Cybersäkerhetslagen vs NIS2-direktivet: Vad gäller nu?
Group COO & CISO
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
# Cybersäkerhetslagen vs NIS2-direktivet: Vad gäller nu?
Förvirringen kring svensk cybersäkerhetslagstiftning är begriplig. Den nuvarande cybersäkerhetslagen (2018:1174) implementerar det första NIS-direktivet från 2016. Den ska ersättas av ny lagstiftning som implementerar NIS2. Enligt MSB, 2025, omfattas idag cirka 400 svenska leverantörer av samhällsviktiga tjänster och digitala tjänster under den befintliga lagen. NIS2 utökar detta till uppskattningsvis 5 000 verksamheter.
Den här artikeln reder ut vad som gäller just nu, vad som är på väg och hur ni bör agera under övergångsperioden.
NIS2-direktivet fullständig guide
> Sammanfattning
> - Cybersäkerhetslagen (2018:1174) implementerar NIS1 och gäller fortfarande i april 2026
> - NIS2 utökar antalet berörda verksamheter från cirka 400 till 5 000 i Sverige (MSB, 2025)
> - SOU 2024:18 föreslog ny lagstiftning men riksdagsbeslut har dröjt
> - Organisationer bör förbereda sig nu, oavsett lagstiftningens exakta tidsplan
Vad säger den nuvarande cybersäkerhetslagen?
Cybersäkerhetslagen (2018:1174) trädde i kraft den 1 augusti 2018 och implementerade EU:s första NIS-direktiv. Enligt Riksdagen, 2018, ställer lagen krav på leverantörer av samhällsviktiga tjänster och vissa digitala tjänster att vidta säkerhetsåtgärder och rapportera incidenter.
Lagen gäller leverantörer av samhällsviktiga tjänster inom sju sektorer: energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt digital infrastruktur. Dessutom omfattas leverantörer av digitala tjänster som onlinemarknadsplatser, sökmotorer och molntjänster.
Tillsynen utövas av sektorsspecifika myndigheter. MSB har en samordnande roll och ansvarar för tillsynsvägledning. Incidenter rapporteras till MSB:s CERT-SE (numera CSIRT Sverige).
Sanktionerna under den nuvarande lagen är modesta jämfört med NIS2. Tillsynsmyndigheten kan utfärda förelägganden och, vid upprepade brister, viten. Men de maximala beloppen och mekanismerna är inte i närheten av NIS2:s sanktionssystem.
[CITATION CAPSULE: Cybersäkerhetslagen (2018:1174) implementerar NIS1 och omfattar leverantörer av samhällsviktiga tjänster i sju sektorer. Lagen ställer krav på säkerhetsåtgärder och incidentrapportering men har betydligt mildare sanktioner än det kommande NIS2-regelverket.]
Vilka omfattas idag?
Idag omfattas organisationer som MSB eller sektorsspecifika myndigheter har identifierat som leverantörer av samhällsviktiga tjänster. Identifieringen sker genom en process där myndigheten bedömer om tjänsten är samhällsviktig och om verksamheten uppfyller vissa kriterier.
Denna "identifieringsmodell" är en central skillnad mot NIS2. Under NIS2 baseras omfattningen på objektiva kriterier (sektor och storlek). Under nuvarande lag krävs en aktiv identifiering från myndighetens sida.
Vad föreslår SOU 2024:18?
Regeringen tillsatte en utredning som resulterade i SOU 2024:18, presenterad i mars 2024. Enligt Regeringen, 2024, föreslogs en helt ny lag om cybersäkerhet som ersätter den nuvarande cybersäkerhetslagen och implementerar NIS2-direktivets krav i svensk rätt.
Utredningens huvudförslag inkluderar:
Ny lag om cybersäkerhet: En ny lag ersätter 2018:1174. Den bygger på NIS2:s struktur med klassificering i väsentliga och viktiga verksamheter baserat på sektor och storlek.
Utökad omfattning: Från 7 till 18 sektorer. Nya sektorer inkluderar offentlig förvaltning, avfallshantering, livsmedelsproduktion, kemisk industri, tillverkning och rymdverksamhet.
Storleksbaserat kriterium: Organisationer med minst 50 anställda eller 10 MEUR i omsättning inom berörda sektorer omfattas automatiskt. Nuvarande identifieringsmodell avvecklas.
Skärpta sanktioner: Sanktionsavgifter på upp till 10 MEUR eller 2% av global omsättning för väsentliga verksamheter. Upp till 7 MEUR eller 1,4% för viktiga verksamheter.
