Energimyndigheten Energiberedskap Informations- och cybersäkerhet Cybersäkerhetslagen Cybersäkerhetslagen och CER – vanliga frågor och svar

Cybersäkerhetslagen och CER – vanliga frågor och svar

Här har vi samlat svar på flera vanliga frågor om både cybersäkerhetslagen och CER-direktivet, vi uppdaterar löpande informationen i takt med att den fastställs.

CER-direktivet förväntas träda i kraft under 2026 och fokuserar på motståndskraft hos kritiska verksamhetsutövare och omfattar även fysisk säkerhet och personalsäkerhet.

Prenumerera på nyhetsbrev NIS

Frågor och svar om cybersäkerhetslagen

+

Vad innebär cybersäkerhetslagen och vem omfattas?

Cybersäkerhetslagen bygger på ett EU-direktiv som ställer krav på cybersäkerhet för verksamheter som är viktiga för samhället. Kraven avses gälla hela verksamheten, inte bara den samhällsviktiga tjänsten.

Verksamheter delas in i två kategorier:

  • väsentliga verksamhetsutövare
  • viktiga verksamhetsutövare.

För att veta om er verksamhet omfattas, se vägledning om cybersäkerhetslagen och svara på frågorna i självutvärderingen.

Vägledning om cybersäkerhetslagen

Självutvärdering

Exempel från energisektorn:

Om er verksamhet finns med i bilaga 1 till NIS2-direktivet och har:

  • minst 50 sysselsatta eller
  • minst 10 miljoner euro i omsättning

... så omfattas ni. Även mindre verksamheter kan komma att omfattas om de är särskilt kritiska, det kommer i så fall att framgå av föreskrifterna. Notera att partner- och anknutna företag påverkar hur storleken ska beräknas, se bilagans artikel 2 och 3 i EUR-Lex - 32003H0361.

EUR-Lex - 32003H0361 - SV (eur-lex.europa.eu)

Det ska dock finnas möjlighet att, under särskilda förutsättningar, undanta partnerföretag eller anknutna företag (se till exempel s. 125-126 i SOU 2024:18).

Nya regler om cybersäkerhet SOU 2024:18 (regeringen.se)

+

Hur gör man en anmälan?

Ni behöver själva bedöma om er verksamhet omfattas av cybersäkerhetslagen eller inte. Om ni bedömer att verksamheten omfattas av cybersäkerhetslagen, behöver ni anmäla er till Myndigheten för civilt försvar (MCF). Det kan ni göra från och med den 2 februari 2026.   

Ni kommer därför inte kunna använda er av Energimyndighetens e-tjänst (NIS) som tidigare. 

Att anmäla en verksamhet enligt NIS2 (mcf.se)

+

När får vi veta mer om cybersäkerhetslagen?

Cybersäkerhetslagen och cybersäkerhetsförordningen trädde i kraft den 15 januari 2026. På Myndigheten för civilt försvars webbplats finns en preliminär tidsplan för när föreskrifterna träder i kraft.

Tidsplan för NIS2-införandet i Sverige (mcf.se)

+

Vilka krav ställs på verksamhetsutövare?

Om ni omfattas av cybersäkerhetslagen ska ni:

  • anmäla er som viktig eller väsentlig verksamhetsutövare
  • bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete
  • vidta tekniska, organisatoriska och driftsrelaterade åtgärder och åtminstone avse punkterna nedan.
  • säkerställa utbildning för ledningen och i förekommande fall berörd personal
  • rapportera betydande incidenter.

Säkerhetsåtgärderna ska inkludera:

  1. strategier för riskanalys och för nätverks- och informationssystemens säkerhet
  2. incidenthantering
  3. kontinuitetshantering och krishantering
  4. säkerhet i leveranskedjan
  5. säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem
  6. strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna
  7. grundläggande praxis för cyberhygien och utbildning i cybersäkerhet
  8. strategier och förfaranden för användning av kryptografi samt, vid behov, kryptering
  9. personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning
  10. och vid behov användning av lösningar för autentisering, säkrade kommunikationer och säkrade nödkommunikationssystem.
+

Vilken utbildning ska ledningen genomgå?

Enligt propositionen (2025/26:28) syftar utbildningskravet till att ledningen ska få tillräcklig kompetens för att kunna identifiera risker och bedöma vilka säkerhetsåtgärder som bör vidtas i verksamheten.

Exakt hur utbildningen kommer utformas ska framgå av föreskrifter. Myndigheten för civilt försvar har fått i uppdrag av regeringen att ta fram föreskrifter som ska förtydliga detta.

+

Hur beräknas storleken på verksamheten?

För att räkna ut verksamhetens storlek måste ni ta hänsyn till anknutna företag och partnerföretag. Det kan till exempel ha att göra med om ni tillhör en koncern, eller om det finns förbindelse mellan ert bolag och ett annat.

I EU:s rekommendation 2003/361/EG finns det fler aspekter att ta hänsyn till för att bedöma om det finns anknutna företag eller partnerföretag. 

Vi rekommenderar att ta hjälp av EU:s Användarhandledning om definitionen av SMF-företag av Vinnova.

EU:s rekommendation 2003/361/EG (eur-lex.europa.eu)

Användarhandledning om definitionen av SMF-företag (vinnova.se)

+

Om vi är leverantör till en verksamhetsutövare – omfattas vi då?

