FAQ – Vanliga frågor om Cybersäkerhetslagen & CER

Vanliga frågor och svar om cybersäkerhetslagen, NIS2 och CER – tydliga förklaringar kring krav, ansvar, tillsyn och sanktioner.

Omfattning & Identifiering

1. Hur vet jag om mitt företag omfattas? Lagen gäller om ni verkar inom någon av de 18 identifierade sektorerna (t.ex. energi, transport, livsmedel) och har fler än 50 anställda eller en årsomsättning/balansomslutning över 10 miljoner euro. Vissa verksamheter omfattas dock oavsett storlek om de anses kritiska för samhället.

2. Vi är en underleverantör – berörs vi? Ja, indirekt. Även om ni inte omfattas direkt av lagen kommer era kunder som gör det att ställa krav på er säkerhet i sina upphandlingar. Cybersäkerhetslagen kräver nämligen att omfattade företag kontrollerar säkerheten i hela sin leveranskedja.

3. Vad är skillnaden mellan Cybersäkerhetslagen och CER-direktivet? Cybersäkerhetslagen (NIS2) fokuserar på det digitala (IT-säkerhet, nätverk och data). CER-direktivet fokuserar på den fysiska motståndskraften (skydd mot sabotage, naturkatastrofer och personalens säkerhet). De fungerar tillsammans för att ge ett helhetsskydd.

Anmälan & Tillsyn

4. Måste jag anmäla mig till både MCF och min branschmyndighet? Nej. Du gör en central anmälan via portalen hos Myndigheten för civilt försvar (MCF). De ser sedan till att rätt tillsynsmyndighet får dina uppgifter.

5. Kostar det något att omfattas av tillsyn? Många tillsynsmyndigheter tar ut en årlig tillsynsavgift för att täcka kostnaderna för kontroller och granskningar. Exakt belopp varierar beroende på sektor.

Krav & Incidenter

6. Hur snabbt måste vi rapportera en IT-incident? Tidsfristerna är mycket korta:

• Inom 24 timmar: En första "tidig varning" till myndigheten.

• Inom 72 timmar: En fullständig incidentanmälan med mer detaljerad information.

• Inom en månad: En slutlig rapport med analys av orsaken.

7. Vad räknas som en "betydande incident"? En händelse som orsakar allvarliga störningar i tjänsten, ekonomisk förlust för organisationen eller betydande skada för andra personer/verksamheter.

Ansvar & Straff

8. Kan jag som VD bli personligt ansvarig? Ja. Lagen ger myndigheterna rätt att hålla ledningen ansvarig för att säkerhetsarbetet sköts. Vid grova och upprepade brister kan ledningspersoner tillfälligt förbjudas att utöva sina uppdrag.

9. Vad händer om vi inte hinner bli klara till 15 januari 2026? Lagen gäller från start. Om ni inte har påbörjat ert arbete eller gjort er anmälan riskerar ni förelägganden och sanktionsavgifter. Det viktigaste är att ni kan visa en tydlig plan och att ni har gjort er obligatoriska anmälan.

Var kan jag läsa mer om Secure by Q som bolag? För en djupare inblick i vår filosofi, våra specifika expertområden och hur vi arbetar som strategisk partner, besök gärna vår primära hemsida på www.securebyq.se Där hittar du mer information om vårt team och våra samlade tjänster. 

Hittade du inte svaret på din fråga? Vi hjälper dig gärna att reda ut begreppen kring certifieringar, utbildningar eller strategisk rådgivning.

Kontakta oss på: management@securebyq.se 

Observera: Innehållet är vägledande och inte juridisk rådgivning.