Energimyndigheten Energiberedskap Informations- och cybersäkerhet Cybersäkerhetslagen Cybersäkerhetslagen – vanliga frågor och svar

Cybersäkerhetslagen – vanliga frågor och svar

Här har vi samlat svar på flera vanliga frågor om cybersäkerhetslagen, vi uppdaterar löpande informationen i takt med att den fastställs.

Prenumerera på nyhetsbrev NIS

Frågor och svar om cybersäkerhetslagen

+

Vad innebär cybersäkerhetslagen och vem omfattas?

Cybersäkerhetslagen bygger på ett EU-direktiv som ställer krav på cybersäkerhet för verksamheter som är viktiga för samhället. Kraven avses gälla hela verksamheten, inte bara den samhällsviktiga tjänsten.

Verksamheter delas in i två kategorier:

  • väsentliga verksamhetsutövare
  • viktiga verksamhetsutövare.

För att veta om er verksamhet omfattas, se vägledning om cybersäkerhetslagen och svara på frågorna i självutvärderingen.

Vägledning om cybersäkerhetslagen

Självutvärdering

Exempel från energisektorn:

Om er verksamhet finns med i bilaga 1 till NIS2-direktivet och har:

  • minst 50 sysselsatta eller
  • minst 10 miljoner euro i omsättning

... så omfattas ni. Även mindre verksamheter kan komma att omfattas om de är särskilt kritiska, det kommer i så fall att framgå av föreskrifterna. Notera att partner- och anknutna företag påverkar hur storleken ska beräknas, se bilagans artikel 2 och 3 i EUR-Lex - 32003H0361.

EUR-Lex - 32003H0361 - SV (eur-lex.europa.eu)

Det ska dock finnas möjlighet att, under särskilda förutsättningar, undanta partnerföretag eller anknutna företag (se till exempel s. 125-126 i SOU 2024:18).

Nya regler om cybersäkerhet SOU 2024:18 (regeringen.se)

+

Hur gör man en anmälan?

Ni behöver själva bedöma om er verksamhet omfattas av cybersäkerhetslagen eller inte. Om ni bedömer att verksamheten omfattas av cybersäkerhetslagen, behöver ni anmäla er till Myndigheten för civilt försvar (MCF). Det kan ni göra från och med den 2 februari 2026.   

Ni kommer därför inte kunna använda er av Energimyndighetens e-tjänst (NIS) som tidigare. 

Att anmäla en verksamhet enligt NIS2 (mcf.se)

+

När får vi veta mer om cybersäkerhetslagen?

Cybersäkerhetslagen och cybersäkerhetsförordningen trädde i kraft den 15 januari 2026. På Myndigheten för civilt försvars webbplats finns en preliminär tidsplan för när föreskrifterna träder i kraft.

Tidsplan för NIS2-införandet i Sverige (mcf.se)

+

Vilka krav ställs på verksamhetsutövare?

Om ni omfattas av cybersäkerhetslagen ska ni:

  • anmäla er som viktig eller väsentlig verksamhetsutövare
  • bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete
  • vidta tekniska, organisatoriska och driftsrelaterade åtgärder och åtminstone avse punkterna nedan.
  • säkerställa utbildning för ledningen och i förekommande fall berörd personal
  • rapportera betydande incidenter.

Säkerhetsåtgärderna ska inkludera:

  1. strategier för riskanalys och för nätverks- och informationssystemens säkerhet
  2. incidenthantering
  3. kontinuitetshantering och krishantering
  4. säkerhet i leveranskedjan
  5. säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem
  6. strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna
  7. grundläggande praxis för cyberhygien och utbildning i cybersäkerhet
  8. strategier och förfaranden för användning av kryptografi samt, vid behov, kryptering
  9. personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning
  10. och vid behov användning av lösningar för autentisering, säkrade kommunikationer och säkrade nödkommunikationssystem.
+

Vilken utbildning ska ledningen genomgå?

Enligt propositionen (2025/26:28) syftar utbildningskravet till att ledningen ska få tillräcklig kompetens för att kunna identifiera risker och bedöma vilka säkerhetsåtgärder som bör vidtas i verksamheten.

