På denna sida berättar vi om cybersäkerhetslagen och PTS ansvar kring denna.

Cybersäkerhetslagen och PTS ansvar

Cybersäkerhetslagen reglerar cybersäkerhet för flera sektorer. Lagen är baserad på NIS2-direktivet som är en EU-reglering om cybersäkerhet. Cybersäkerhetslagen träder i kraft den 15 januari 2026. Du kan läsa mer om cybersäkerhetslagen på riksdagens webbplats: Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag (Proposition 2025/26:28) | Sveriges riksdag

Cybersäkerhetslagen delar in verksamhetsutövare i flera olika sektorer, och PTS ansvarar för fem av dessa. PTS har tagit fram en e-tjänst som stöttar företag i att bedöma om de omfattas av PTS ansvar under lagstiftningen: Omfattas vi av CSL?

PTS ansvar enligt cybersäkerhetslagen handlar om att vi är tillsynsmyndighet för de verksamhetsutövare som faller under vårt sektorsansvar (läs mer om detta nedan). Som tillsynsmyndighet granskar vi incidentrapporter och kan inleda tillsyn för att säkerställa att verksamhetsutövare uppfyller sina skyldigheter under lagen.

För frågor om vårt ansvar under cybersäkerhetslagen, kontakta oss på nis@pts.se

För att prenumerera på vårt nyhetsbrev om cybersäkerhetslagen, skicka ett mejl till nyhetsbrev-csl@pts.se och ange till vilken e-postadress du vill ha nyhetsbrevet.

Vilka omfattas av cybersäkerhetslagen? 

De verksamheter som omfattas av cybersäkerhetslagen är indelade i 18 sektorer, och olika myndigheter har olika sektorsansvar. På denna sida informerar vi om det som specifikt gäller för de sektorer som faller under PTS ansvar.

För grundläggande information om hur man vet att ens verksamhet omfattas, se MSB:s webbplats: Omfattas verksamheten av NIS2 | MSB. 

PTS ansvarar för följande fem sektorer under cybersäkerhetslagen:

  • Digital infrastruktur.
    • Leverantörer av DNS-tjänster, registreringsenheter för toppdomäner, internetknutpunkter (IXP), leverantörer av molntjänster, datacentraltjänster, nätverk för leverans av innehåll (CDN), icke-kvalificerade betrodda tjänster, kvalificerade betrodda tjänster, allmänna elektroniska kommunikationsnät och allmänt tillgängliga elektroniska kommunikationstjänster.
  • Förvaltning av IKT-tjänster (mellan företag).
    • Leverantörer av utlokaliserade drift- och säkerhetstjänster (MSP och MSSP).
  • Post- och budtjänster.
  • Rymden.
    • Markbaserad infrastruktur.
  • Digitala leverantörer.
    • Marknadsplatser online, sökmotorer och plattformar för sociala nätverkstjänster.

PTS ansvarar även för verksamhetsutövare som erbjuder domännamnsregistreringstjänster. Dessa nämns inte under någon sektorsbeskrivning och har särskilda regler. Läs mer om dessa nedan under PTS tar fram föreskrifter

En verksamhetsutövare omfattas i regel av cybersäkerhetslagen om verksamheten återfinns i någon sektor samt uppfyller vissa storlekskrav. Vill du veta mer om vilka verksamhetsutövare som omfattas av varje sektor, se vår e-tjänst Omfattas vi av CSL? där varje sektor och tjänst beskrivs närmare. 

Notera att en verksamhetsutövare kan tillhöra flera sektorer samtidigt, och att man därmed står under flera myndigheters tillsyn samt omfattas av flera olika föreskrifter. 

Viktiga och väsentliga verksamhetsutövare 

Enligt cybersäkerhetslagen omfattas man antingen som viktig verksamhetsutövare eller som väsentlig verksamhetsutövare. Det som skiljer mellan viktiga och väsentliga verksamhetsutövare är tillsynen och sanktionsavgifterna.

För viktiga verksamhetsutövare är tillsynen händelsestyrd, det vill säga kan endast ske när tillsynsmyndigheten har anledning att anta att verksamhetsutövaren inte följer reglerna i cybersäkerhetslagen. Det kan till exempel bli aktuellt efter en inträffad incident.

