

De organisatoriska åtgärderna innebär att sätta upp ett systematiskt och riskbaserat cybersäkerhetsarbete. Det innefattar bland annat att klassa information, arbeta med riskhantering, incidenthantering och krishantering. Åtgärderna ska också följas upp och utvärderas. De organisatoriska säkerhetsåtgärderna innefattar också bland annat personalsäkerhet och ledningens ansvar.

De tekniska och driftsrelaterade åtgärderna handlar om säkerhetskrav för inköp, utveckling och livscykelhantering av it-miljö. Det innebär också att verksamheten ska säkerställa korrekt hantering och återställning av information och system, och minska risker för samt konsekvenser av incidenter. Åtgärderna innefattar även genomförande av tester för att identifiera brister i cybersäkerheten.

De fysiska åtgärderna innebär att lokaler där information behandlas i system ska skyddas mot obehörigt tillträde. Det innebär också annat fysiskt skydd för utrustning efter behov samt skydd mot exempelvis brand och vattenskador.

Webbinarium med presentation av föreskrifterna

I vårt webbinarium om föreskrifterna för säkerhetsåtgärder och ledningens utbildning berättar vi mer om bakgrunden till föreskrifterna, hur de ska läsas, vad som är bra att tänka på, centrala begrepp i föreskrifterna och tips på hur man kan komma igång.

Webbinarier om cybersäkerhetslagen

Komma igång med föreskrifterna

Tips på förberedelser inför att föreskrifterna träder i kraft:

  • Läs igenom föreskrifterna i lugn och ro
  • Jämför era nuvarande säkerhetsåtgärder med kraven i föreskrifterna
  • Inkludera cybersäkerhet i pågående arbete med att ta fram avtal och överenskommelser med leverantörer
  • Anslut er till ANTS – automatiska notifieringar om tekniska sårbarheter
  • Ta del av råd och stöd på vår webbplats

Mer information

Har du frågor så titta gärna på webbinariet för mer information (länk ovan) och läs Frågor och svar om cybersäkerhetslagen.

Frågor och svar om cybersäkerhetslagen

Håll utkik på den här sidan, ytterligare informations- och stödmaterial kommer att publiceras under augusti-september.

EU-loggor