NIS2 och Cybersäkerhetslagen

Uppdaterad: 2025-10-28

NIS2-direktivet är beslutat av EU med syftet att stärka unionens cybersäkerhet och skapa en gemensam nivå för skydd av nätverk och informationssystem i medlemsstaterna.

Sverige inför direktivet genom en ny lag – Cybersäkerhetslagen.

Enligt EU-direktivet skulle reglerna gälla senast den 17 oktober 2024, men svensk lagstiftning förväntas träda i kraft först den 1 januari 2026.
Det innebär att svenska företag behöver avvakta de nationella reglerna innan man kan bedöma exakt vilka verksamheter som omfattas och vilka åtgärder som krävs.

Transportföretagen följer processen noggrant och informerar löpande via Säkerhets- och Beredskapsnätverket, nyhetsbrev och webbinarier.

Vad innebär lagen?

• NIS2 ersätter det tidigare NIS-direktivet från 2016 och innebär flera viktiga förändringar:

Fler sektorer omfattas än tidigare. De delas in i väsentliga respektive viktiga verksamhetsutövare.

Inom transportsektorn räknas luftfart, järnväg, sjöfart och vägtransport till väsentliga sektorer enligt EU:s indelning, men tillämpningen i Sverige är starkt begränsad (se nedan).

Post- och budtjänster samt avfallshantering räknas som viktiga sektorer.

Tillsyn och sanktioner blir strängare för de väsentliga verksamhetsutövarna.

• Hela verksamheten omfattas – inte bara den del som tillhandahåller en digital eller samhällsviktig tjänst.
• Ledningen får ett tydligt ansvar för cybersäkerhetsarbetet och kan bli personligt ansvarig vid allvarliga brister.

Tillsynsmyndigheten (t.ex. Transportstyrelsen) får möjlighet att förbjuda en fysisk person i företagets ledning att fortsätta utöva sitt uppdrag, om denne allvarligt eller upprepat brustit i sitt ansvar för cybersäkerhetsarbetet.

Beslutet gäller exempelvis VD, styrelseledamot eller ersättare, och innebär att personen kan avregistreras från Bolagsverket under en viss tid.

• Sanktionsavgifter kan uppgå till 2 % av global årsomsättning (eller 10 miljoner euro) för väsentliga sektorer, och 1,4 % (eller 7 miljoner euro) för viktiga sektorer.

Vilka omfattas av lagen?

Cybersäkerhetslagen gäller inte hela transportsektorn, utan enbart särskilt utpekade verksamheter av nationell eller regional betydelse. Inom transportområdet omfattas främst:

• Luftfarten: flygplatser, flygbolag och flygledning.
• Järnväg: infrastrukturförvaltare och trafikledningscentraler.
• Sjöfart: rederier i större trafik, hamnar och hamnoperatörer.
• Vägtransport: endast operatörer av omfattande och centrala intelligenta transportsystem (ITS), i normalfallet omfattas inte åkerier eller andra transportföretag.

För övriga aktörer gäller att man indirekt kan påverkas, exempelvis genom nya säkerhetskrav från kunder, leverantörer eller offentliga upphandlingar.

Övergångsregler

Verksamheter som redan omfattas av nuvarande NIS-lagstiftning får en kortare övergångsperiod. För övriga föreslås den nya lagen gälla omedelbart från 1 januari 2026 .

Vad ska företagen göra redan nu?

Även om detaljerade föreskrifter ännu inte är beslutade kan företagen börja förbereda sig.

Ett väl fungerande informationssäkerhetsarbete enligt ISO 27001 eller motsvarande täcker redan många av de kommande kraven.

Checklista – så förbereder du dig:

1. Kartlägg om verksamheten omfattas av NIS2 (sektor och storlek).
2. Identifiera vilka system, tjänster och leverantörer som är kritiska.
3. Säkerställ ledningens ansvar för cybersäkerhetsarbetet.
4. Utbilda styrelse och ledning i riskhantering och incidenthantering.
5. Dokumentera rutiner för rapportering av incidenter.
6. Utred anmälningsprocessen till tillsynsmyndigheten.

Transportföretagens stöd

Transportföretagen kommer att:

• Ge löpande information via våra olika nätverk.
• Erbjuda mallar, vägledning och utbildningar när myndigheternas föreskrifter är fastställda.
• Samverka med Transportstyrelsen och andra berörda myndigheter för att driva branschens intressen.

Tidslinje