Personligt ledningsansvar: Ledningen ska godkänna cybersäkerhetsåtgärder och genomgå utbildning. Personliga sanktioner vid bristande efterlevnad.
Incidentrapportering: Tidig varning inom 24 timmar, fullständig anmälan inom 72 timmar, slutrapport inom en månad.
[UNIQUE INSIGHT] En viktig men ofta förbisedd detalj i SOU 2024:18 är att utredningen föreslog att kommuner och regioner ska omfattas av NIS2:s krav genom offentlig förvaltning-sektorn. Det innebär att tusentals svenska kommunala verksamheter ställs inför helt nya cybersäkerhetskrav.
Vill ni ha expertstöd med cybersäkerhetslagen vs nis2-direktivet: vad gäller nu??
Våra molnarkitekter hjälper er med cybersäkerhetslagen vs nis2-direktivet: vad gäller nu? — från strategi till implementation. Boka ett kostnadsfritt 30-minuters rådgivningssamtal utan förpliktelse.
Var står lagstiftningsprocessen just nu?
Sveriges implementering av NIS2 har försenats. Enligt EU-kommissionen, 2024, var deadline för nationell implementering den 17 oktober 2024. Sverige hann inte med den fristen. I april 2026 befinner sig lagförslaget fortfarande i den parlamentariska processen.
EU:s ursprungliga NIS2-direktiv antogs i december 2022 med krav på att medlemsstaterna skulle ha nationell lagstiftning på plats senast oktober 2024. Sverige var inte ensamt om att missa deadline. Flera medlemsstater hade liknande förseningar.
SOU 2024:18 lämnades på remiss under 2024. Remissvaren visade på bred enighet om behovet av uppdaterad lagstiftning men också på farhågor kring kostnader och implementeringstakt, särskilt för kommuner och mindre organisationer.
Riksdagspropositionen förväntades under 2025 men har dröjt. Den exakta tidpunkten för det slutgiltiga riksdagsbeslutet var vid skrivande stund inte fastställd. Följ Regeringskansliets och MSB:s webbplatser för uppdateringar.
Vad innebär förseningen rent juridiskt?
Så länge ny lagstiftning inte har antagits gäller den nuvarande cybersäkerhetslagen (2018:1174) fullt ut. Organisationer som redan omfattas av den lagen ska fortsätta uppfylla dess krav. NIS2-direktivet i sig är inte direkt tillämpligt i svensk rätt eftersom det är ett direktiv, inte en förordning.
Dock kan EU-kommissionen inleda överträdelseförfaranden mot Sverige för försenad implementering. Det påverkar staten, inte enskilda organisationer. Men signalen är tydlig: kraven kommer, det handlar bara om tid.
[CITATION CAPSULE: Sverige missade EU:s NIS2-implementeringsdeadline den 17 oktober 2024. SOU 2024:18 föreslår en ny cybersäkerhetslag som ersätter den nuvarande. Den nuvarande cybersäkerhetslagen (2018:1174) gäller fortfarande fullt ut under övergångsperioden.]
Vilka är de viktigaste skillnaderna mellan nuvarande lag och kommande NIS2-lagstiftning?
Skillnaderna är omfattande. Enligt ENISA, 2023, utökar NIS2 antalet berörda sektorer från 7 till 18 och byter från identifieringsmodell till storleksbaserad modell. Det innebär en tiofaldig ökning av antalet berörda organisationer i Sverige.
| Aspekt | Cybersäkerhetslagen (NIS1) | Kommande NIS2-lagstiftning |
|---|---|---|
| Antal sektorer | 7 | 18 |
| Berörda i Sverige | ~400 | ~5 000 |
| Omfattningskriterium | Identifiering av myndighet | Sektor + storlek (automatisk) |
| Sanktioner | Förelägganden, viten | Upp till 10 MEUR / 2% omsättning |
| Incidentrapportering | Utan specificerade tider | 24h + 72h + 1 månad |
| Ledningsansvar | Ej specificerat | Personligt ansvar |
| Leveranskedja | Ej specificerat | Obligatorisk bedömning |
| Tillsynsmodell | Reaktiv | Proaktiv (väsentliga) + reaktiv (viktiga) |
Sektorsutvidgning: Nya sektorer som offentlig förvaltning, avfallshantering, livsmedelsproduktion och tillverkning tillkommer. Organisationer i dessa sektorer har aldrig tidigare haft lagkrav på cybersäkerhet.
