Omfattas verksamheten av cybersäkerhetslagen

Vilka omfattas av cybersäkerhetslagen?

Organisationen behöver själv bedöma om den omfattas av cybersäkerhetslagen. Underlag för bedömningen finns i Cybersäkerhetslagen, EU-direktivets Bilaga 1 och 2 och föreskriften om anmälan och identifiering samt vägledning.

Cybersäkerhetslagen

EU-direktivet

MCFFS 2026:1 föreskrifter om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare

Vägledning för anmälan och identifiering av verksamhetsutövare som omfattas av cybersäkerhetslagen

Organisationer omfattas som juridiska personer. Organisationsnummer utgör en sådan person.

I Cybersäkerhetsförordningen förklaras att alla beredskapsmyndigheter omfattas av lagen, om de inte är undantagna enligt 1 kap. 12 §. Beredskapsmyndigheterna anges i bilaga 1 till förordningen (2022:524) om statliga myndigheters beredskap.

Cybersäkerhetsförordningen

Identifiering och analys av omfattning

För att omfattas av cybersäkerhetslagen (NIS2) måste tre aspekter uppfyllas. Aspekterna kan ses som en trappa. Det vill säga uppfyller organisationen det första steget kan man gå vidare att titta på nästa.

1. Typ av verksamhet
2. Storlek
3. Jurisdiktion

Lyssna på våra kollegor Jan-Olof Olsson från Myndigheten för civilt försvar och Anna Söyland från PTS beskriva hur organisationers omfattning genom att titta på NIS2-webbinariet ”Omfattning eller omfamning?”.

Våra webbinarier LÄNK SAKNAS

Typ av verksamhet

Cybersäkerhetslagen (NIS2) omfattar verksamhet inom följande 18 sektorer:

• Energi
• Transporter
• Bankverksamhet
• Finansmarknadsinfrastruktur
• Hälso- och sjukvård
• Dricksvatten
• Avloppsvatten
• Digital infrastruktur
• Förvaltning av IKT-tjänster (mellan företag)
• Offentlig förvaltning
• Rymden
• Post- och budtjänster
• Avfallshantering
• Tillverkning, produktion och distribution av kemikalier
• Produktion, bearbetning och distribution av livsmedel
• Tillverkning
  
  • Tillverkning av medicintekniska pro­ dukter och medicintekniska produkter för in vitro-diagnostik
  • Tillverkning av datorer, elektronikvaror och optik (SNI C26)
  • Tillverkning av elapparatur (SNI C27)
  • Tillverkning av övriga maskiner (SNI C28)
  • Tillverkning av motorfordon, släpfor­ don och påhängsvagnar (SNI C29)
  • Tillverkning av andra transportmedel (SNI C30)
• Digitala leverantörer
• Forskning

I varje sektor finns ett antal typer av entiteter/typer av verksamhetsutövare. I svensk lagstiftning används begreppet ”verksamhetsutövare”, och i NIS2-direktivet används begreppet ”entitet”. ”Verksamhetsutövare” och ”entitet” är synonymer i detta sammanhang.

Sektorerna, delsektorerna och typ av verksamhetsutövare återfinns i Bilaga 1 och Bilaga 2. Ni omfattas av regelverket om ni utgör en sådan typ av verksamhetsutövare som räknas upp i kolumn 3 i någon av bilagorna.

Bilaga 1 Högkritiska sektorer i direktivet på EU:s webbplats

Bilaga 2 Andra kritiska sektorer i direktivet på EU:s webbplats

Storleksbedömning

Storleksbedömningen görs utifrån antalet anställda eller omsättning. Det finns verksamhetsutövare som omfattas oavsett storlek då dessa har en särskild betydelse för samhället, dessa återfinns i Bilaga 1. Medelstora och stora företag omfattas av NIS2 om verksamhetens sektor återfinns i Bilaga 1 eller 2. Små och mikroföretag omfattas som huvudregel inte av NIS2, men det finns alltså undantag till denna regel.

För att räkna ut er verksamhets storlek måste ni beakta anknutna företag och partnerföretag. Det kan t.ex. ha att göra med om ni tillhör en koncern, eller om det finns förbindelse mellan ert företag och ett annat. Det finns flera aspekter ni måste beakta för att konstatera om ni anses ha anknutna företag eller partnerföretag, och om ni når upp till storlekskraven. Vi rekommenderar att ni tar hjälp av EU:s användarhandledning om definitionen av SMF-företag för denna bedömning.

