Hoppa till innehåll
  • Nyhetsbrev

Nyhetsbrev Ang. Cybersäkerhetslagen

3


1. Bakgrund
Den nya cybersäkerhetslagen (2025:1506) har trätt i kraft den 15 januari 2026 och innebär att NIS2-direktivet1 (1) införlivats i svensk rätt. Lagen syftar till att stärka cybersäkerheten i
samhällskritisk verksamhet och omfattar ett brett spektrum av sektorer, däribland bankverksamhet och finansmarknadsinfrastruktur. Föreskrifter förväntas ges ut under våren 2026.

Jämfört med det tidigare NIS-direktivet omfattar regelverket fler sektorer och verksamheter samt innebär ett tydligare ansvar, särskilt avseende riskbedömningar, säkerhetsåtgärder, incidenthantering och ledningens ansvar. För många organisationer medför detta nya skyldigheter, bland annat krav på registrering och ett mer systematiskt informationssäkerhetsarbete.

Inledningsvis kan konstateras att cybersäkerhetslagen inom finanssektorn främst tar sikte på vissa särskilt angivna verksamhetsutövare, vilka redogörs för i avsnitt 2. Under sektorn finansmarknadsinfrastruktur anges bland annat operatörer av handelsplatser samt centrala motparter. Finansiella entiteter som inte tillhör dessa kategorier omfattas som utgångspunkt inte av direktivets tillämpningsområde inom denna sektor. Bedömningen ska dock göras med
beaktande av verksamhetens faktiska funktion, organisatoriska roll och rättsliga klassificering.

För många aktörer inom finanssektorn, däribland fondbolag, värdepappersbolag och försäkringsföretag, innebär detta att cybersäkerhetslagen typiskt sett inte blir direkt tillämplig. Dessa verksamheter regleras i stället genom DORA-förordningen, som har företräde framför cybersäkerhetslagen i frågor som rör bland annat riskhantering och incidentrapportering.

2. Tillämpningsområde
Cybersäkerhetslagen gäller för verksamheter inom 18 särskilt utpekade sektorer. Dessa delas in i två kategorier:
Högkritiska sektorer: energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälsooch sjukvård, dricksvatten, avloppsvatten, digital infrastruktur, förvaltning av IKT-tjänster mellan företag, offentlig förvaltning och rymdverksamhet.

Andra kritiska sektorer: post- och budtjänster, avfallshantering, tillverkning, produktion och distribution av kemikalier, produktion, bearbetning och distribution av livsmedel, digitala leverantörer, forskning och tillverkningsindustri.

Gällande ”finansmarknadsinfrastruktur” (2) utpekas två typer av entiteter:

• Operatör av handelsplatser: en reglerad marknad, en MTF-plattform eller en OTFplattform.

• Centrala motparter: juridiska personer som träder emellan motparterna i kontrakt som är föremål för handel på en eller flera finansmarknader och blir köpare till varje
säljare och säljare till varje köpare.

En verksamhetsutövare som bedriver verksamhet inom någon av dessa sektorer och är lika stor som eller större än ett medelstort företag omfattas av cybersäkerhetslagen.

Även mindre verksamheter kan omfattas, exempelvis om de är den enda leverantören i Sverige av en tjänst som är avgörande för att upprätthålla samhällsviktig eller ekonomiskt kritisk verksamhet. Under vissa förutsättningar omfattas också statliga myndigheter, regioner och kommuner. Som huvudregel gäller lagens krav för hela verksamheten hos en verksamhetsutövare som omfattas av lagen, och alltså inte enbart för den del av verksamheten som tillhör en utpekad sektor.

3. Vad innebär cybersäkerhetslagen?
Cybersäkerhetslagen syftar till att uppnå en hög nivå av cybersäkerhet i samhället genom att införa ett harmoniserat regelverk för verksamhetsutövare som anses ha betydelse för samhällsviktig verksamhet. Lagen innehåller bestämmelser om verksamhetsutövares skyldigheter, tillsyn samt ingripanden vid bristande efterlevnad. För de verksamhetsutövare som omfattas av lagen innebär regelverket i huvudsak följande.

