Nyhet -
Nya Cybersäkerhetslagen har kommit – vad innebär det för svenska verksamheter och deras leverantörer?
Den 17 december 2025 publicerades den nya Cybersäkerhetslagen (SFS 2025:1506)*, som gäller från och med den 15 januari i hela Sverige. Lagen syftar till att höja nivån av cybersäkerhet i samhället och implementerar EU:s NIS 2-direktiv.
Vad innebär lagen?
- Gäller för myndigheter, kommuner och företag inom kritiska sektorer som energi, transport, digital infrastruktur samt leverantörer av molntjänster, DNS och sociala nätverk. Företag i leveranskedjan påverkas också, läs mer nedan.
- Ställer krav på säkerhetsåtgärder, incidentrapportering inom 24 timmar och utbildning av ledning.
Ann-Sofie Gustafsson, Certifieringschef på SamCert AB, kommenterar:
"Den här lagen är en tydlig signal till företagsledningar: nu är det dags att ta fram en konkret plan för att implementera ett ledningssystem som uppfyller kraven i ISO/IEC 27001:2023. Det är den internationella standarden för informationssäkerhet och ger en strukturerad grund för att möta lagens krav.
"Dessutom väntar stora böter för organisationer som inte uppfyller kraven i den nya Cybersäkerhetslagen.
"Vi på SamCert har hjälpt företag med ISO 27001 sedan länge, och vi ser att de som agerar nu kommer stå starkare mot framtidens cyberhot."
✅ Checklista – 7 steg för att komma igång
- Gör en nulägesanalys – Identifiera vilka delar av lagen som gäller och kartlägg befintliga rutiner.
- Utse ansvariga och skapa en plan – Ledningen ska ta ägarskap och utse en informationssäkerhetsansvarig.
- Inför grundläggande säkerhetsåtgärder – Riskbedömning, incidenthantering och leverantörskedjesäkerhet.
- Utbilda ledning och personal – Obligatorisk utbildning för ledningen och höjd medvetenhet hos alla medarbetare.
- Implementera ISO/IEC 27001:2023 – Etablera ett ledningssystem för informationssäkerhet (ISMS).
- Förbered för incidentrapportering – Rutiner för att rapportera betydande incidenter inom 24 timmar.
- Kontinuerlig förbättring – Följ upp, revidera och förbättra säkerhetsarbetet regelbundet.
Hur påverkas företag i leveranskedjan?
Cybersäkerhetslagen ställer inte bara krav på huvudaktörer inom kritiska sektorer – den påverkar hela leveranskedjan. Företag som levererar tjänster eller produkter till verksamheter som omfattas av lagen måste kunna visa att de har tillräckliga säkerhetsåtgärder på plats. Detta innebär:
- Ökat krav på leverantörskontroller: Organisationer kommer att kräva bevis på att leverantörer följer god praxis för informationssäkerhet.
- Avtal och upphandlingar: Nya krav på säkerhetsklausuler i avtal och upphandlingar blir standard.
- ISO/IEC 27001 som konkurrensfördel: Att ha ett certifierat ledningssystem för informationssäkerhet blir ett starkt argument för att behålla och vinna kunder.
- Incidentrapportering i kedjan: Leverantörer måste ha rutiner för att snabbt rapportera incidenter som kan påverka kundens tjänster.
Kort sagt – även om ditt företag inte direkt omfattas av lagen, kan dina kunder göra det. Då blir din säkerhetsnivå avgörande för fortsatt samarbete.
Vill du veta mer?
- Läs mer om Cybersäkerhetslagen och få tillgång till gratis rådgivning på Cybersäkerhetsrådgivningen på msb.se.
- Observera att MSB blir Myndigheten för civilt försvar (MCF) från och med den 1 januari 2026, med ett utökat ansvar för Sveriges civila beredskap och cybersäkerhet.
- Kontakta oss på SamCert för hjälp att komma igång med ditt ISO 27001-projekt.
* Genom lagen upphävs lagen (2018:1174) om informationssäkerhet för
samhällsviktiga och digitala tjänster.
