Nya krav ska stärka Sveriges cyber­säkerhet

Cybersäkerhetslagen innebär skärpta krav på cybersäkerhet för företag och myndigheter inom samhällsviktig verksamhet. Nya föreskrifter på området flyttar den 1 juli med i verksamhetsövergången från MCF till FRA och kommer hanteras hos Nationellt cybersäkerhetscenter (NCSC).

Handskakning mellan två generaldirektörer.

Mikael Frisell, GD MCF och Björn Lyrvall, GD FRA.

2026-06-26

Cybersäkerhet är en förutsättning för att samhällsviktiga tjänster ska fungera även vid störningar, kriser och säkerhetspolitiska påfrestningar. För att göra lagens krav tydligare kompletteras cybersäkerhetslagen från den 1 oktober 2026 med föreskrifter som beskriver vilka säkerhetsåtgärder verksamhetsutövare behöver arbeta med.

Information, stöd och vägledning samlas hos NCSC

Föreskrifterna har tagits fram av Myndigheten för civilt försvar. Den 1 juli 2026 flyttas myndighetens cyberverksamhet, inklusive uppdrag, kompetens och ansvar kopplade till cybersäkerhetslagen, till Nationellt cybersäkerhetscenter (NCSC) vid FRA.

Det innebär att NCSC framöver ansvarar för information, stöd och vägledning till de verksamheter som omfattas av cybersäkerhetslagen.

– Sverige behöver en gemensam förmågehöjning inom cybersäkerhet. Ambitionen med det nya nationella cybersäkerhetscentret är att kraftsamla och skapa en tydligare ansvarsfördelning. Cybersäkerhets­lagen är också en mycket viktig del i att stärka samhällets samlade förmåga, säger FRA:s generaldirektör Björn Lyrvall.

– Vi tar över stafettpinnen och fortsätter arbetet med att stödja de aktörer som berörs av cybersäkerhetslagen, säger John Billow, chef för NCSC.

Från övergripande lagkrav till praktisk tillämpning

Sedan EU beslutade om NIS2-direktivet 2022 har det varit känt att fler verksamheter skulle omfattas av skärpta krav på cybersäkerhet. De nya föreskrifterna konkretiserar nu vad cybersäkerhetslagen innebär i praktiken för de flesta verksamhetsutövare som omfattas av regleringen.

Föreskrifterna beskriver vilka områden organisationer behöver arbeta med och vilka säkerhetsåtgärder som ska övervägas utifrån verksamhetens risker, storlek och förutsättningar.

Ett systematiskt och riskbaserat cybersäkerhetsarbete

Cybersäkerhet handlar inte om att uppfylla en checklista. Föreskrifterna bygger på ett riskbaserat arbetssätt där varje verksamhetsutövare behöver identifiera och hantera sina egna risker.

De nya reglerna omfattar bland annat:

  • ledningens utbildning
  • incident- och kontinuitetshantering
  • säkerhet vid utveckling och utkontraktering
  • personal- och lokalsäkerhet
  • styrning och uppföljning av cybersäkerhetsarbetet

Organisationer förväntas arbeta systematiskt och kontinuerligt med dessa frågor för att förebygga och minska konsekvenserna av cyberrelaterade störningar.

– Cybersäkerhet är en central del i vår förmåga att motstå störningar. Att stärka cybersäkerheten bidrar till att öka hela samhällets motståndskraft, säger Mikael Frisell, generaldirektör vid Myndigheten för civilt försvar.

Publicering och fortsatt stöd

Föreskrifterna publiceras i juni 2026 och träder i kraft den 1 oktober 2026. Under sommaren publiceras översiktlig information och ett introducerande webbinarium på NCSC:s webbplats. Från augusti kommer ytterligare vägledning och fördjupat stöd att finnas tillgängligt.

De nya föreskrifterna

Ncsc.se: Information om införandet av cybersäkerhetslagen (NIS2) Länk till annan webbplats.