Automatisk omfattning: Istället för att vänta på att en myndighet identifierar er som leverantör av samhällsviktig tjänst, omfattas ni automatiskt baserat på sektor och storlek. Ansvaret för bedömningen flyttas till organisationen själv.
Skärpta sanktioner: Från förelägganden och viten till sanktionsavgifter i mångmiljonklassen. Dessutom tillkommer personligt ansvar för ledningen.
Detaljerade rapporteringskrav: Nuvarande lag saknar specificerade tidsfrister för incidentrapportering. NIS2 inför tydliga tidsfrister: 24 timmar, 72 timmar och en månad.
Vad innebär det konkret för er organisation om ni idag inte omfattas men kommer att göra det under NIS2?
Vad gäller under övergångsperioden?
Under övergångsperioden gäller den nuvarande cybersäkerhetslagen. Enligt MSB, 2025, rekommenderar myndigheten att organisationer som förväntas omfattas av NIS2 påbörjar förberedelserna nu. Att vänta på den slutgiltiga lagtexten riskerar att skapa tidsbrist.
[PERSONAL EXPERIENCE] Vi ser att organisationer som väntar på exakt lagtext innan de agerar hamnar i en svår situation. NIS2:s krav är tillräckligt kända för att påbörja arbetet. De ändringar som eventuellt sker i den slutgiltiga svenska lagstiftningen kommer sannolikt att vara marginella jämfört med direktivets grundkrav.
För organisationer som redan omfattas av nuvarande lag gäller:
- Fortsätt uppfylla befintliga krav
- Förbered er för de utökade NIS2-kraven
- Kartlägg gapen mellan nuvarande efterlevnad och NIS2:s artikel 21
För organisationer som är nya under NIS2 gäller:
- Bedöm om ni sannolikt omfattas (sektor + storlek)
- Påbörja grundläggande säkerhetsarbete: riskbedömning, incidenthantering, dokumentation
- Utse en ansvarig person för NIS2-förberedelserna
Konkreta steg nu
- Klassificera er verksamhet: Bestäm om ni tillhör en av NIS2:s 18 sektorer och om ni uppfyller storlekskriterierna. Dokumentera bedömningen.
- Genomför en gap-analys: Kartlägg era befintliga säkerhetsåtgärder mot NIS2:s artikel 21. Identifiera de största bristerna.
- Förbered incidenthantering: Bygg eller förbättra er incidenthanteringsprocess med fokus på 24-timmarskravet. Utse kontaktpersoner och testa processen.
- Engagera ledningen: Informera styrelse och ledningsgrupp om NIS2:s krav på personligt ansvar. Påbörja utbildning.
- Kartlägg leveranskedjan: Identifiera kritiska leverantörer och bedöm deras säkerhetsnivå.
Hur påverkas organisationer som redan uppfyller nuvarande lag?
Organisationer med befintlig NIS1-efterlevnad har ett försprång men behöver fortfarande anpassa sig. Enligt PwC Global Digital Trust Insights, 2024, uppger 58% av organisationer med NIS1-efterlevnad att de behöver betydande anpassningar för att uppfylla NIS2. Försprånget är verkligt men inte tillräckligt.
De största gapen handlar vanligtvis om:
Incidentrapporteringstider: Nuvarande lag specificerar inga exakta tidsfrister. NIS2:s 24-timmarsvarning kräver betydligt snabbare processer.
Ledningsansvar: Nuvarande lag saknar krav på personligt ansvar för ledningen. NIS2 kräver att ledningen godkänner och övervakar cybersäkerhetsåtgärder.
Leveranskedjesäkerhet: Nuvarande lag har inga specifika krav på leverantörsbedömning. NIS2 kräver strukturerad bedömning av leveranskedjans säkerhet.
Dokumentation och rapportering: NIS2 ställer högre krav på formaliserad dokumentation och regelbunden rapportering till tillsynsmyndigheten.
Organisationer som dessutom har ISO 27001-certifiering har ytterligare försprång. Certifieringen täcker en stor del av NIS2:s krav och ger en befintlig struktur att bygga vidare på.
[INTERNAL-LINK: NIS2 vs GDPR vs ISO 27001 jämförelse -> /sv/nis2-vs-gdpr-vs-iso-27001-jamforelse/]
Kommer tillsynsmyndigheterna att förändras?
Ja, tillsynsstrukturen förändras med NIS2. Enligt SOU 2024:18, 2024, föreslog utredningen att fler sektorsspecifika myndigheter tilldelas tillsynsansvar för att hantera den kraftigt utökade kretsen av berörda verksamheter.