Inte direkt, men ni kan påverkas indirekt. Verksamhetsutövare som omfattas av cybersäkerhetslagen måste bland annat:

  • vidta säkerhetsåtgärder som avser säkerhet i leveranskedjan.

Utredningen föreslår att tillsynsmyndigheterna ska kunna förtydliga kraven om säkerhetsåtgärder i föreskrifter, däribland kravet om säkerhet i leveranskedjan.

+

Vad gäller för säkerhetskänslig verksamhet?

Enskilda verksamhetsutövare som bedriver säkerhetskänslig verksamhet eller brottsbekämpning omfattas av cybersäkerhetslagen i den delen av verksamheten som inte är säkerhetskänslig eller avser brottsbekämpning. Är ni en verksamhetsutövare som har säkerhetskänslig verksamhet, kan ni alltså behöva anmäla er till oss. 

Bedriver ni däremot enbart säkerhetskänslig verksamhet eller brottsbekämpning eller erbjuder ni enbart tjänster till statliga myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet så kan ni falla utanför cybersäkerhetslagen. I sådana fall ska ni inte anmäla er enligt cybersäkerhetslagen.

+

Omfattas fastighetsbolag som producerar el via solpaneler av cybersäkerhetslagen?

Ja, även fastighetsbolag eller andra verksamheter som inte tillhör en sektor som omfattas av cybersäkerhetslagen men som:

  • uppfyller storlekskravet
  • producerar el via solpaneler

...kan omfattas. Det är dock ännu osäkert exakt hur detta kommer att regleras i svensk lag. Energimyndigheten har lyft frågan i sitt remissvar och uppdaterar informationen om den ändras.

+

Vad gäller för egen förbrukning av solceller?

Avsikten i cybersäkerhetslagen har ansetts vara att de verksamhetsutövare vars huvudverksamhet är den som räknas upp i bilagorna till direktivet ska omfattas. Det är alltså verksamheter vars primära verksamhet är elproduktion som har avsetts att träffas.

Slutkunder och mindre produktion för eget bruk bedöms därför kunna undantas från direktivets omfattning. Exakt hur detta kommer genomföras i svensk rätt är inte klart men en dialog förs med Myndigheten för civilt försvar och förhoppningen är att myndigheternas ställning i frågan kommer framgå i kommande vägledning.

+

Vad gäller för distributörer och/eller producenter av fjärrvärme?

Fjärrvärme definieras enligt EU:s definition som:

"fjärrvärme eller fjärrkyla: distribution av värmeenergi i form av ånga, hetvatten eller kylda vätskor från centrala eller decentraliserade produktionskällor, via ett nät, till flera byggnader eller anläggningar i syfte att värma eller kyla ner utrymmen eller processer."

+

Vad gäller för laddstolpar?

När det gäller elladdning omfattas verksamhetsutövare av definitionen om ni tillhandahåller en laddningstjänst till slutanvändare, har ansvar för förvaltning och drift samt uppfyller storlekskravet.

Frågor och svar om CER

+

Vad är CER-direktivet?

CER står för Critical Entities Resilience och kompletterar cybersäkerhetslagen. CER handlar om motståndskraft såsom fysisk säkerhet och personalsäkerhet. Det bygger på samma principer som NIS-regleringen:

  • systematiskt riskanalysarbete
  • åtgärdsplanering
  • incidentrapportering.

Utredningen har föreslagit en ny lag om motståndskraft hos kritiska verksamhetsutövare med tillhörande förordning och föreskriftsbemyndigande för att implementera CER-direktivet.

+

Vilka krav ställs på kritiska verksamhetsutövare enligt CER?

Verksamheter som identifierats som kritiska ska enligt utredningens förslag:

  1. Göra en riskbedömning
    · omfatta alla relevanta risker
    · uppdatera vid behov, minst vart fjärde år

  2. Vidta åtgärder baserat på riskbedömningen:
    · förhindra incidenter
    · reagera på och begränsa konsekvenserna från incidenter
    · skydda lokaler och kritisk infrastruktur
    · säkerställa ändamålsenlig personalsäkerhet
    · öka kunskapen om motståndskraft inom organisationen

  3. Upprätta och tillämpa plan för dessa åtgärder

  4. Rapportera incidenter som kan medföra betydande störningar
+

Vilka verksamheter omfattas av CER?

Till skillnad från cybersäkerhetslagen finns ingen regel satt utifrån företagets storlek. En verksamhet ska identifieras som kritisk och därmed omfattas av lagen om den:

  • tillhandahåller en samhällsviktig tjänst i eller till Sverige genom att ingå i någon av sektorerna i CER-bilagan
  • har kritisk infrastruktur i Sverige
  • riskerar att orsaka betydande störningar vid incident.
+

När börjar CER-direktivet gälla enligt utredningens förslag?

  • Utredningen föreslår att lagen ska träda i kraft 1 augusti 2026. 
  • Och att tillsynsmyndigheterna senast 17 juli 2026 ska identifiera vilka som omfattas.

Om en verksamhetsutövare meddelats att de utgör en kritisk verksamhetsutövare enligt CER gäller:

  • 9 månader för att genomföra riskbedömning
  • 10 månader för att uppfylla övriga krav.

Därefter kan Energimyndigheten utöva tillsyn.

Om ni omfattas av CER, omfattas ni automatiskt även av cybersäkerhetslagen.

Senast uppdaterad: 2026-01-13