För väsentliga verksamhetsutövare kan tillsyn ske både händelsestyrt och planlagt, och maxtaket för sanktioner är något högre för väsentliga än för viktiga verksamhetsutövare. 

Verksamhetsutövarens skyldigheter

Som verksamhetsutövare under cybersäkerhetslagen omfattas du av tre grundläggande skyldigheter: 

  1. Du måste anmäla din verksamhet.
  2. Du måste vidta säkerhetsåtgärder.
  3. Du måste rapportera betydande incidenter.

Anmäla sin verksamhet 

Varje verksamhetsutövare under cybersäkerhetslagen är skyldig att anmäla sin verksamhet. Denna anmälan görs till MSB, oavsett vilken sektor din verksamhet ingår i. Läs mer om din anmälningsskyldighet och hur du anmäler din verksamhet på MSB:s webbplats: Att anmäla en verksamhet enligt NIS2 | MSB.

Om de förhållanden som har redovisats i en anmälan har ändrats ska verksamhetsutövare anmäla förändringen så snart som möjligt, dock senast 14 dagar efter det att förändringen ägde rum.

Vidta säkerhetsåtgärder 

Varje verksamhetsutövare under cybersäkerhetslagen ska vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att skydda nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster och systemens fysiska miljö mot incidenter (säkerhetsåtgärder).

Detaljerad information om säkerhetsåtgärder enligt cybersäkerhetslagen finns här: Vidta säkerhetsåtgärder enligt cybersäkerhetslagen.

Rapportera betydande incidenter 

Varje verksamhetsutövare under cybersäkerhetslagen måste rapportera betydande incidenter till MSB. Dessa rapporter skickas sedan vidare till ansvarig tillsynsmyndighet (till exempel PTS) som granskar dem.  

Detaljerad information om incidentrapportering enligt cybersäkerhetslagen finns här: Incidentrapportera enligt cybersäkerhetslagen.

PTS tar fram föreskrifter 

PTS har som uppdrag att meddela föreskrifter om säkerhetsåtgärder och incidentrapportering för de fem sektorer som faller under vårt tillsynsansvar enligt cybersäkerhetslagen.

För verksamhetsutövare som enbart faller under en eller flera av dessa fem sektorer gäller inte MSB:s föreskrifter om säkerhetsåtgärder och incidentrapportering, förutom: 

  • reglerna om Ledningens utbildning om säkerhetsåtgärder (2 kap. 9 §) i MSB:s föreskrifter om säkerhetsåtgärder och utbildning. 
  • reglerna om Hur rapportering ska ske och Vilka uppgifter som ska rapporteras (2 kap.) i MSB:s föreskrifter om incidentrapportering och informationsskyldighet. 

Ovanstående punkter gäller alltså för samtliga av PTS fem sektorer, men för mer specificerade regler om säkerhetsåtgärder, incidentrapportering, och informationsskyldighet vid betydande incidenter och betydande cyberhot gäller det som står under nedanstående underrubriker.

Notera att en verksamhetsutövare kan tillhöra flera sektorer samtidigt, och att man därmed står under flera myndigheters tillsyn samt omfattas av flera olika föreskrifter. 

PTS har även som uppdrag att meddela föreskrifter om skyldigheten att föra register om domännamn. 

Nedan finns detaljerad information om PTS olika föreskriftsarbeten.

För tillhandahållare av allmänna elektroniska kommunikationsnät och tillhandahållare av allmänt tillgängliga elektroniska kommunikationstjänster

PTS har föreskriftsrätt vad gäller säkerhetsåtgärder och incidentrapportering för verksamhetsutövare inom telekomområdet. 

PTS förbereder föreskrifter om säkerhetsåtgärder enligt cybersäkerhetslagen. Målet är att de ska finnas på plats för verksamhetsutövare inom telekomområdet i slutet av 2026, men vi kan i dagsläget inte ange närmare tidpunkt för remiss av föreskriftsförslag och konsekvensutredning. PTS planerar för utskick av en samrådsenkät till ett urval av aktörer i början av 2026.