MSB behåller sin samordnande roll och ansvar för CSIRT-funktionen. Men tillsynen utövas av sektorsmyndigheter:
- Energimyndigheten: Energisektorn
- Transportstyrelsen: Transportsektorn
- FI: Bank och finansmarknadsinfrastruktur
- Socialstyrelsen: Hälso- och sjukvård
- PTS: Digital infrastruktur och elektronisk kommunikation
- Livsmedelsverket: Livsmedelsproduktion (ny under NIS2)
- Länsstyrelserna: Offentlig förvaltning på regional nivå (ny under NIS2)
Flera av dessa myndigheter saknar idag erfarenhet av cybersäkerhetstillsyn. Uppbyggnaden av tillsynskompetens tar tid, vilket kan innebära en inledande period med begränsad tillsynsaktivitet i nya sektorer.
[CITATION CAPSULE: SOU 2024:18 föreslår att fler sektorsspecifika myndigheter får tillsynsansvar under NIS2. MSB behåller sin samordnande roll. Nya tillsynsområden som livsmedelsproduktion och offentlig förvaltning kräver uppbyggnad av tillsynskompetens hos berörda myndigheter.]
Vanliga frågor om cybersäkerhetslagen och NIS2
Gäller cybersäkerhetslagen (2018:1174) fortfarande?
Ja, i april 2026 gäller den nuvarande lagen fullt ut. Den kommer att ersättas av ny lagstiftning som implementerar NIS2-direktivet. Enligt Riksdagen, 2024, krävs ett riksdagsbeslut för att den nya lagen ska träda i kraft. Exakt datum är ännu inte fastställt.
Kan vi vänta med NIS2-förberedelser tills den nya lagen antas?
Det rekommenderas inte. Enligt MSB, 2025, bör organisationer påbörja förberedelserna omedelbart. NIS2:s krav är kända genom direktivet och SOU 2024:18. Eventuella ändringar i slutlig svensk lagtext kommer sannolikt att vara begränsade. Att vänta riskerar att skapa tidsbrist och högre kostnader.
Vad händer med organisationer som idag är identifierade under nuvarande lag?
De övergår till NIS2:s klassificeringssystem. Organisationer som idag är identifierade som leverantörer av samhällsviktiga tjänster kommer med största sannolikhet att klassificeras som väsentliga eller viktiga verksamheter under NIS2. Deras befintliga tillsynsrelation med sektormyndigheten fortsätter men med skärpta krav.
Vilka sektorer är helt nya under NIS2?
Offentlig förvaltning, avfallshantering, livsmedelsproduktion, kemisk industri, tillverkning, post- och budtjänster samt rymdverksamhet är nya eller väsentligt utökade sektorer. Enligt ENISA, 2023, går antalet sektorer från 7 till 18.
Hur förhåller sig NIS2 till säkerhetsskyddslagen?
Säkerhetsskyddslagen (2018:585) gäller parallellt med NIS2. Organisationer som bedriver säkerhetskänslig verksamhet omfattas av säkerhetsskyddslagen oavsett NIS2. De två lagarna kompletterar varandra: säkerhetsskyddslagen fokuserar på nationell säkerhet medan NIS2 fokuserar på samhällsviktig cybersäkerhet.
Sammanfattning
Den nuvarande cybersäkerhetslagen (2018:1174) implementerar NIS1 och gäller fortfarande. Den ska ersättas av ny lagstiftning baserad på NIS2-direktivet, men riksdagsbeslutet har dröjt. Övergången innebär en dramatisk utökning av berörda organisationer, från cirka 400 till 5 000, med betydligt skärpta krav.
Vänta inte på den slutgiltiga lagtexten. Bedöm om er organisation kommer att omfattas, genomför en gap-analys mot NIS2:s krav och påbörja de förberedelser som krävs. De organisationer som agerar proaktivt under övergångsperioden kommer att stå väsentligt bättre rustade när den nya lagen väl träder i kraft.
Komplett guide till NIS2-direktivet
[INTERNAL-LINK: Managed Detection and Response -> /sv/managed-detection-response-services/]
Relaterade artiklar
Om författaren
Group COO & CISO at Opsio
Operational excellence, governance, and information security. Aligns technology, risk, and business outcomes in complex IT environments
Editorial standards: This article was written by a certified practitioner and peer-reviewed by our engineering team. We update content quarterly to ensure technical accuracy. Opsio maintains editorial independence — we recommend solutions based on technical merit, not commercial relationships.
