Lyssna

Cybersäkerhetslagen för ledningen

I och med den nya cybersäkerhetslagen (NIS2-direktivet) tydliggörs att cybersäkerhet är en strategisk ledningsfråga. Bland annat ställs nu krav på att ledningen ska ha kännedom om organisationens cybersäkerhetsrisker och att ledningen ska övervaka det systematiska cybersäkerhetsarbetet.

Övergripande information

Informationen på sidan är övergripande. Exakta kriterier, krav och eventuella tillägg eller undantag vet vi först när den svenska regleringen är färdig. Vi uppdaterar innehållet löpande.

Syftet med cybersäkerhetslagen (NIS2) är att skapa en hög gemensam cybersäkerhetsnivå i hela EU och direktivet omfattar fler organisationer än tidigare NIS-direktiv. Kraven skärps bland annat gällande säkerhetsåtgärder, incidentrapportering och ledningens ansvar. Dessutom introduceras nya tillsynsåtgärder. I Sverige genomförs direktivet genom cybersäkerhetslagen som började gälla 15:e januari 2026. Lagkraven kommer att preciseras ytterligare i kommande myndighetsföreskrifter under våren 2026.

Syftet med cybersäkerhetslagen (NIS2) är att skapa en hög gemensam cybersäkerhetsnivå i hela EU och direktivet omfattar fler organisationer än tidigare NIS-direktiv. Kraven skärps bland annat gällande säkerhetsåtgärder, incidentrapportering och ledningens ansvar. Dessutom introduceras nya tillsynsåtgärder. I Sverige genomförs direktivet genom cybersäkerhetslagen som trädde i kraft den 15:e januari 2026. Lagkraven kommer att preciseras ytterligare i kommande myndighetsföreskrifter under 2026.

Cybersäkerhetslagen för verksamheten

En organisation behöver fastställa om man är verksamhetsutövare enligt cybersäkerhetslagen och i så fall anmäla sig till oss.

Därefter ska verksamhetsutövaren införa ett antal säkerhetsåtgärder; bland annat ett systematiskt och riskbaserat cybersäkerhetsarbete men även övriga säkerhetsåtgärder som följer gällande föreskrifter och/eller genomförandeförordning (beroende på vilken sektor verksamheten bedrivs i). Detta innebär att både ledning och personal ska ha kunskap om cybersäkerhet och det ska finnas arbetssätt för att rapportera incidenter som orsakar eller riskerar att orsaka betydande störningar.

Verksamhetsutövaren berörs också av tillsyn från tillsynsmyndigheten för den sektor eller de sektorer där man omfattas. Tillsyn innebär att tillsynsmyndigheter kontrollerar så cybersäkerhetslagen och föreskrifter följs. Tillsyn ska vara ett stöd för verksamhetsutövaren i det egna säkerhetsarbetet.

Ledningen roll och ansvar

Ledningen ansvarar för att styra organisationens cybersäkerhetsarbete så att det bedrivs systematiskt och riskbaserat. Arbetet ska vara integrerat i organisationens befintliga styrning och ledning och inte hanteras som ett separat spår, utan som en naturlig del av verksamhetsstyrningen. Ledningen ska besluta om mål, inriktning och resurser, fastställa mandat och se till att organisationen har tillräcklig kompetens och tillräckliga resurser för att nå den säkerhetsnivå som krävs.

En central del av ledningens ansvar är att tydliggöra roller och ansvar i organisationen för att säkerställa att all information och alla system har ägare som tar ansvar för säkerheten utifrån sina roller. Ledningen ska dessutom säkerställa att det finns en funktion som samordnar cybersäkerhetsarbetet och ger ledningen det underlag de behöver, exempelvis en CISO, informationssäkerhetschef eller informationssäkerhetssamordnare.

Om du vill få en snabb överblick över varför cybersäkerhet är viktigt och hur det berör ledningen kan du börja med denna introduktionsfilm:

Obligatoriskt med utbildning för ledningen

För att ta sitt ansvar behöver ledningen grundläggande kunskap om cybersäkerhet. Syftet är att förtydliga vilken kunskap som minst krävs av ledningen för att kunna förstå och bedöma organisationens risker samt fatta beslut om säkerhetsåtgärder.

