En uppdatering om NIS2 och Cybersäkerhetslagen i Sverige

Som yrkesverksam inom informationssäkerhet har 2025 varit ett spänt år i väntan på mer information om hur NIS2 kommer att implementeras i Sverige. Det har varit en väg kantad med förseningar, granskning av nationella utredningar, delbetänkanden, propositioner, remisser, och ständigt uppdaterande av regeringen och MCF:s (tidigare MSB:s) hemsida. Till slut kom beskedet att NIS2 skulle träda i kraft i Sverige den 15 januari i form av Cybersäkerhetslagen (2025:1506). Lagen har således varit i kraft i ungefär två månader nu, men det råder fortfarande viss osäkerhet hos många verksamhetsutövare om vad den faktiskt innebär i praktiken. Därför kommer jag i detta blogginlägg ge svar på vanliga funderingar och ge en uppdatering om vad det innebär att Cybersäkerhetslagen har trätt i kraft, statusen på MCF:s kommande föreskrifter, hur omfattade verksamheter kan förbereda sig och den preliminära tidsplanen framåt.

Hur NIS2 implementeras i Sverige

NIS2-implementeringen i Sverige består av tre nivåer av reglering: direktiv, lag och föreskrifter.

Direktiv är EU-lagstiftning som sätter upp mål och krav för medlemsstaterna, men som varje land själv ansvarar för att implementera i sin nationella lagstiftning. NIS2 är ett EU-direktiv som anger vilka krav medlemsstater ska införa för att stärka cybersäkerheten i samhällsviktiga och viktiga sektorer.

Lag är den nationella implementeringen av direktivet. I Sverige har NIS2 implementerats genom Cybersäkerhetslagen (2025:1506), som trädde i kraft den 15 januari 2026. Lagen är övergripande och speglar i stor utsträckning kravställningen i NIS2 men i en svensk kontext. Lagen kompletteras av Cybersäkerhetsförordningen (2025:1507) som bland annat beskriver hur tillsyn ska genomföras och hur rapportering ska ske.

Föreskrifter tas fram av ansvariga myndigheter (i Sveriges fall MCF och PTS) och beskriver mer konkret hur lagen ska följas. Det är i dessa föreskrifter som den praktiska kravställningen kommer att finnas, exempelvis hur incidentrapportering ska gå till eller vilka typer av säkerhetsåtgärder som förväntas. Initialt skulle MCF enbart ta fram föreskrifter för offentliga aktörer, men uppdraget utökades senare till att även omfatta privata aktörer. Detta är en anledning till att föreskrifterna har blivit kraftigt försenade

Vad har egentligen trätt i kraft?

Även om Cybersäkerhetslagen trädde i kraft den 15 januari 2026, är det i praktiken bara anmälningsskyldigheten som hittills har börjat gälla. För verksamhetsutövare att förstå den kravställning som de står under kommer främst tre föreskriftsdokument som MCF ansvarar över att ta fram att vara relevanta:

1. Anmälan och identifiering av väsentliga och viktiga verksamhetsutövare – Dessa föreskrifter är färdiga och trädde i kraft den 2 februari 2026. Verksamheter kan använda MCF:s anmälningsverktyg och ta hjälp av deras vägledningsstöd. Föreskrifterna går att läsa här: https://www.mcf.se/contentassets/2fb733fa000a4bba98cf9b406f4c9153/mcffs-2026-1.pdf
2. Incidentrapportering och informationsskyldighet – Inte beslutade ännu, det finns förslag till föreskrifter som har varit ute på extern remiss och MCF nu bearbetar remissvaren. Remissvaren har varit relativt enhetliga, och MCF förväntas inte göra några stora förändringar till förslaget som går att läsa här: https://www.mcf.se/contentassets/9ab12e4f1e58475a9f027871cb9fa053/msb-2025-13324-foreskrifter-remiss-foreskrifter-om-incidentrapportering-och-informationssskyldighet.pdf
3. Säkerhetsåtgärder och utbildning – Kanske de mest efterlängtade föreskrifterna eftersom de kommer att ge svar på vad kraven för tekniska och organisatoriska säkerhetsåtgärder, riskhantering, och utbildning av ledning och personal är. Det är också här de största resurskraven för organisationer sannolikt kommer att uppstå.  Dessa föreskrifter är inte beslutade ännu, det finns förslag till föreskrifter som har varit ute på extern remiss, dessa kan dock på grund av motstridiga remissvar fortfarande genomgå större förändringar: https://www.mcf.se/contentassets/9ab12e4f1e58475a9f027871cb9fa053/msb-2025-13269–foreskrifter-remiss-foreskrifter-om-sakerhetsatgarder-och-utbildning.pdf

Vad kan man ta del av redan nu för att förbereda sig i väntan på MCF:s föreskrifter?

Många verksamhetsutövare som omfattas av NIS2 och Cybersäkerhetslagen är oroliga inför det administrativa och resurskrävande arbete som säkerhetsåtgärderna kan innebära och vill börja planera arbetet. 

