Uppdaterad: 2026-01-19
Cybersäkerhetslagen trädde i kraft den 15 januari 2026 och ställer krav på hur vissa verksamheter ska arbeta med cybersäkerhet i sina nätverk och informationssystem. Lagen bygger på EU:s NIS2-direktiv, men tillämpningen i Sverige är tydligt avgränsad.
Det är viktigt att känna till att cybersäkerhetslagen inte gäller hela transportsektorn. De flesta transportföretag, särskilt inom väg, omfattas inte. För de företag som omfattas innebär lagen däremot konkreta skyldigheter och ett tydligt ansvar för styrelse och ledning.
Denna sida är ett praktiskt stöd till medlemmar för att avgöra om verksamheten omfattas av cybersäkerhetslagen, vad som gäller från och med nu och hur arbetet bör bedrivas i väntan på kompletterande föreskrifter.
Lag, föreskrifter och tillsyn
Cybersäkerhetslagen anger ramar, ansvar och grundläggande skyldigheter och gäller från den 15 januari 2026. Mer detaljerade krav fastställs genom föreskrifter som införs successivt under 2026. Tillsyn kan endast avse sådant som faktiskt är reglerat och i kraft. Det innebär att kraven kommer att utvecklas över tid, men att vissa skyldigheter redan gäller.
Vad gäller från och med 15 januari 2026
Från och med den 15 januari 2026 gäller för verksamheter som omfattas krav på att anmäla verksamheten till Myndigheten för civilt försvar när anmälningstjänsten finns tillgänglig, ha uppsikt över cyberrelaterade incidenter, rapportera betydande incidenter samt säkerställa att cybersäkerhetsarbetet är förankrat och styrt på ledningsnivå. Tillsynsmyndigheten kan inte bedriva tillsyn på krav som ännu inte har reglerats i föreskrifter.
När omfattas ett företag av cybersäkerhetslagen
För att avgöra om cybersäkerhetslagen är tillämplig på ett företag sker bedömningen i två steg. Företaget ansvarar självt för denna bedömning.
Det första steget avser företagets storlek. För att lagen normalt ska vara tillämplig krävs att företaget, inklusive koncern, har minst 50 anställda eller en årlig omsättning om minst 10 miljoner euro. Om inget av dessa kriterier är uppfyllt gäller lagen i normalfallet inte.
Det andra steget avser vilken typ av verksamhet företaget bedriver. För att omfattas krävs att verksamheten tillhör någon av de särskilt utpekade verksamhetskategorierna i lagen. Företag ska inte själva bedöma om deras system är samhällskritiska, men ansvarar för att avgöra om verksamheten tillhör en definierad kategori. I normalfallet sker inget formellt utpekande från myndighet.
Exempel på verksamheter som omfattas
- Inom vägtrafiken omfattas inte åkerier, bussföretag eller vägtransportföretag generellt. Cybersäkerhetslagen kan däremot omfatta vägmyndigheter med ansvar för trafikstyrning när detta är en väsentlig del av verksamheten samt operatörer av intelligenta transportsystem. Med operatörer av intelligenta transportsystem avses verksamheter som tillhandahåller och driver system såsom vägtullsystem, färdskrivartjänster, system för automatisk trafiksäkerhetskontroll och vägtrafikregister. Detta gäller inte företag som endast är användare av systemen. Gemensamt för dessa system är att de är integrerade i den nationella transportinfrastrukturen och att ett avbrott kan få betydande konsekvenser för samhället. De flesta av Transportföretagens medlemmar inom väg omfattas därför inte av cybersäkerhetslagen.
- Inom sjöfarten kan cybersäkerhetslagen omfatta rederier som bedriver person- eller godstrafik till sjöss, hamninnehavare och ledningsenheter för hamnar, hamnanläggningar, verksamheter som sköter anläggningar och utrustning i hamnar såsom lasthantering, bunkring, bogsering och lotsning, operatörer av sjötrafikinformationstjänst, samt i kommande föreskrifter även karantänhamnar och vissa skyddade platser inom sjöfarten.
- Inom luftfarten kan lagen omfatta lufttrafikföretag som bedriver kommersiell passagerar- eller frakttrafik, flygplatser och flygplatsens ledningsenheter, enheter som driver närliggande anläggningar inom flygplatsområdet som är nödvändiga för drift, flygtrafikledning och flygkontrolltjänster samt i kommande föreskrifter även beredskapsflygplatser.
- Inom järnvägen kan lagen omfatta järnvägsföretag som bedriver person- eller godstrafik inklusive dragkraft, infrastrukturförvaltare med ansvar för spår, signal, elförsörjning och trafikledning samt tjänsteleverantörer som är en integrerad del av järnvägssystemet enligt järnvägsregelverket.
- Kollektivtrafikföretag omfattas inte som egen kategori i cybersäkerhetslagen. De kan dock omfattas genom andra delar av lagen, exempelvis som operatörer av intelligenta transportsystem, eller pekas ut av Myndigheten för civilt försvar. Kollektivtrafikföretag kommer dessutom att omfattas av CER-direktivet.
- Cybersäkerhetslagen omfattar även tillhandahållare av posttjänster samt bud- och paketdistribution. Verksamhetsutövare som bedriver avfallshantering som huvudsaklig och samhällsviktig verksamhet omfattas också. Dessa verksamheter klassificeras som viktiga sektorer.