Utbildningskraven för ledningen förväntas minst omfatta:

  • Ledningens roll i arbetet med cybersäkerhet
  • Grundläggande terminologi och relevant reglering
  • Riskhantering och övervakning som ett stöd för att leda och styra arbetet med cybersäkerhet
  • Systematiskt och riskbaserat arbete
  • Organisationens egna interna regler och arbetssätt av relevans för ledningen
  • Utbildningar

    Vi tillhandahåller två utbildningsmöjligheter som kan ge ledningen en grundläggande förståelse för ansvar och styrning inom informations- och cybersäkerhet.

    1.  Kursen ”Ledningsperspektiv på informations- och cybersäkerhet”
      Kursen behandlar ledningens roll för informations- och cybersäkerhetsarbetet i organisationer med samhällsviktiga funktioner, och hur styrningen i detta område hänger ihop med verksamhetsstyrningen i stort.

    Ledningsperspektiv på informations-och cybersäkerhet LÄNK SAKNAS

    1. Kort introduktion till cybersäkerhet för ledningen
      En ca 20-minuter webbaserad kurs som ger en överblick över varför cybersäkerhet är en strategisk ledningsfråga.
      Introduktion – Ledningsperspektiv på informations- och cybersäkerhet

    Observera att ingen av utbildningarna gör anspråk på att uppfylla det formella utbildningskravet enligt NIS2 och den kommande cybersäkerhetslagen, men de ger en god grund och minskar insteget att uppfylla de nya kraven när de kommer.

    Vi tillhandahåller även publikationen ”Ledningens roll inom informations- och cybersäkerhet” som beskriver vad informationssäkerhet innebär, varför ett systematiskt och riskbaserat arbetssätt är avgörande och hur dessa frågor bör hanteras ur ett ledningsperspektiv.

    Ledningens roll inom informations- och cybersäkerhet

    Myndigheten har även tagit fram ”Övning – Informationssäkerhet för ledningen”. Övningsmaterialet innehåller en handledning och ett presentationsunderlag som kan användas i olika typer av organisationer för att genomföra en övning om informationssäkerhet med ledningsgruppen.

    Informationssäkerhet för ledningen

Ledningens genomgång

En engagerad ledning är grunden för ett fungerade cybersäkerhetsarbete. För att kunna fatta beslut behöver ledningen informera sig om organisationens risker, incidenter och hur införda säkerhetsåtgärder fungerar. Genom att regelbundet följa upp cybersäkerhetsarbetet kan ledningen identifiera brister, prioritera åtgärder och säkerställa att resurser används där de gör störst nytta.

Ledningen förväntas minst en gång per år, men oftare vid behov, efterfråga en sammanställning av organisationens nivå av cybersäkerhet. I detta ingår att ledningen informerar sig om allvarliga risker, status i arbetet med åtgärdsplaner och inträffade betydande incidenter. Ledningen behöver också känna till eventuella brister i cybersäkerheten hos leverantörer och i leveranskedjor, liksom resultat från intern och extern revision och genomförda tillsyner. Som stöd i detta arbete finns samordnarens utvärdering av organisationens cybersäkerhetsnivå. Den sammanställer och analyserar hur organisationens säkerhetsåtgärder motsvarar identifierade risker och om åtgärderna är lämpliga och proportionerliga.

Syftet med ledningens genomgång är att skapa en helhetsbild som underlag för styrning och beslut. Genomgången ska inte bara konstatera nuläget, utan resultera i att ledningen fattar beslut om prioriteringar, resurser och förbättringar i organisationens säkerhetsarbete.

Om ledningen brister i sitt ansvar

Om organisationen inte uppfyller kraven kan det leda till både föreläggande och sanktionsavgifter. Eftersom ledningens ansvar är särskilt utpekat kan bristande ledning och styrning av cybersäkerheten bli föremål för ingripanden, i vissa fall till och med förbud att inneha ledningsfunktion.