NIS2 och cybersäkerhetslagen

NIS2 är ett EU-direktiv som syftar till att uppnå en hög gemensam cybersäkerhetsnivå i samtliga medlemsländer. Jämfört med tidigare NIS-direktiv omfattas fler organisationer än tidigare, däribland stadsnät. I Sverige genomförs direktivet genom en ny lag, cybersäkerhetslagen, CSL. Den nya lagen trädde i kraft den 15 januari 2026.

NIS2-direktivet beslutades av EU i december 2022 och ersatte då det NIS-direktiv som började gälla i Sverige 2018 genom lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster. Sedan dess har likväl grundläggande samhällsfunktioner som samhällssektorer och näringsliv blivit alltmer beroende av den digitala infrastrukturen för att fungera. Samtidigt har också hotbilden förändrats, där incidenter både har ökat och blivit mer omfattande. Genom att fastställa tydliga regler och krav för cybersäkerhet ska NIS2-direktivet bidra till att skydda kritisk infrastruktur och främja en trygg digital miljö.

Ett direktiv är en typ av EU-lagstiftning som fastställer mål som alla medlemsstater måste uppnå. Däremot får medlemsländerna själva bestämma hur dessa mål ska implementera i nationell lagstiftning. I Sverige genomförs NIS2-direktivet genom en ny lag, cybersäkerhetslagen, CSL. CSL trädde i kraft 15 januari 2026.

Varför är cybersäkerhetslagen viktig?

Cyberhoten ökar och blir alltmer avancerade. Med den nya cybersäkerhetslagen ska cybersäkerhetsnivån höjas inom hela EU, samtidigt som samhällets mest kritiska funktioner får ökad motståndskraft mot digitala hot.

Vilka omfattas?

Cybersäkerhetslagen gäller både offentliga och privata verksamheter som bedöms som viktiga eller samhällskritiska. Det handlar bland annat om aktörer inom energi, transport, hälso- och sjukvård, digital infrastruktur, vattenförsörjning, bank och finans samt offentlig förvaltning. Alla stadsnät omfattas av den nya lagstiftningen, oavsett storlek eller organisationsform.

Viktiga krav i korthet

Den nya lagen ställer krav på att verksamheter ska arbeta mer strukturerat och systematiskt med cybersäkerhet. Det innebär bland annat att:

• Risker för cyberangrepp och driftstörningar ska identifieras och hanteras
• Tekniska och organisatoriska säkerhetsåtgärder ska finnas på plats
• Det ska finnas rutiner för att förebygga, upptäcka och hantera incidenter

Vid allvarliga cybersäkerhetsincidenter ska verksamheten dessutom rapportera händelsen till ansvarig myndighet, i detta fall till Myndigheten för civilt försvar, MCF.

Tydligare ansvar och ökad tillsyn

Lagen innebär också ett tydligare ansvar för ledningen i berörda organisationer. Myndigheter får utökade möjligheter till tillsyn och kan vid brister ställa krav på åtgärder eller besluta om sanktioner.

Läs mer om nya cybersäkerhetslagen på MCF:s hemsida

Har du frågor om CSL och Stadsnätsföreningens stöd inom området? Kontakta ansvarig Jenni Wigholm enklast via detta formulär.