Exakt hur utbildningen kommer utformas ska framgå av föreskrifter. Myndigheten för civilt försvar har fått i uppdrag av regeringen att ta fram föreskrifter som ska förtydliga detta.

+

Hur beräknas storleken på verksamheten?

För att räkna ut verksamhetens storlek måste ni ta hänsyn till anknutna företag och partnerföretag. Det kan till exempel ha att göra med om ni tillhör en koncern, eller om det finns förbindelse mellan ert bolag och ett annat.

I EU:s rekommendation 2003/361/EG finns det fler aspekter att ta hänsyn till för att bedöma om det finns anknutna företag eller partnerföretag. 

Vi rekommenderar att ta hjälp av EU:s Användarhandledning om definitionen av SMF-företag av Vinnova.

EU:s rekommendation 2003/361/EG (eur-lex.europa.eu)

Användarhandledning om definitionen av SMF-företag (vinnova.se)

+

Om vi är leverantör till en verksamhetsutövare – omfattas vi då?

Inte direkt, men ni kan påverkas indirekt. Verksamhetsutövare som omfattas av cybersäkerhetslagen måste bland annat:

  • vidta säkerhetsåtgärder som avser säkerhet i leveranskedjan.

Utredningen föreslår att tillsynsmyndigheterna ska kunna förtydliga kraven om säkerhetsåtgärder i föreskrifter, däribland kravet om säkerhet i leveranskedjan.

+

Vad gäller för säkerhetskänslig verksamhet?

Enskilda verksamhetsutövare som bedriver säkerhetskänslig verksamhet eller brottsbekämpning omfattas av cybersäkerhetslagen i den delen av verksamheten som inte är säkerhetskänslig eller avser brottsbekämpning. Är ni en verksamhetsutövare som har säkerhetskänslig verksamhet, kan ni alltså behöva anmäla er till oss. 

Bedriver ni däremot enbart säkerhetskänslig verksamhet eller brottsbekämpning eller erbjuder ni enbart tjänster till statliga myndigheter som till övervägande del bedriver säkerhetskänslig verksamhet så kan ni falla utanför cybersäkerhetslagen. I sådana fall ska ni inte anmäla er enligt cybersäkerhetslagen.

+

Vad gäller för elproduktion i mindre omfattning och som i första hand används för eget bruk? Exempelvis egenförbrukning av solceller?

Med producent avses verksamhetsutövare vars huvudsakliga verksamhet är elproduktion. Det är alltså verksamheter vars primära verksamhet är elproduktion som omfattas av cybersäkerhetslagen. Dessa verksamhetsutövare omfattas utan krav på installerad effekt.

Övriga verksamhetsutövare som har en elproduktion i mindre omfattning (en installerad effekt under 10 MW) och som i första hand används för eget bruk, exempelvis verksamhetsutövare som har solceller, omfattas ej.

+

Vad gäller för distributörer och/eller producenter av fjärrvärme?

Fjärrvärme definieras enligt EU:s definition som: 

"fjärrvärme eller fjärrkyla: distribution av värmeenergi i form av ånga, hetvatten eller kylda vätskor från centrala eller decentraliserade produktionskällor, via ett nät, till flera byggnader eller anläggningar i syfte att värma eller kyla ner utrymmen eller processer."  

Det som avses är storskaliga fjärrvärmesystem som förser flera kunder med värme eller kyla. 

Energimyndigheten bedömer inte att enbart produktion av spillvärme utgör distribution av fjärrvärme. Om en värmeproduktionskälla hos en tredje part i form av rest- och spillvärme står för en betydande del av ett fjärrvärmenäts värmeproduktion, behöver fjärrvärmeaktören säkerställa denna leverans och se den som en del av verksamheten (och omfattas därmed av lagstiftningen).

+

Vad gäller för laddningsoperatörer?

En laddningsoperatör är en aktör som har ansvar för förvaltning och drift av en laddningspunkt och som tillhandahåller en laddningstjänst till slutanvändare, även när detta utförs på uppdrag av en leverantör av mobiltjänster och i dess namn.

Det som avses är laddningsoperatörer som tillhandahåller publika laddningspunkter inklusive betalningssystem. Regleringen omfattar inte verksamheter som tillhandahåller enstaka laddningspunkter som en del i sin personal- eller kundservice.

Senast uppdaterad: 2026-03-04