Jag skulle säga att de förslag till föreskrifter som MCF har publicerat för extern remiss är det bästa material som finns tillgängligt idag. Det ger en relativt god indikation på hur den slutliga kravbilden kan komma att se ut i Sverige. Dock avråder jag starkt att börja implementera specifika säkerhetsåtgärder baserat på de förslagna föreskrifterna för säkerhetsåtgärder och utbildning. Detta grundar sig i att MCF överväger att skicka ut dessa föreskrifter på ytterligare en kortare extern remiss. Anledningen är eftersom de har fått ovanligt spretiga remissvar där de har haft svårt att nå konsensus om hur de ska utforma föreskrifterna. Speciellt har frågan kring hur detaljstyrda föreskrifterna borde vara ifrågasatts åt båda håll, med lika många remissvar som säger att föreskrifterna är alldeles för detaljstyrda och borde vara mer flexibla, som remissvar som önskar mer detaljerade krav. Därmed finns det en risk att dessa föreskrifter kommer genomgå en betydande förändring, och vi vet inte vilket spår MCF kommer att välja. Således, om ni väljer att använda förslag till föreskrifter för säkerhetsåtgärder och utbildning som underlag i förberedelser i ert säkerhetsarbete, var väl medvetna om att kravbilden i de riktiga föreskrifter kan komma att bli mer eller mindre omfattande.

Kan man använda andra länders färdiga föreskrifter som utgångspunkt?

Flera andra EU-länder har kommit längre i sin implementering av NIS2, inklusive våra grannländer, Finland och Danmark.

Simovits Consulting har genomfört flera uppdrag avseende NIS2-regleringen i olika medlemsländer. Det vi har observerat är att det finns stor variation i hur tekniskt detaljerade och strikta föreskrifterna är mellan olika länder, inklusive mellan våra grannländer. Den kravställning som Finland tagit fram genom deras föreskrifter är exempelvis mer flexibla och närmare NIS2-minimikravställning än Danmark. Från det material vi har fått tagit del av under vintern rörande Sveriges föreskrifter, ser de ut att bli mer omfattande än både Danmarks och Finlands. Det innebär därmed en risk att använda andra länders föreskrifter eller regelverk som underlag, även om vi är geografiskt och kulturellt nära dessa. Därför rekommenderar vi att invänta Sveriges föreskrifter innan man gör större investeringar i specifika säkerhetsåtgärder för att undvika att resurser på lösningar som inte är nödvändiga, inte är tillräckliga, eller inte är rätt prioriterade. 

Hur ser synen på informationssäkerhet ut i lagen?

Det vi redan nu vet utifrån NIS2 och Cybersäkerhetslagen är att verksamheter behöver:

Bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete

• Genomföra proportionella riskhanteringsåtgärder för att skydda nätverks- och informationssystem samt deras fysiska miljö mot incidenter
• Arbeta strukturerat med säkerhetsåtgärder
• Säkerställa att ledning och relevant personal genomgår cybersäkerhetsutbildning
• rapportera incidenter.

NIS2 har en tydlig koppling till ISO 27001 och 27002. Cybersäkerhetslagen bygger i stor utsträckning på ett klassiskt informationssäkerhetsperspektiv, baserat på att identifiera sina tillgångar, klassificera dessa utifrån CIA (konfidentialitet, riktighet, tillgänglighet), analysera risker kopplade till tillgångarna, och införa proportionella säkerhetsåtgärder baserade på risknivå. 

Organisationer som redan har ett LIS baserat på 27001 och 27002 kommer därför ofta att ligga bra till, men behöver fortfarande göra en genomlysning  för att identifiera eventuella skillnader mellan sitt nuvarande LIS och de specifika krav som Cybersäkerhetslagen och de kommande föreskrifterna ställer.

Hur ser tidsplanen ut?

MCF har kommunicerat en preliminär tidsplan för kommande föreskrifter förväntas att beslutas och träda i kraft. De är dock tydliga med att den är preliminär. Oavsett hur väl tidsplanen följs kommer verksamheter få minst fyra veckor mellan att föreskrifter släpps, till att de börjar gälla. Ytterliga ska stödmaterial från MCF finnas tillgängligt innan föreskrifterna träder i kraft. Med det sagt är den aktuella tidsplanen följande:

• Våren 2026: Föreskrifter för Incidentrapportering och informationsskyldighet – De beslutade föreskrifterna publiceras i april och börja gälla i maj.
• Sommaren 2026: Föreskrifter för säkerhetsåtgärder och utbildning – De beslutade föreskrifterna publiceras i juni/juli och kommer att träda i kraft i slutet av sommaren. Om ytterligare en remissrunda genomförs kan detta dock förskjutas.  
• Den 1 juli 2026 kommer MCF:s cybersäkerhetsverksamhet att överföras till Nationellt Cybersäkerhetscenter (NCSC), inklusive verksamhet kopplat till Cybersäkerhetslagen.

Vad kan Simovits Consulting hjälpa med?

På Simovits Consulting stöttar vi organisationer att förbereda sig för och uppnå efterlevnad av NIS2 och Cybersäkerhetslagen. Några exempel på uppdrag som vi kan hjälpa med är identifiering av regulatoriska krav, klassificering av tillgångar enligt CIA, riskanalyser utifrån ett allriskperspektiv, och framtagning av proportionella säkerhetsåtgärder för att resurseffektivt uppnå efterlevnad mot de krav som finns på verksamheten.