Verksamhetsutövare ska anmäla sin verksamhet till behörig tillsynsmyndighet och löpande uppdatera uppgifter när förändringar sker. Företag inom sektorerna bankverksamhet och finansmarknadsinfrastruktur som identifierar sig som leverantörer av samhällsviktiga tjänster ska anmäla detta till Myndigheten för civilt försvar (MCF) via myndighetens anmälningsportal. De uppgifter som lämnas vid anmälan kommer att tillhandahållas Finansinspektionen.

Vidare ska verksamhetsutövare vidta lämpliga och proportionella tekniska, organisatoriska och driftsrelaterade säkerhetsåtgärder för att skydda nätverks- och informationssystem mot
incidenter. Åtgärderna ska baseras på en samlad och riskbaserad bedömning av verksamhetens cybersäkerhetsrisker och bland annat omfatta riskanalys, incidenthantering, kontinuitetsplanering, säkerhet i leveranskedjan samt styrning av åtkomst och informationssäkerhet.

Lagen ställer även krav på ledningsnivå. Personer i verksamhetsutövarens ledning ska genomgå utbildning i säkerhetsåtgärder och ha tillräcklig förståelse för cybersäkerhetsrisker och hur dessa ska hanteras inom verksamheten.

Vid betydande incidenter ska verksamhetsutövaren utan dröjsmål underrätta tillsynsmyndigheten, i regel inom 24 timmar från det att incidenten upptäckts, följt av en mer fullständig incidentanmälan inom föreskriven tidsfrist samt efterföljande rapportering.

Efterlevnaden av lagen står under tillsyn, och vid överträdelser kan tillsynsmyndigheten besluta om förelägganden, andra ingripanden samt administrativa sanktionsavgifter.
Sanktionsavgifterna kan uppgå till betydande belopp och bestäms bland annat utifrån verksamhetsutövarens storlek och klassificering.

4. DORA har företräde framför cybersäkerhetslagen
DORA-förordningen har företräde framför cybersäkerhetslagen i vissa delar, bland annat avseende incidentrapportering. Finansiella entiteter som omfattas av cybersäkerhetslagen ska därför fortsatt rapportera allvarliga IKT-relaterade incidenter till Finansinspektionen i enlighet med DORA.

Finansinspektionen vidarebefordrar därefter rapporterade incidenter till Myndigheten för civilt försvar för de verksamhetsutövare som har anmält att de omfattas av cybersäkerhetslagen. Syftet är att möjliggöra informationsdelning mellan berörda myndigheter utan att införa dubbla rapporteringsskyldigheter för finansiella entiteter.

5. HSA Söderqvist Advokatbyrås rekommendationer
Även om cybersäkerhetslagen som utgångspunkt inte är direkt tillämplig på fondbolag, värdepappersbolag och andra finansiella entiteter som omfattas av DORA-förordningen, är regelverket relevant eftersom det bygger på samma riskbaserade principer, ingår i samma tillsynsstruktur och kan påverka myndigheternas praktiska tolkning av cybersäkerhetskrav. Vi har därför mycket att lära av cybersäkerhetslagen och den tillsyn som sker av de sektorer som
ingår i arbetet med DORA. Det är således relevant att följa utvecklingen på området, inklusive kommande praxis och myndighetsvägledning.

HSA Söderqvist Advokatbyrå kommer att bevaka detta och dela med oss av lärdomar för att underlätta tolkning och tillämpning av DORA.

Fotnot:

  1. Europaparlamentets och rådets direktiv (EU) 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen.
  2. Bilaga I till NIS2-direktivet.

Senaste insikterna

5
Nyhetsbrev

Nyhetsbrev Ang. Krishantering och ändrade rörelseregler för försäkringsföretag

Regeringen har i betänkandet SOU 2025:97 Krishantering och ändrade rörelseregler för försäkringsföretag presentera...
Läs hela artikeln
hero-abstract2
Insikter

Sveriges forum för hållbara investeringar

Förra veckan deltog vi på ett seminarium arrangerat av Sveriges forum för hållbara investeringar, där Jakob Hallgr...
Läs hela artikeln
Nyhetsbrev

Nyhetsbrev Ang. IMY:s beslut mot Sportadmin i Skandinavien AB

Integritetsskyddsmyndigheten (IMY) har den 26 januari 2026 efter tillsyn enligt Dataskyddsförordningen (1) meddela...
Läs hela artikeln
Alla insikter