- Vissa fordonstillverkare kan omfattas av cybersäkerhetslagen, under förutsättning att storlekskraven är uppfyllda. Det kan avse tillverkning av motorfordon, släpfordon och påhängsvagnar samt tillverkning av andra transportmedel såsom järnvägsfordon, fartyg och luftfartyg. Även tillverkning av delar och komponenter till dessa fordon och transportmedel kan omfattas. Det är verksamhetens karaktär och företagets storlek som avgör om lagen är tillämplig, inte om produkterna i sig bedöms som samhällskritiska.
Viktig och väsentlig sektor – vad är skillnaden
Om ett företag omfattas av cybersäkerhetslagen ska verksamheten klassificeras som antingen viktig eller väsentlig sektor. Skillnaden har betydelse främst för tillsyn och sanktionsnivåer. För verksamheter som klassas som viktiga sker tillsyn i huvudsak vid misstanke om brister eller felaktigheter, exempelvis efter incidentrapportering eller annan indikation. För väsentliga verksamheter kan tillsynen vara mer aktiv och löpande.
Tillsynsmyndigheter
För transportsektorn är Transportstyrelsen tillsynsmyndighet inom luftfart, järnväg, sjöfart och väg. Post- och budtjänster omfattas av tillsyn från Post- och telestyrelsen, medan avfallshantering omfattas av berörda länsstyrelser. Myndigheten för civilt försvar ansvarar bland annat för anmälningstjänst, incidentrapportering, föreskrifter och nationell samordning.
Förhållande till andra regelverk
Cybersäkerhetslagen ersätter inte befintliga regelverk. Lagen kompletterar krav inom bland annat säkerhetsskydd, ISM och ISPS inom sjöfarten samt luftfartsskydd. Företag som redan omfattas av dessa regelverk kan ofta använda delar av sitt befintliga säkerhetsarbete som grund även för cybersäkerhetslagen.
Hela verksamheten omfattas
När ett företag omfattas av cybersäkerhetslagen gäller kraven för hela verksamheten, inte enbart den del som tillhandahåller ett visst IT-system eller en specifik digital tjänst. Detta är särskilt viktigt vid bedömning av ledningsansvar, riskhantering, incidentrapportering samt beroenden till leverantörer och underleverantörer.
Anmälan till Myndigheten för civilt försvar
Anmälan enligt cybersäkerhetslagen ska göras till Myndigheten för civilt försvar. Anmälningstjänsten har varit försenad och planeras att lanseras under början av februari 2026. Ingen anmälan krävs innan portalen är i drift.
Incidentrapportering
Vägledning för hur incidenter ska bedömas är ännu inte fullt ut färdig. Utgångspunkten är att incidenter som företaget uppenbart bedömer borde anmälas ska rapporteras. När föreskrifter och vägledning är på plats ska rutinerna anpassas därefter. Incidentrapportering sker i tre steg: en tidig varning inom 24 timmar, en uppföljande rapport inom 72 timmar samt en slutrapport inom en månad.
Ledningens ansvar och sanktioner
Styrelse och verkställande ledning ansvarar för att cybersäkerhetslagen följs. Ansvaret kan inte delegeras bort till IT-funktioner eller externa leverantörer. Sanktionsavgifter kan uppgå till betydande belopp beroende på om verksamheten klassas som viktig eller väsentlig sektor. Vid allvarliga eller upprepade brister kan tillsynsmyndigheten även besluta att en person i företagets ledning tillfälligt förbjuds att utöva sitt uppdrag.
Vad behöver företag som omfattas göra nu
Företag som omfattas av cybersäkerhetslagen bör redan nu bekräfta och dokumentera att verksamheten omfattas, informera och förankra ansvar i styrelse och ledning, utse ansvariga för cybersäkerhet och incidenthantering, skapa grundläggande förmåga att upptäcka incidenter, säkerställa rutiner för incidenthantering och rapportering, förbereda anmälan till Myndigheten för civilt försvar samt dokumentera roller, beslut och genomförda åtgärder.
ISO/IEC 27001 som stöd
ISO/IEC 27001 är en frivillig internationell standard för ledningssystem för informationssäkerhet. Ett arbete enligt standarden kan ge struktur för riskhantering, ansvarsfördelning och dokumentation, men ersätter inte kraven i cybersäkerhetslagen.
Cybersäkerhet även utanför lagens tillämpningsområde
Även företag som inte omfattas av cybersäkerhetslagen har starka skäl att prioritera cybersäkerhet. Digitala angrepp, IT-störningar och leverantörsberoenden kan få allvarliga konsekvenser för verksamhet, kunder och samhälle även utan lagkrav. Cybersäkerhetslagen sätter en miniminivå för vissa verksamheter, men god cybersäkerhet är en grundförutsättning för robusthet och kontinuitet i hela transportsektorn.
Transportföretagens stöd
Transportföretagen följer utvecklingen av cybersäkerhetslagstiftningen och Myndigheten för civilt försvars föreskrifter löpande. Vi samverkar med ansvariga myndigheter och tar fram vägledning, stödmaterial och utbildningar i takt med att kraven konkretiseras.