Cybersäkerhetslagen, som genomför EU:s NIS2-direktiv i Sverige, trädde i kraft den 15 januari 2026. För många svenska verksamheter innebär lagen nya krav på styrning, utbildning, riskhantering och uppföljning inom cybersäkerhet.
Cybersäkerhet blir en ledningsfråga
Enligt säkerhetsföretaget Förebygg handlar NIS2 inte längre enbart om tekniska skydd, utan även om ansvar, utbildning och löpande uppföljning i verksamheten.
Bolaget pekar på att cybersäkerhet behöver integreras i den ordinarie verksamhetsstyrningen och kopplas till mandat, resurser och ansvarsfördelning.
I underlaget lyfts även vikten av att ledning, chefer och medarbetare får utbildning och förutsättningar att förstå och hantera risker över tid.
Flera sektorer kan omfattas
Säkerhetsföretaget pekar ut flera verksamhetsområden som kan omfattas av cybersäkerhetslagen, bland annat dricksvatten, avloppsvatten, livsmedelsproduktion och grossisthandel.
Enligt bolaget har många verksamheter först behövt avgöra om de omfattas av regelverket innan arbetet med styrning, utbildning och uppföljning kan påbörjas.
De lyfter även fram återkommande utbildningar, phishing-simuleringar och grundläggande cyberhygien som viktiga delar i det praktiska arbetet.
"Det viktigaste är att inte fastna i begreppen. NIS2 handlar om att bygga motståndskraft över tid. För många verksamheter börjar det med att skapa överblick, utbilda organisationen och få in cybersäkerheten i den löpande styrningen."