Användarhandledning om definitionen av SMF-företag - Publications Office of the EU

Jurisdiktion

Vissa organisationer kan ha verksamheter i flera länder och då behöver man avgöra vilken lagstiftning som gäller. I NIS2 finns det fyra jurisdiktionsregler.

1. Huvudregel: i det land där verksamheten är etablerad.
2. Undantag: i det land där verksamheten tillhandahåller sina tjänster.
3. Undantag: i det land där verksamheten har sitt huvudsakliga etableringsställe.
4. Undantag (för offentliga förvaltningsenheter) : i den medlemsstat som inrättat den.

Du får mer information i NIS2-webbinariet ”Omfattning eller omfamning?”.

Du hittar webbinariet här LÄNK SAKNAS

Väsentliga och viktiga verksamhetsutövare

Om din organisation omfattas av NIS2 ska du också ta reda på om den räknas som väsentlig eller viktig. För det finns två kategorier av verksamhetsutövare – väsentliga och viktiga. Kraven som ställs på verksamheten är i stort sett desamma, men reglerna för tillsyn och sanktioner skiljer sig åt.

Det är främst storleken på organisationen avgör om verksamhetsutövaren är väsentlig eller viktig, men även i vilken bilaga som typen av verksamhetsutövare återfinns (bilaga 1 eller bilaga 2).

Återfinns typen av verksamhetsutövare i bilaga 2 och är ett stort eller medelstort företag ses verksamhetsutövaren som viktig. Återfinns typen av verksamhetsutövare i bilaga 1 och är ett medelstort företag ses verksamhetsutövaren som viktig, men är verksamheten ett stort företag så ses verksamhetsutövaren som väsentlig.

Det finns dock undantag för sektorn Digital infrastruktur och sektorn Offentlig förvaltning.

Det som skiljer sig mellan viktiga och väsentliga verksamheter är tillsynen och sanktionsavgifterna. För viktiga verksamhetsutövare är tillsynen händelsestyrd, det vill säga kan endast ske när tillsynsmyndigheten har anledning att anta att verksamhetsutövaren inte följer reglerna i cybersäkerhetslagen. Det kan t.ex. bli aktuellt efter en inträffad incident. För väsentliga verksamhetsutövare är tillsynen planlagd, och sanktionsavgifterna har ett högre maxtak än för viktiga verksamhetsutövare.

Omfattas myndigheter, regioner och kommuner?

Statliga myndigheter omfattas av NIS2 om de har befogenhet att fatta beslut som påverkar fysiska eller juridiska personers rättigheter när det gäller gränsöverskridande rörlighet för personer, varor, tjänster eller kapital. Cybersäkerhetslagen gäller för de myndigheter som regeringen bestämmer även om inte kraven i 1 kap. 3-7 §§ är uppfyllda.

Regioner, kommuner och kommunalförbund omfattas oavsett storlek, under sektorn offentlig förvaltning. Sådana organisationer kan även ha annan verksamhet enligt Bilagorna 1 och 2, vilket kan innebära att de kan omfattas enligt flera sektorer, eventuellt med flera olika tillsynsmyndigheter.

CER

Verksamheter som omfattas av CER-direktivet omfattas per automatik även av cybersäkerhetslagen (NIS2). Mer information om detta kommer.

Här hittar du mer information om CER-direktivet LÄNK SAKNAS

Levererar organisationen tjänster eller produkter till en verksamhetsutövare som omfattas av cybersäkerhetslagen?

Även om er organisation inte omfattas av cybersäkerhetslagen, kan det vara en god idé att se över de krav på cybersäkerhet som ställs i lagen. Det ger er bättre förutsättningar att förstå vilka krav som kan komma att ställas på er som leverantör eller samarbetspartner till verksamheter som omfattas.

Saknar du svar på om din organisation omfattas?

Kriterierna för vad som gäller i Sverige anges i lag, förordning och föreskrifter.

Det finns dock verksamheter som omfattas eller där det inte ännu finns en tydlig bild hur de omfattas av Cybersäkerhetslagen. Detta kommer att förtydligas när samtliga underlag finns tillgängliga.