Energimyndigheten Energiberedskap Informations- och cybersäkerhet Cybersäkerhetslagen Om cybersäkerhetslagen för verksamhetsutövare

Om cybersäkerhetslagen för verksamhetsutövare

EU antog 2022 ett direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå inom unionen, det så kallade NIS2-direktivet. NIS2 har implementerats i svensk lagstiftning genom cybersäkerhetslagen och cybersäkerhetsförordningen.

Prenumerera på nyhetsbrev NIS

Vilka omfattas av cybersäkerhetslagen?

Om verksamheten omfattas beror på följande kriterier:

  • Verksamheten ska tillhandahålla eller bedriva verksamhet i Sverige inom sektorn för energi som specificeras i NIS2-direktivet bilaga 1. Inom sektorn energi omfattas även delsektorerna elektricitet, fjärrvärme eller fjärrkyla, olja, gas och vätgas. 
  • Verksamheten ska även uppfylla ett storlekskrav.

Väsentliga och viktiga verksamhetsutövare 

För att räknas som väsentlig eller viktig verksamhetsutövare behöver ni uppfylla storlekskravet och storleksmässigt motsvara eller vara större än ett medelstort företag.

Väsentliga verksamhetsutövare

Väsentliga verksamhetsutövare är de som tillhör någon av de högkritiska sektorerna och som överstiger tröskeln för ett medelstort företag. Det innebär att verksamhetsutövaren

  • sysselsätter minst 250 personer eller
  • har en årsomsättning som överstiger 50 miljoner euro och en balansomslutning som överstiger 43 miljoner euro per år.

Aktörer som är av särskild betydelse för samhället omfattas som väsentliga verksamhetsutövare oavsett storlek.

Viktiga verksamhetsutövare

Viktiga verksamhetsutövare är de som tillhör de högkritiska sektorerna och som är ett medelstort företag. Det innebär att verksamhetsutövaren

  • sysselsätter minst 50 personer eller
  • har en årsomsättning och balansomslutning som överstiger 10 miljoner euro per år.

För att ta reda på om er verksamhet uppfyller storlekskravet eller för att få hjälp i er bedömning om ni omfattas av cybersäkerhetslagen, kan ni svara på frågorna i självutvärderingen.

 

Observera

Det vi har beskrivit är huvudregeln. Även verksamhetsutövare som inte uppfyller kraven för ett medelstort företag eller tillhör en viss sektor kan komma att omfattas antingen genom föreskrifter, vägledning eller CER-lagstiftningen. 

Verksamhetsutövarens skyldigheter

Det finns ett antal skyldigheter för er som verksamhetsutövare. 

+

Anmäl er

Ni som verksamhetsutövare ska själva bedöma om ni omfattas av cybersäkerhetslagen och i så fall göra en anmälan. Anmälan öppnade 2 februari 2026 på Myndigheten för civilt försvars e-tjänsteportal och ska skickas in inom 14 dagar - alltså senast 16 februari. Om anmälan inte kommer in i tid kan tillsynsmyndigheterna komma att vidta åtgärder.

Om ni var anmälda enligt den tidigare NIS-lagen (och även omfattas av nya cybersäkerhetslagen), behöver ni anmäla er på nytt.

Att anmäla en verksamhet enligt NIS2 (mcf.se)

+

Vidta säkerhetsåtgärder

Ni ska vidta lämpliga och proportionella säkerhetsåtgärder. Säkerhetsåtgärderna ska minst avse 

  1. strategier för riskanalys och för nätverks- och informationssystemens säkerhet 
  2. incidenthantering 
  3. kontinuitetshantering och krishantering 
  4. säkerhet i leveranskedjan
  5. säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem
  6. strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna
  7. grundläggande praxis för cyberhygien och utbildning i cybersäkerhet
  8. strategier och förfaranden för användning av kryptografi samt, vid behov, kryptering 
  9. personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning 
  10. och vid behov användning av lösningar för autentisering, säkrade kommunikationer och säkrade nödkommunikationssystem.
+

Utbilda

Ledningen ska utbildas inom säkerhetsåtgärder. 

+

Incidentrapportering och informationsskyldighet

Vid en betydande incident ska verksamhetsutövaren rapportera till Myndigheten för civilt försvar:

  • en varning inom 24 timmar
  • en incidentanmälan inom 72 timmar
  • en slutrapport inom en månad
  • en lägesrapport inom en månad om incidenten är pågående. Därefter en slutrapport när incidenten hanterats.

Incidentrapportering enligt cybersäkerhetslagen (mcf.se)

Energimyndigheten är tillsynsmyndighet

Energimyndigheten är tillsynsmyndighet och utövar tillsyn över cybersäkerhetslagen och att föreskrifterna följs. Energimyndigheten får:

  • meddela förelägganden
  • ansöka om förbud att ha ledningsfunktion
  • utföra säkerhetsrevisioner eller säkerhetsskanningar
  • besluta om administrativa sanktioner. 

Sanktioner

Om en verksamhetsutövare brister i att följa skyldigheterna får Energimyndigheten besluta att ta ut en sanktionsavgift. Sanktionsavgiften ska uppgå till lägst 5000 kronor för både viktiga och väsentliga verksamhetsutövare.

+

För väsentliga verksamhetsutövare

Sanktioner på upp till 2 % av den totala globala årsomsättningen närmast föregående räkenskapsår eller 10 miljoner euro (det som blir högst).

+

För viktiga verksamhetsutövare

Sanktioner på upp till 1,4 % av den totala globala årsomsättningen närmast föregående räkenskapsår eller 7 miljoner euro (det som blir högst).

Senast uppdaterad: 2026-02-13