Hoppa till innehåll
// Svensk lag

Cybersäkerhetslagen (2025:1506)

SFS 2025:1506 (prop. 2025/26:28) · I kraft 15 januari 2026 — ersätter lagen (2018:1174)

Cybersäkerhetslagen är Sveriges genomförande av NIS2-direktivet. Den trädde i kraft den 15 januari 2026 och ersätter den gamla NIS-lagen från 2018. Den ställer konkreta krav på säkerhetsåtgärder, incidentrapportering och ledningens ansvar — med kännbara sanktionsavgifter.

// I korthet

  • SFS 2025:1506, utfärdad 11 december 2025, i kraft 15 januari 2026 (prop. 2025/26:28).
  • Genomför NIS2-direktivet och upphäver lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.
  • Omfattar statliga myndigheter, regioner, kommuner och verksamhetsutövare i NIS2:s sektorer som är medelstora eller större.
  • Delar in i väsentliga och viktiga verksamhetsutövare (1 kap. 9 §).
  • Säkerhetsåtgärder och incidentrapportering: tidig upplysning inom 24 h, anmälan inom 72 h, slutrapport inom en månad.
  • Sanktionsavgift från 5 000 kr upp till 10 MEUR eller 2 % av global omsättning (väsentliga) / 7 MEUR eller 1,4 % (viktiga).

Vad lagen är och vad den ersätter

Cybersäkerhetslagen (2025:1506) genomför NIS2-direktivet i svensk rätt. Syftet (1 kap. 1 §) är att uppnå en hög nivå av cybersäkerhet i samhället. Den trädde i kraft 15 januari 2026 och upphävde samtidigt den gamla lagen (2018:1174). Ansvarigt departement är Försvarsdepartementet.

Vilka omfattas?

Lagen gäller bl.a. statliga myndigheter, regioner, kommuner och kommunalförbund, samt verksamhetsutövare som omfattas av NIS2:s bilaga I eller II, är etablerade i Sverige och storleksmässigt motsvarar minst ett medelstort företag (1 kap. 4 §). Även leverantörer av allmänna elektroniska kommunikationsnät, moln-, datacenter-, DNS- och toppdomäntjänster m.fl. omfattas.

Verksamhetsutövare delas in i väsentliga och viktiga (1 kap. 9 §). Vissa undantas — bl.a. verksamhet under DORA-förordningen och övervägande säkerhetskänslig eller brottsbekämpande verksamhet.

Skyldigheter (2 kap.)

  • Anmäla sig till behörig myndighet, och anmäla ändringar inom 14 dagar (2 §).
  • Säkerhetsåtgärder (3 §) ur ett allriskperspektiv — minst: riskanalys, incidenthantering, kontinuitets- och krishantering, säkerhet i leveranskedjan, säker utveckling, kryptografi/kryptering, cyberhygien och utbildning, åtkomstkontroll och vid behov multifaktorautentisering.
  • Ledningen ska utbildas om säkerhetsåtgärder (4 §).
  • Incidentrapportering: upplysning inom 24 timmar (5 §), incidentanmälan inom 72 timmar (24 h för betrodda tjänster, 6 §), delrapport på begäran (7 §) och slutrapport inom en månad (8 §).
  • Informera mottagare vid betydande incidenter och cyberhot (9–10 §).

Tillsyn och sanktioner (3–4 kap.)

Tillsynsmyndigheten får begära uppgifter, få tillträde till lokaler, utföra säkerhetsrevisioner och säkerhetsskanningar, och förena förelägganden med vite. Ingripanden sker via anmärkning, föreläggande, förbud att inneha ledningsfunktion eller sanktionsavgift.

Sanktionsavgiften (4 kap. 10 §) bestäms till lägst 5 000 kr och högst:

  • Väsentlig enskild verksamhetsutövare: det högsta av 2 % av global årsomsättning eller motsvarande 10 000 000 EUR.
  • Viktig enskild verksamhetsutövare: det högsta av 1,4 % eller motsvarande 7 000 000 EUR.
  • Offentlig verksamhetsutövare: 10 000 000 kr.

I allvarliga fall kan en ledningsperson förbjudas att inneha ledningsfunktion i 1–3 år (4 kap. 6–8 §).

Så hjälper ZORC

Vi hjälper er kartlägga om ni omfattas, bygga in säkerhetsåtgärderna och sätta rutiner för incidentrapportering som klarar tidsgränserna. Skydda företagets data → eller planera er efterlevnad →

Den här sidan är informativ och faktagranskad mot primärkällan, men utgör inte juridisk rådgivning. För bindande bedömning av just er verksamhet — prata med oss eller ert juridiska ombud.

Vanliga frågor

När börjar cybersäkerhetslagen gälla?

Cybersäkerhetslagen (2025:1506) trädde i kraft den 15 januari 2026 och ersatte då den gamla lagen (2018:1174).

Vilka omfattas av cybersäkerhetslagen?

Statliga myndigheter, regioner och kommuner samt verksamhetsutövare i NIS2:s sektorer som är etablerade i Sverige och minst medelstora. De delas in i väsentliga och viktiga verksamhetsutövare.

Vad är skillnaden mellan en väsentlig och en viktig verksamhetsutövare?

Indelningen avgör tillsynens intensitet och sanktionstaken. Väsentliga (t.ex. statliga myndigheter och större aktörer i de mest kritiska sektorerna) har hårdare proaktiv tillsyn och högre sanktionstak än viktiga.

Hur stora kan sanktionsavgifterna bli?

Från 5 000 kr upp till det högsta av 2 % av global omsättning eller 10 MEUR för väsentliga, respektive 1,4 % eller 7 MEUR för viktiga enskilda verksamhetsutövare. För offentliga verksamhetsutövare upp till 10 miljoner kronor.

Hur snabbt måste incidenter rapporteras?

En upplysning ska lämnas så snart som möjligt och senast inom 24 timmar, en incidentanmälan inom 72 timmar (24 timmar för betrodda tjänster) och en slutrapport senast en månad efter anmälan.

// Primärkällor

Senast faktagranskad: 2026-06-02.

// Fler lagar

GDPR

Hur personuppgifter får behandlas — principer, laglig grund, rättigheter och sanktioner.

NIS2

EU:s cybersäkerhetsdirektiv — vilka som omfattas, krav och hur det gäller i Sverige.

AI Act

EU:s AI-förordning — riskklasser, krav på högrisk-AI, tidslinje och sanktioner.

Behöver ni hjälp att efterleva Cybersäkerhetslagen?

Vi bygger säkra, regelefterlevda lösningar och hjälper er kartlägga vad som gäller för just er verksamhet.

Planera din idé Kontakta oss