NIS2 och Cybersäkerhetslagen

Nyhet 2 september 2024

Inbjudan till informationsträff - Cybersäkerhetslagen

Den 15 januari 2026 träder den nya Cybersäkerhetslagen i kraft. Lagen är den svenska implementeringen av NIS2-direktivet från EU, med syfte att stärka unionens företag mot digitala angrepp och hot.

Tillsammans med Transportstyrelsen och några av våra medlemsföretag inom Hamn, Flyg och Buss bjuder vi därför in till en digital informationsträff den 15 januari 2026.

Läs mer och anmäl dig här

Uppdaterad: 2025-12-22

Cybersäkerhetslagen är beslutad och träder i kraft den 15 januari 2026

Transportföretagen och Transportstyrelsen håller ett informationsmöte den 15 januari 2026 där mer information ges och deltagarna kan ställa frågor om de kommande reglerna och tillsynerna.

Föreskrifterna från MSB, som ska komplettera lagen, är inte färdiga och beräknas lanseras löpande under vintern/våren 2026.

Innan föreskrifterna är klara vet vi inte exakt hur detaljerade kraven kommer att vara eller vad som förväntas av de företag som omfattas. Tillsynsmyndigheten kan inte heller utöva tillsyn på de delar som regleras i föreskrifterna innan dessa trätt i kraft.

Det företag (de som omfattas) kan/behöver göra och det som tillsynsmyndigheten kan kontrollera från den 15 januari är:

Att företag som omfattas av Cybersäkerhetslagen har anmält sin verksamhet till MSB
Att företagen har uppsikt över och upptäcker cyberrelaterade incidenter
Att betydande incidenter rapporteras till MSB

Själva anmälningstjänsten på MSB:s hemsida är också försenad. Innan den är färdig kan företag inte anmäla sig, trots att det är ett krav enligt Cybersäkerhetslagen. Så här skriver MSB på sin hemsida (2025-12-22): En förenklad version av anmälningstjänsten kommer att lanseras efter att lagen trätt i kraft den 15 januari och i samband med att föreskrifterna lanseras, som tidigast månadsskiftet januari-februari. Ingen verksamhet behöver anmälas innan lagen träder i kraft och anmälningstjänsten är lanserad.

För anmälan av betydande incidenter meddelar MSB att: under perioden mellan att lagen träder i kraft och föreskrifter ges ut samt en ny incidentrapporteringstjänst finns tillgängligt kommer en interimslösning för incidentrapportering att tillhandahållas. Interimslösningen kommer att finnas tillgängligt i verktyget IRON och kommer att likna incidentrapporteringen för statliga myndigheter som tidigare gjorts. Incidentrapportering kan även göras skriftligt via formulär, som fylls i och skickas in till oss. (msb.se, 2025-12-22)

Rapportering utgörs av:

Initial rapport (tidig varning): Inom 24 timmar efter vetskap om incidenten.
Uppföljande rapport: Inom 72 timmar med mer detaljer (t.ex. orsak, konsekvenser, åtgärder).
Slutrapport: Inom 1 månad med analys och lärdomar.

Vilka verksamheter omfattas av Cybersäkerhetslagen?

I direktivet från EU finns information om vilka verksamheter som ska omfattas av NIS2 och därmed av den svenska Cybersäkerhetslagen: https://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX:32022L2555&qid=1685620396280#d1e32-148-1

Vi har tagit fram en något förenklad matris där ni kan se om ni omfattas av regelverket. Börja med att titta på storlekskraven, ett bolag med färre än 50 anställda ELLER lägre omsättning än 10 miljoner Euro omfattas inte. Sedan kan ni titta på vilka delar inom respektive bransch som omfattas:

* För vägföretag är avgränsningen ganska snårig. Så här kan ni tänka när ni ska avgöra om ni omfattas av ”Operatörer av intelligenta transportsystem”. Enligt Transportstyrelsen (2025-12-19) menas här: Verksamheter som tillhandahåller system och tjänster som vägtullsystem, färdskrivartjänster, automatisk trafiksäkerhetskontroll, vägtrafikregister (inte användarna av dessa). Gemensamt för dessa är att de är integrerade i den nationella transportinfrastrukturen och att ett avbrott skulle kunna få betydande konsekvenser för samhället.

De flesta av Transportföretagens medlemmar inom väg bör därmed inte omfattas av Cybersäkerhetslagen. Om ni ändå känner att det är svårt att avgöra om ovanstående definition omfattar er kommer det finnas möjlighet att ställa frågor till Transportstyrelsen vid vår informationsträff den 15/1-2026.

Fler verksamheter

I kommande föreskrifter från MSB tillkommer ett förtydligande över vilka verksamhetsutövare som ska anses omfattas som Väsentliga verksamhetsutövare (oavsett storlek):

OBS!! Nedanstående gäller alltså inte innan föreskriften träder i kraft. Det sker förmodligen efter den 15/1. Månadsskiftet januari/februari är en trolig tidpunkt.