PTS förbereder även föreskrifter för telekomområdet om vad som är en betydande incident, det vill säga vilka incidenter som ska rapporteras inom telekomområdet. PTS planerar att remittera föreskriftsförslag och konsekvensutredning om betydande incidenter inom telekom under våren 2026 och föreskrifter bör finnas på plats under senare delen av 2026. 

PTS planerar för att den 15 januari 2026 upphäva PTS föreskrifter och allmänna råd om säkerhet i nät och tjänster (PTSFS 2022:11) (säkerhetsföreskrifterna), lär mer här: Regelförändringar på grund av kommande cybersäkerhetslagen | PTS. De grundläggande kraven på att aktörerna vidtar lämpliga säkerhetsåtgärder och rapporterar incidenter samt informerar användare vid hot om incidenter framgår från och med den 15 januari 2026 av cybersäkerhetslagen med tillhörande förordning. Under perioden fram till dess att föreskrifter som ytterligare reglerar säkerhetsåtgärderna respektive vad som utgör rapporteringspliktiga incidenter är beslutade, bedömer PTS att vad som är lämpliga åtgärder enligt cybersäkerhetslagen åtminstone är desamma som framgår av säkerhetsföreskrifterna.

De upphävda föreskrifterna gäller fortfarande för överträdelser som har skett före upphävandet.

För verksamhetsutövare som träffas av EU-kommissionens genomförandeförordning

För de aktörer som träffas av EU-kommissionens genomförandeförordning (2024/2690), det vill säga majoriteten av aktörerna i sektorn Digital infrastruktur och alla aktörer i sektorn Förvaltning av IKT-tjänster (mellan företag), samt sektorn Digitala leverantörer (läs mer ovan om exakt vilka dessa verksamhetsutövare är, under Verksamhetsutövarens skyldigheter), avser PTS inte ta fram föreskrifter om säkerhetsåtgärder och incidentrapporteringströsklar, eftersom detta redan regleras i genomförandeförordningen. 

För sektorerna Post- och budtjänster och Rymden 

PTS har föreskriftsrätt vad gäller säkerhetsåtgärder och incidentrapportering för sektorerna Rymden och Post-och budtjänster. För dessa föreskrifter finns ingen fastställd tidplan i nuläget. Dessa aktörer uppmanas att ha på plats de grundläggande åtgärder som verksamhetsutövare är skyldiga att vidta enligt cybersäkerhetslagen (läs mer om detta ovan, under Verksamhetsutövarens skyldigheter). 

För verksamhetsutövare som erbjuder domännamnsregistreringstjänster 

En registreringsenhet för toppdomäner eller en verksamhetsutövare som erbjuder domännamnsregistreringstjänster som omfattas av lagen, men inte av lagen om nationella toppdomäner för Sverige på internet (toppdomänlagen), ska föra ett register över tilldelade domännamn under toppdomänen och löpande upprätta säkerhetskopior av registeruppgifterna. PTS har som uppdrag att meddela föreskrifter om skyldigheten att föra register om domännamn. För dessa föreskrifter finns ingen fastställd tidplan i nuläget, men vi kommer att tillhandahålla information när det finns.

Föreskrifter om informationsskyldighet vid betydande incidenter och betydande cyberhot

PTS kommer även att ta fram föreskrifter om informationsskyldighet vid betydande incidenter och betydande cyberhot för samtliga fem sektorer som faller under vårt sektorsansvar.

PTS kommunikation

Vi genomförde två forum under 2024 för de verksamhetsutövare som faller under PTS sektorsansvar.

Vi får många frågor om cybersäkerhetslagen och har samlat frågor och svar i listan nedan.

För ytterligare frågor om cybersäkerhetslagen, kontakta oss på nis@pts.se.

Mer information om cybersäkerhetslagen

Frågor och svar om cybersäkerhetslagen

Vanliga frågor och svar om NIS2

Vad gäller innan NIS2-direktivet har genomförts i svensk rätt?

Den kommande cybersäkerhetslagen är förs...

NIS – Informationssäkerhet för samhällsviktiga och digitala tjänster

Tjänster som omfattas av NIS-lagen ska arbeta med informationssäkerhet och rapportera incidenter.

Sidan uppdaterades: