Skydda din verksamhet i en osäker tid: Cybersäkerhetslagen & CER

Allt du behöver veta om cybersäkerhetslagen, NIS2 och CER-direktivet – krav, ansvar och praktiska råd för företag och organisationer i Sverige.

Denna webbplats drivs av Secure by Q, specialister inom cybersäkerhet, regelefterlevnad och NIS2/CER. 

Helhetsskydd är det nya lagkravet

Sverige har växlat upp sin skyddsnivå. Den nya Cybersäkerhetslagen (NIS2) och CER-direktivet (Lagen om kritiska entiteters motståndskraft) är utformade för att stärka motståndskraften i samhällets centrala funktioner. Efterlevnad innebär ett skifte från att enbart skydda IT-infrastruktur till att säkra hela kedjan, från digitala tillgångar i molnet till fysiska anläggningar. Bristande efterlevnad riskerar nu sanktioner, med potentiella avgifter i nivå med GDPR – upp till 10 miljoner EUR eller 2 % av den globala årsomsättningen.

Kraven innebär ett Totalansvar, vilket omfattar ett holistiskt försvar som täcker både digitala sårbarheter och fysisk uthållighet mot externa händelser som sabotage, brottslighet eller naturkatastrofer. Dessutom införs ett tydligt Ledningsansvar, där styrelse och verkställande direktör är ansvariga för systematiska brister i skyddsåtgärderna.

För att uppnå fullständig compliance krävs en balanserad hantering av de två reglerande ramverken:

1. Det digitala försvaret (Cybersäkerhetslagen)

Det digitala försvaret fokuserar på minimikrav för IT-system, nätverk och data. Detta inkluderar Riskhanteringskrav som kräver införande av robusta åtgärder som multifaktorautentisering (MFA), kryptering, nätverkssegmentering och säkra processer för leverantörskedjan.

Krav ställs även på verksamhetskontinuitet och krishantering, där organisationer ska kunna förebygga, hantera och återhämta sig från IT-incidenter och cyberangrepp utan att kritiska verksamheter slås ut

Organisationer ska även säkerställa att personalen har rätt utbildning och medvetenhet kring cybersäkerhet, så att incidenter kan förebyggas, hanteras och rapporteras effektivt.

Dessutom måste Incidentrapportering ske, där betydande IT-incidenter ska anmälas till behörig myndighet inom 24 timmar efter upptäckt.

 
2. Det fysiska skyddet (CER-direktivet)
Det fysiska skyddet fokuserar på kontinuitet och motståndskraft i driften vid yttre kriser. Åtgärder krävs för Fysisk säkerhet i syfte att skydda lokaler, kritisk infrastruktur och personal mot hot som terrorism, stöld eller sabotage. Vidare måste planer för Driftskontinuitet utarbetas för att hantera scenarion som strömavbrott, extrema väderförhållanden eller kritisk personalbrist.

Processen för systematiskt efterlevnadsarbete

Att arbeta proaktivt är en affärsnödvändighet. Den nya lagstiftningen kräver ett integrerat och systematiskt ledarskap för riskhantering. De vägledande stegen mot compliance är: 

1. Klassificering och anmälan: Fastställ den exakta klassificeringen av er verksamhet i enlighet med lagen och registrera sedan er verksamhet centralt via portalen hos Myndigheten för civilt försvar (MCF). 

2. Styrningsdokumentation: Säkra styrelsens och VD:s engagemang genom att implementera den lagstadgade utbildningen, vilket är avgörande för att uppfylla kravet på personligt ansvar. 

3. Integrerad Riskhantering: Samordna strategierna för IT-säkerhet med det fysiska skyddet för att skapa en enhetlig motståndskraft i enlighet med både Cybersäkerhetslagen och CER.

Nästa steg 

Att inleda efterlevnadsarbetet kräver en validerad startpunkt och det kan väldigt lätt bli överväldigande eller ett förvirrande arbete, så för att göra det simplare och mer klart:

Den som är verksamhetsutövare enligt cybersäkerhetslagen har ett antal centrala skyldigheter. Det första steget är att identifiera om verksamheten omfattas av lagen och att anmäla sig när anmälningstjänsten öppnar under våren 2026. Därefter ska verksamheten etablera och upprätthålla ett systematiskt arbete med informationssäkerhet, införa lämpliga säkerhetsåtgärder samt säkerställa att både ledning och personal får nödvändig utbildning. Verksamhetsutövare är även skyldiga att rapportera incidenter som medför eller kan medföra betydande störningar. De mer detaljerade kraven kommer att preciseras i föreskrifter som publiceras på mcf.se under våren 2026.

Vid en inträffad it-incident finns möjlighet att begära stöd från CERT-SE, Sveriges nationella CSIRT (Computer Security Incident Response Team). CERT-SE har i uppdrag att stödja samhället i arbetet med att hantera och förebygga it-incidenter och erbjuder rådgivning kring incidenthantering samt stöd för att begränsa påverkan och återställa verksamhetens funktioner. CERT-SE är en del av Myndigheten för civilt försvar.

Ett strukturerat förarbete inom informations- och cybersäkerhet utgör grunden för alla efterföljande åtgärder, från tekniska investeringar till utbildningsinsatser för ledningen. Ett gediget grundarbete säkerställer att verksamheten kan möta tillsynsmyndigheternas krav på ett korrekt och effektivt sätt.

Säkerhetsbranschen kan upplevas som komplex och svårnavigerad. SecurebyQ är en del av denna bransch, men vår utgångspunkt är att vår plattform i första hand ska fungera som en guide och informationskälla. Vi ser det som ett gemensamt ansvar att dela verktyg, information och vägledning som behövs för att förstå både hotbilden och de nya lagkraven. Vårt mål är att skapa trygghet i de första stegen mot full efterlevnad. Oavsett om ni väljer oss eller någon annan aktör för det operativa arbetet är vi glada över att ha fått vara en del av er resa mot ökad cybersäkerhet.

Ansvarsfriskrivning. Observera: Innehållet är vägledande och inte juridisk rådgivning.

Information om cookies. Ett arbete pågår för att säkerställa att webbplatsen inte använder cookies för analys, marknadsföring eller spårning av besökare. Under tiden kan cookies som är tekniskt nödvändiga för webbplatsens funktion förekomma.