Fler företag omfattas av nya cyber­säkerhetslagen

Cybersäkerhetslagen bygger på EU:s NIS2-direktiv. Den ställer krav på hur företag arbetar med IT‑ och informationssäkerhet och började gälla i januari 2026. Syftet med lagen är att skapa en högre och mer jämn säkerhetsnivå samt minska risken för cyberattacker, driftstörningar och dataläckor. Den nya lagen omfattar också fler verksamheter än tidigare regler.

– Även om lagen främst riktar sig till samhällsviktiga verksamheter påverkas många företag, särskilt de som hanterar kunddata, digitala tjänster eller är leverantörer till större aktörer, säger Lisa Lilliehöök, arbetsrättsjurist på Almega.

Det finns ingen färdig lista över vilka verksamheter som omfattas av lagen. I stället behöver företaget själv bedöma om det omfattas av cybersäkerhetslagen.

– Bedömningen görs i olika steg: Vilken verksamhet bedriver företaget? Hur många anställda har det? Hur mycket omsätter företaget? Var bedriver företaget verksamheten?

De företag som omfattas av lagen ska själva anmäla sig till tillsynsmyndigheten. Du kan läsa mer om hur bedömningen görs hos Myndigheten för civilt försvar.

Företag som omfattas av lagen men inte uppfyller kraven riskerar sanktioner.

– Arbetet med cybersäkerhet ska dokumenteras och kunna visas upp vid granskning. Tillsynsmyndigheten kan genomföra tillsyn för att kontrollera att företaget uppfyller lagens krav. Företag som inte uppfyller kraven kan bland annat åläggas att vidta åtgärder genom föreläggande från tillsynsmyndigheten samt riskera sanktionsavgifter, säger Lisa Lilliehöök.

De företag som omfattas av lagen ska ha ett tydligt och löpande arbete med IT‑säkerhet. Det innebär bland annat att:

Medlem? Läs mer om cybersäkerhetslagen i Arbetsgivarguiden.

Inte medlem än? Läs mer om fördelarna för tjänsteföretag att gå med.