Inom transporter omfattas samtliga

Beredskapsflygplatser
Flygtrafikledningar
Karantänshamnar
Skyddade platser.

Uppdaterad: 2025-12-10

NIS2-direktivet är beslutat av EU med syftet att stärka unionens cybersäkerhet och skapa en gemensam nivå för skydd av nätverk och informationssystem i medlemsstaterna.

Sverige inför direktivet genom en ny lag – Cybersäkerhetslagen.

Enligt EU-direktivet skulle reglerna gälla senast den 17 oktober 2024, men svensk lagstiftning förväntas träda i kraft först den 15 januari 2026.
Det innebär att svenska företag behöver avvakta de nationella reglerna innan man kan bedöma exakt vilka verksamheter som omfattas och vilka åtgärder som krävs.

Transportföretagen följer processen noggrant och informerar löpande via Säkerhets- och Beredskapsnätverket, nyhetsbrev och webbinarier.

Vad innebär lagen?

NIS2 ersätter det tidigare NIS-direktivet från 2016 och innebär flera viktiga förändringar:

Fler sektorer omfattas än tidigare. De delas in i väsentliga respektive viktiga verksamhetsutövare.

Inom transportsektorn räknas luftfart, järnväg, sjöfart och vägtransport till väsentliga sektorer enligt EU:s indelning, men tillämpningen i Sverige är starkt begränsad (se nedan).

Post- och budtjänster samt avfallshantering räknas som viktiga sektorer.

Tillsyn och sanktioner blir strängare för de väsentliga verksamhetsutövarna.

Hela verksamheten omfattas – inte bara den del som tillhandahåller en digital eller samhällsviktig tjänst.
Ledningen får ett tydligt ansvar för cybersäkerhetsarbetet och kan bli personligt ansvarig vid allvarliga brister.

Tillsynsmyndigheten (t.ex. Transportstyrelsen) får möjlighet att förbjuda en fysisk person i företagets ledning att fortsätta utöva sitt uppdrag, om denne allvarligt eller upprepat brustit i sitt ansvar för cybersäkerhetsarbetet.

Beslutet gäller exempelvis VD, styrelseledamot eller ersättare, och innebär att personen kan avregistreras från Bolagsverket under en viss tid.

Sanktionsavgifter kan uppgå till 2 % av global årsomsättning (eller 10 miljoner euro) för väsentliga sektorer, och 1,4 % (eller 7 miljoner euro) för viktiga sektorer.

Vilka omfattas av lagen?

Cybersäkerhetslagen gäller inte hela transportsektorn, utan enbart särskilt utpekade verksamheter av nationell eller regional betydelse. Inom transportområdet omfattas främst:

Luftfarten: flygplatser, flygbolag och flygledning.
Järnväg: infrastrukturförvaltare och trafikledningscentraler.
Sjöfart: rederier i större trafik, hamnar och hamnoperatörer.
Vägtransport: endast operatörer av omfattande och centrala intelligenta transportsystem (ITS), i normalfallet omfattas inte åkerier eller andra transportföretag.

För övriga aktörer gäller att man indirekt kan påverkas, exempelvis genom nya säkerhetskrav från kunder, leverantörer eller offentliga upphandlingar.

Övergångsregler

Verksamheter som redan omfattas av nuvarande NIS-lagstiftning får en kortare övergångsperiod. För övriga föreslås den nya lagen gälla omedelbart från 15 januari 2026 .

Vad ska företagen göra redan nu?

Även om detaljerade föreskrifter ännu inte är beslutade kan företagen börja förbereda sig.

Ett väl fungerande informationssäkerhetsarbete enligt ISO 27001 eller motsvarande täcker redan många av de kommande kraven.

Checklista – så förbereder du dig:

Kartlägg om verksamheten omfattas av NIS2 (sektor och storlek).
Identifiera vilka system, tjänster och leverantörer som är kritiska.
Säkerställ ledningens ansvar för cybersäkerhetsarbetet.
Utbilda styrelse och ledning i riskhantering och incidenthantering.
Dokumentera rutiner för rapportering av incidenter.
Utred anmälningsprocessen till tillsynsmyndigheten.

Transportföretagens stöd

Transportföretagen kommer att:

Ge löpande information via våra olika nätverk.
Erbjuda mallar, vägledning och utbildningar när myndigheternas föreskrifter är fastställda.
Samverka med Transportstyrelsen och andra berörda myndigheter för att driva branschens intressen.

Tidslinje

År	Händelse
2022	EU antar NIS2-direktivet
2023–2025	Nationellt lagförslag tas fram i Sverige
2025 (hösten)	Riksdagen behandlar propositionen
15 januari 2026	Cybersäkerhetslagen träder i kraft
2026	Föreskrifter och tillsynsmodeller färdigställs

Namn	Leverantör	Beskrivning
ChatGPT-4	OpenAI	Används för att generera manus och textinnehåll för AI-podcast
ElevenLabs	ElevenLabs	Används för röstgenerering av AI-podcast