Energimyndigheten Energiberedskap Informations- och cybersäkerhet Cybersäkerhetslagen Om cybersäkerhetslagen för verksamhetsutövare

Cybersäkerhetslagen

EU antog 2022 ett direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå inom unionen, det så kallade NIS2-direktivet. NIS2 har implementerats i svensk lagstiftning genom cybersäkerhetslagen och cybersäkerhetsförordningen.

Prenumerera på nyhetsbrev NIS

Vilka omfattas av cybersäkerhetslagen?

Om verksamheten omfattas beror på följande kriterier:

  • Verksamheten ska tillhandahålla eller bedriva verksamhet i Sverige inom sektorn för energi som specificeras i NIS2-direktivet bilaga 1. Inom sektorn energi omfattas även delsektorerna elektricitet, fjärrvärme eller fjärrkyla, olja, gas och vätgas. 
  • Verksamheten ska även uppfylla ett storlekskrav.

Väsentliga och viktiga verksamhetsutövare 

För att räknas som väsentlig eller viktig verksamhetsutövare behöver ni uppfylla storlekskravet och storleksmässigt motsvara eller vara större än ett medelstort företag.

Väsentliga verksamhetsutövare

Väsentliga verksamhetsutövare är de som tillhör någon av de högkritiska sektorerna och som överstiger tröskeln för ett medelstort företag. Det innebär att verksamhetsutövaren

  • sysselsätter fler än 250 personer eller
  • har en omsättning som överstiger 50 miljoner euro eller en balansomslutning som överstiger 43 miljoner euro per år.

Viktiga verksamhetsutövare

Viktiga verksamhetsutövare är de som tillhör de högkritiska sektorerna och som är ett medelstort företag. Det innebär att verksamhetsutövaren

  • sysselsätter fler än 50 personer eller
  • har en omsättning eller balansomslutning som överstiger 10 miljoner euro per år.

För att beräkna er verksamhets storlek eller se om verksamheten omfattas av cybersäkerhetslagen, använd självutvärderingsverktyget. 

 

Observera

Det vi har beskrivit är huvudregeln. Även verksamhetsutövare som inte uppfyller kraven för ett medelstort företag eller tillhör en viss sektor kan komma att omfattas antingen genom föreskrifter, vägledning eller CER-lagstiftningen.

Verksamhetsutövarens skyldigheter

Det finns ett antal skyldigheter för er som verksamhetsutövare. 

+

Anmäl er

Ni som verksamhetsutövare ska själva identifiera att ni omfattas av cybersäkerhetslagen och anmäla er till Myndigheten för civilt försvar från och med den 2 februari 2026 när de lanserar sin nya anmälningstjänst. Myndigheten för civilt försvar kommer sedan att vidarebefordra anmälan till tillsynsmyndigheten.

Att anmäla en verksamhet enligt NIS2 (mcf.se)

+

Vidta säkerhetsåtgärder

Ni ska vidta lämpliga och proportionella säkerhetsåtgärder. Säkerhetsåtgärderna ska minst avse 

  1. strategier för riskanalys och för nätverks- och informationssystemens säkerhet 
  2. incidenthantering 
  3. kontinuitetshantering och krishantering 
  4. säkerhet i leveranskedjan
  5. säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem
  6. strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna
  7. grundläggande praxis för cyberhygien och utbildning i cybersäkerhet
  8. strategier och förfaranden för användning av kryptografi samt, vid behov, kryptering 
  9. personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning 
  10. och vid behov användning av lösningar för autentisering, säkrade kommunikationer och säkrade nödkommunikationssystem.
+

Utbilda

Ledningen ska utbildas inom säkerhetsåtgärder. 

+

Incidentrapportering och informationsskyldighet

Vid en betydande incident ska verksamhetsutövaren rapportera till Myndigheten för civilt försvar:

  • en varning inom 24 timmar
  • en incidentanmälan inom 72 timmar
  • en slutrapport inom en månad
  • en lägesrapport inom en månad om incidenten är pågående. Därefter en slutrapport när incidenten hanterats.

Incidentrapportering enligt cybersäkerhetslagen (mcf.se)

Energimyndigheten är tillsynsmyndighet

Energimyndigheten är tillsynsmyndighet och utövar tillsyn över cybersäkerhetslagen och att föreskrifterna följs. Energimyndigheten får:

  • meddela förelägganden
  • ansöka om förbud att ha ledningsfunktion
  • utföra säkerhetsrevisioner eller säkerhetsskanningar
  • besluta om administrativa sanktioner. 

Sanktioner

Om en verksamhetsutövare brister i att följa skyldigheterna får Energimyndigheten besluta att ta ut en sanktionsavgift. Sanktionsavgiften ska uppgå till lägst 5000 kronor för både viktiga och väsentliga verksamhetsutövare.

+

För väsentliga verksamhetsutövare

Sanktioner på upp till 2 % av den totala globala årsomsättningen närmast föregående räkenskapsår eller 10 miljoner euro (det som blir högst).

+

För viktiga verksamhetsutövare

Sanktioner på upp till 1,4 % av den totala globala årsomsättningen närmast föregående räkenskapsår eller 7 miljoner euro (det som blir högst).

Relaterad information

Cybersäkerhetslagen (riksdagen.se)

Cybersäkerhetsförordningen (svenskforfattningssamling.se)

NIS-direktivet (eur-lex.europa.eu)

Genomförandeförordning 2024/2690 (eur-lex.europa.eu)

Om NIS-direktivet och cybersäkerhetslagen (mcf.se)

Senast uppdaterad: 2026-01-15