CSL & CER-direktivet
Samhällets nya skyddsvallar: Cybersäkerhetslagen och CER
Komplett översikt av cybersäkerhetslagen (CSL), NIS2 och CER-direktivet – krav, ansvar, omfattning och hur lagarna samverkar i Sverige. 

Sverige har nu ett moderniserat lagpaket för att säkra landets funktionalitet. Kärnan i detta är Cybersäkerhetslagen (som ersätter den gamla NIS-lagen) och Lagen om motståndskraft hos kritiska entiteter (CER-direktivet).

Dessa lagar existerar inte för att skapa byråkrati, utan som ett direkt svar på en ny verklighet där digitala och fysiska hot mot Sverige har blivit vardag.

Vad innebär lagarna tillsammans?

De skapar ett helhetsansvar. Tidigare kunde en organisation ha en säkerhetschef för IT och en annan för larm och dörrar, ofta utan att de pratade med varandra. Den nya lagstiftningen tvingar samman dessa världar:

• Cybersäkerhetslagen ställer krav på ditt digitala försvar. Det handlar om incidentrapportering, riskhantering av IT-system och säkerhet i leveranskedjan.

• CER (Motståndskraft) ställer krav på ditt fysiska försvar. Det handlar om att verksamheten ska tåla allt från extremväder och tekniska fel till sabotage och terrorism.

Varför finns de?

Anledningen till att dessa lagar införs är enkel: Sårbarheten är sammanlänkad.

1. Digitala lås har fysiska dörrar: Det hjälper inte att ha världens bästa brandvägg (Cybersäkerhetslagen) om vem som helst kan gå in i serverrummet och dra ur sladden (CER).

2. Geopolitiskt läge: Hotet från främmande makt har ökat. Sabotage mot både mjukvara och fysiska rörledningar eller kablar ses nu som en del av samma hotbild.

3. Beroendekedjor: Om en betalningsplattform går ner (digitalt) kan människor inte köpa mat (fysiskt). Lagarna finns till för att skydda hela kedjan så att samhället inte stannar.

Hotbilden är inte bara mänsklig. Klimatförändringar innebär att naturkatastrofer som översvämningar, skogsbränder och extrema snöfall blir vanligare. CER-direktivet tar höjd för detta genom att kräva att kritiska entiteter bygger in motståndskraft mot fysiska skador orsakade av dessa händelser. En kritisk funktion måste kunna fungera, eller snabbt återställas, även om den fysiska infrastrukturen utsätts för ett långvarigt strömavbrott eller en storm som slår ut kommunikationsnät.

Största skillnaden från tidigare NIS1

Ledningens ansvar – en central nyhet

En av de viktigaste förändringarna i Cybersäkerhetslagen är att ansvaret flyttas från källaren till styrelserummet.

• Personligt ansvar: VD och styrelse kan numera hållas personligt ansvariga för att säkerhetsåtgärderna är tillräckliga.

• Obligatorisk utbildning: Ledningen är skyldig att genomgå utbildning för att förstå riskerna.

Sanktionsavgifter: Om lagen inte följs kan avgifterna uppgå till 10 miljoner euro eller 2 % av omsättningen – nivåer vi tidigare bara sett inom GDPR.


Viktigt att veta om anmälan!

• Den centrala portalen: Under 2026 kommer Myndigheten för civilt försvar (MCF) att rulla ut en gemensam portal. Fram till att den är helt i bruk ska du följa instruktionerna på din sektorsmyndighets hemsida.

• Tidsfrist: Du ska anmäla din verksamhet "utan dröjsmål" (ofta tolkat som senast inom några veckor efter att verksamheten identifierats som omfattad).

• Ändringsanmälan: Om din verksamhet ändras (t.ex. ny kontaktperson eller nya tjänster) måste detta anmälas inom 14 dagar.

• Flera sektorer: Om ditt företag verkar inom flera sektorer (t.ex. både vatten och energi) kan du behöva anmäla dig till flera olika tillsynsmyndigheter.

• Obs: För CER-direktivet är processen annorlunda. Där är det myndigheterna som identifierar och meddelar dig om din verksamhet anses vara en "kritisk entitet". Du behöver alltså i regel inte "anmäla dig" till CER på samma sätt som till Cybersäkerhetslagen, men du måste svara på myndigheternas begäran om information.

Observera: Innehållet är vägledande och inte juridisk rådgivning.