Energimyndigheten Energiberedskap Informations- och cybersäkerhet Cybersäkerhetslagen Cybersäkerhetslagen och CER – vanliga frågor och svar

Cybersäkerhetslagen och CER – vanliga frågor och svar

Här har vi samlat svar på flera vanliga frågor om både cybersäkerhetslagen och CER-direktivet, vi uppdaterar löpande informationen i takt med att den fastställs.

CER-direktivet förväntas träda i kraft under 2026 och fokuserar på motståndskraft hos kritiska verksamhetsutövare och omfattar även fysisk säkerhet och personalsäkerhet.

Prenumerera på nyhetsbrev NIS

Frågor och svar om cybersäkerhetslagen

+

Vad innebär cybersäkerhetslagen och vem omfattas?

Cybersäkerhetslagen bygger på ett EU-direktiv som ställer krav på cybersäkerhet för verksamheter som är viktiga för samhället. Kraven avses gälla hela verksamheten, inte bara den samhällsviktiga tjänsten.

Verksamheter delas in i två kategorier:

  • väsentliga verksamhetsutövare
  • viktiga verksamhetsutövare.

För att veta om er verksamhet omfattas, se vägledning om cybersäkerhetslagen och svara på frågorna i självutvärderingen.

Vägledning om cybersäkerhetslagen

Självutvärdering

Exempel från energisektorn:

Om er verksamhet finns med i bilaga 1 till NIS2-direktivet och har:

  • minst 50 sysselsatta eller
  • minst 10 miljoner euro i omsättning

... så omfattas ni. Även mindre verksamheter kan komma att omfattas om de är särskilt kritiska, det kommer i så fall att framgå av föreskrifterna. Notera att partner- och anknutna företag påverkar hur storleken ska beräknas, se bilagans artikel 2 och 3 i EUR-Lex - 32003H0361.

EUR-Lex - 32003H0361 - SV (eur-lex.europa.eu)

Det ska dock finnas möjlighet att, under särskilda förutsättningar, undanta partnerföretag eller anknutna företag (se till exempel s. 125-126 i SOU 2024:18).

Nya regler om cybersäkerhet SOU 2024:18 (regeringen.se)

+

Hur gör man en anmälan?

Ni behöver själva bedöma om er verksamhet omfattas av cybersäkerhetslagen eller inte. Om ni bedömer att verksamheten omfattas av cybersäkerhetslagen, behöver ni anmäla er till Myndigheten för civilt försvar (MCF). Det kan ni göra från och med den 2 februari 2026.   

Ni kommer därför inte kunna använda er av Energimyndighetens e-tjänst (NIS) som tidigare. 

Att anmäla en verksamhet enligt NIS2 (mcf.se)

+

När får vi veta mer om cybersäkerhetslagen?

Cybersäkerhetslagen och cybersäkerhetsförordningen trädde i kraft den 15 januari 2026. På Myndigheten för civilt försvars webbplats finns en preliminär tidsplan för när föreskrifterna träder i kraft.

Tidsplan för NIS2-införandet i Sverige (mcf.se)

+

Vilka krav ställs på verksamhetsutövare?

Om ni omfattas av cybersäkerhetslagen ska ni:

  • anmäla er som viktig eller väsentlig verksamhetsutövare
  • bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete
  • vidta tekniska, organisatoriska och driftsrelaterade åtgärder och åtminstone avse punkterna nedan.
  • säkerställa utbildning för ledningen och i förekommande fall berörd personal
  • rapportera betydande incidenter.

Säkerhetsåtgärderna ska inkludera:

  1. strategier för riskanalys och för nätverks- och informationssystemens säkerhet
  2. incidenthantering
  3. kontinuitetshantering och krishantering
  4. säkerhet i leveranskedjan
  5. säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem
  6. strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna
  7. grundläggande praxis för cyberhygien och utbildning i cybersäkerhet
  8. strategier och förfaranden för användning av kryptografi samt, vid behov, kryptering
  9. personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning
  10. och vid behov användning av lösningar för autentisering, säkrade kommunikationer och säkrade nödkommunikationssystem.
+

Vilken utbildning ska ledningen genomgå?

Enligt propositionen (2025/26:28) syftar utbildningskravet till att ledningen ska få tillräcklig kompetens för att kunna identifiera risker och bedöma vilka säkerhetsåtgärder som bör vidtas i verksamheten.

Exakt hur utbildningen kommer utformas ska framgå av föreskrifter. Myndigheten för civilt försvar har fått i uppdrag av regeringen att ta fram föreskrifter som ska förtydliga detta.

+

Hur beräknas storleken på verksamheten?

För att räkna ut verksamhetens storlek måste ni ta hänsyn till anknutna företag och partnerföretag. Det kan till exempel ha att göra med om ni tillhör en koncern, eller om det finns förbindelse mellan ert bolag och ett annat.

I EU:s rekommendation 2003/361/EG finns det fler aspekter att ta hänsyn till för att bedöma om det finns anknutna företag eller partnerföretag. 

Vi rekommenderar att ta hjälp av EU:s Användarhandledning om definitionen av SMF-företag av Vinnova.

EU:s rekommendation 2003/361/EG (eur-lex.europa.eu)

Användarhandledning om definitionen av SMF-företag (vinnova.se)

+

Om vi är leverantör till en verksamhetsutövare – omfattas vi då?

Inte direkt, men ni kan påverkas indirekt. Verksamhetsutövare som omfattas av cybersäkerhetslagen måste bland annat:

  • vidta säkerhetsåtgärder som avser säkerhet i leveranskedjan.

Utredningen föreslår att tillsynsmyndigheterna ska kunna förtydliga kraven om säkerhetsåtgärder i föreskrifter, däribland kravet om säkerhet i leveranskedjan.

+

Vad gäller för säkerhetskänslig verksamhet?

Enskilda verksamhetsutövare som bedriver säkerhetskänslig verksamhet eller brottsbekämpning omfattas av cybersäkerhetslagen i den delen av verksamheten som inte är säkerhetskänslig eller avser brottsbekämpning. Är ni en verksamhetsutövare som har säkerhetskänslig verksamhet, kan ni alltså behöva anmäla er till oss. 

Bedriver ni däremot enbart säkerhetskänslig verksamhet eller brottsbekämpning eller erbjuder ni enbart tjänster till statliga myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet så kan ni falla utanför cybersäkerhetslagen. I sådana fall ska ni inte anmäla er enligt cybersäkerhetslagen.

+

Vad gäller för elproduktion i mindre omfattning och som i första hand används för eget bruk? Exempelvis egenförbrukning av solceller?

Med producent avses verksamhetsutövare vars huvudsakliga verksamhet är elproduktion. Det är alltså verksamheter vars primära verksamhet är elproduktion som omfattas av cybersäkerhetslagen. Dessa verksamhetsutövare omfattas utan krav på installerad effekt.

Övriga verksamhetsutövare som har en elproduktion i mindre omfattning (en installerad effekt under 10 MW) och som i första hand används för eget bruk, exempelvis verksamhetsutövare som har solceller, omfattas ej.

+

Vad gäller för distributörer och/eller producenter av fjärrvärme?

Fjärrvärme definieras enligt EU:s definition som: 

"fjärrvärme eller fjärrkyla: distribution av värmeenergi i form av ånga, hetvatten eller kylda vätskor från centrala eller decentraliserade produktionskällor, via ett nät, till flera byggnader eller anläggningar i syfte att värma eller kyla ner utrymmen eller processer."  

Det som avses är storskaliga fjärrvärmesystem som förser flera kunder med värme eller kyla. 

Energimyndigheten bedömer inte att enbart produktion av spillvärme utgör distribution av fjärrvärme. Om en värmeproduktionskälla hos en tredje part i form av rest- och spillvärme står för en betydande del av ett fjärrvärmenäts värmeproduktion, behöver fjärrvärmeaktören säkerställa denna leverans och se den som en del av verksamheten (och omfattas därmed av lagstiftningen).

+

Vad gäller för laddningsoperatörer?

En laddningsoperatör är en aktör som har ansvar för förvaltning och drift av en laddningspunkt och som tillhandahåller en laddningstjänst till slutanvändare, även när detta utförs på uppdrag av en leverantör av mobiltjänster och i dess namn.

Det som avses är laddningsoperatörer som tillhandahåller publika laddningspunkter inklusive betalningssystem. Regleringen omfattar inte verksamheter som tillhandahåller enstaka laddningspunkter som en del i sin personal- eller kundservice.

Frågor och svar om CER

+

Vad är CER-direktivet?

CER står för Critical Entities Resilience och kompletterar cybersäkerhetslagen. CER handlar om motståndskraft såsom fysisk säkerhet och personalsäkerhet. Det bygger på samma principer som NIS-regleringen:

  • systematiskt riskanalysarbete
  • åtgärdsplanering
  • incidentrapportering.

Utredningen har föreslagit en ny lag om motståndskraft hos kritiska verksamhetsutövare med tillhörande förordning och föreskriftsbemyndigande för att implementera CER-direktivet.

+

Vilka krav ställs på kritiska verksamhetsutövare enligt CER?

Verksamheter som identifierats som kritiska ska enligt utredningens förslag:

  1. Göra en riskbedömning
    · omfatta alla relevanta risker
    · uppdatera vid behov, minst vart fjärde år

  2. Vidta åtgärder baserat på riskbedömningen:
    · förhindra incidenter
    · reagera på och begränsa konsekvenserna från incidenter
    · skydda lokaler och kritisk infrastruktur
    · säkerställa ändamålsenlig personalsäkerhet
    · öka kunskapen om motståndskraft inom organisationen

  3. Upprätta och tillämpa plan för dessa åtgärder

  4. Rapportera incidenter som kan medföra betydande störningar
+

Vilka verksamheter omfattas av CER?

Till skillnad från cybersäkerhetslagen finns ingen regel satt utifrån företagets storlek. En verksamhet ska identifieras som kritisk och därmed omfattas av lagen om den:

  • tillhandahåller en samhällsviktig tjänst i eller till Sverige genom att ingå i någon av sektorerna i CER-bilagan
  • har kritisk infrastruktur i Sverige
  • riskerar att orsaka betydande störningar vid incident.
+

När börjar CER-direktivet gälla enligt utredningens förslag?

  • Utredningen föreslår att lagen ska träda i kraft 1 augusti 2026. 
  • Och att tillsynsmyndigheterna senast 17 juli 2026 ska identifiera vilka som omfattas.

Om en verksamhetsutövare meddelats att de utgör en kritisk verksamhetsutövare enligt CER gäller:

  • 9 månader för att genomföra riskbedömning
  • 10 månader för att uppfylla övriga krav.

Därefter kan Energimyndigheten utöva tillsyn.

Om ni omfattas av CER, omfattas ni automatiskt även av cybersäkerhetslagen.

Senast uppdaterad: 2026-01-13