Till innehållet
Person står utomhus i solsken och tittar i sin mobltelefon.

Säkerhet och integritet

Frågor och svar om cybersäkerhetslagen

Vanliga frågor och svar om NIS2 och cybersäkerhetslagen

Generella frågor

Vad är NIS2/cybersäkerhetslagen?

NIS2-direktivet, eller ”NIS2”, är en EU-omfattande reglering om cybersäkerhet som omfattar flera sektorer. I Sverige har NIS2 implementerats genom cybersäkerhetslagen som trädde i kraft den 15 januari 2026.

Cybersäkerhetslagen delar in verksamhetsutövare i flera olika sektorer. PTS ansvarar för följande fem sektorer:

  • Digital infrastruktur.
  • Förvaltning av IKT-tjänster.
  • Rymden.
  • Post- och budtjänster.
  • Digitala leverantörer.

För generella frågor om cybersäkerhetslagen rekommenderas ni vända er till Myndigheten för civilt försvar, som har det övergripande ansvaret för denna lagstiftning i Sverige.

Vad behöver jag göra om jag omfattas av cybersäkerhetslagen?

Om er verksamhet omfattas av CSL behöver ni anmäla/registrera er verksamhet till Myndigheten för civilt försvar. Ni behöver även vidta riskhanteringsåtgärder samt rapportera incidenter till Myndigheten för civilt försvar.

Är cybersäkerhetslagen samma sak som NIS-lagen?

Nej, NIS-lagen (lag (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster) upphörde att gälla när cybersäkerhetslagen trädde i kraft. Cybersäkerhetslagen ersätter alltså NIS-lagen.

Vad är genomförandeakter och hur påverkas vi av dem?

För följande verksamhetsutövare har EU-kommissionen tagit fram en så kallad genomförandeförordning som närmare beskriver vilka riskhanteringsåtgärder som verksamhetsutövarna ska vidta, samt vilka incidenter som är rapporteringspliktiga:

  • Leverantörer av DNS-tjänster.
  • Registreringsenheter för toppdomäner.
  • Leverantörer av molntjänster.
  • Leverantörer av datacentraltjänster.
  • Leverantörer av nätverk för leverans av innehåll.
  • Leverantörer av hanterade tjänster.
  • Leverantörer av hanterade säkerhetstjänster.
  • Leverantörer av marknadsplatser online.
  • Leverantörer av sökmotorer.
  • Leverantörer av plattformar för sociala nätverkstjänster.
  • Tillhandahållare av betrodda tjänster.

Denna genomförandeförordning trädde i kraft den 7 november 2024. 

Kommissionen kommer även att ta fram genomförandeakter för kvalificerade tillhandahållare av betrodda tjänster vad gäller riskhanteringsåtgärder.

Omfattas vi av cybersäkerhetslagen?

Hur vet jag om min verksamhet omfattas av cybersäkerhetslagen?

PTS har tagit fram e-tjänsten Omfattas vi av CSL? för att ge er stöd i att bedöma om ni omfattas av cybersäkerhetslagen. E-tjänsten riktar sig endast till de verksamhetsutövare som faller under PTS sektorsansvar.

Hur räknar man ut storleken på sin verksamhet om man till exempel är del av en koncern?

För att räkna ut er verksamhets storlek måste ni beakta anknutna företag och partnerföretag. Det kan till exempel ha att göra med om ni tillhör en koncern, eller om det finns förbindelse mellan ert företag och ett annat. Vi rekommenderar att ni tar hjälp av EU:s användarhandledning om definitionen av SMF-företag för att beräkna storleken på er verksamhet. Vi rekommenderar även att ni använder PTS e-tjänst Omfattas vi av CSL? för vidare vägledning.

Den del av vår verksamhet som träffas av cybersäkerhetslagen är bara en minimal del av vår totala verksamhet – kan det verkligen vara så att vi omfattas av lagen ändå, fastän vår ”NIS2-del” är så liten?

Ja, om ni uppfyller kriterierna för att omfattas av cybersäkerhetslagen (se PTS e-tjänst Omfattas vi av CSL? för vidare vägledning) så innebär detta att ni omfattas av regleringen, även om själva NIS2-verksamhetsdelen är liten.

Sektorsrelaterade frågor

Vad ingår i definitionen för post- och budtjänster?

De aktörer som omfattas av de nya reglerna är de som ”tillhandahåller minst ett led i postleveranskedjan, särskilt insamling, sortering, transport eller distribution av postförsändelser, inklusive upphämtning, samtidig som hänsyn tas till den grad i vilken de är beroende av nätverks- och informationssystem”.

Frågan som ni måste ställa er är därför: ”Tillhandahåller vi minst ett led i postleveranskedjan, särskilt insamling, sortering, transport eller distribution av postförsändelser, inklusive upphämtning, och är vi till viss grad beroende av nätverks- och informationssystem?” Om svaret på den frågan är ja, bör ni anses omfattas av cybersäkerhetslagen. Vi rekommenderar att ni även tar hjälp av vår e-tjänst Omfattas vi av CSL? för vidare vägledning.

Vi är en godkänd postoperatör av PTS. Vårt huvudmedium är oadresserad direktreklam (ODR) men vi hanterar även mindre volymer adresserad direktreklam (ADR). Omfattas vi av cybersäkerhetslagen?

De aktörer som omfattas av de nya reglerna är de som ”tillhandahåller minst ett led i postleveranskedjan, särskilt insamling, sortering, transport eller distribution av postförsändelser, inklusive upphämtning, samtidig som hänsyn tas till den grad i vilken de är beroende av nätverks- och informationssystem”. Adresserad direktreklam brukar normalt sett anses utgöra postförsändelser. Det finns dock flera kriterier för er att ta hänsyn till när ni bedömer om ni omfattas. Ni kan få stöd av vår e-tjänst Omfattas vi av CSL? när ni gör denna bedömning.

Räknas det som molntjänst om vi har ett internt utvecklat molnbaserat affärssystem som enbart används inom vår egen verksamhet?

Nej, för att en verksamhet ska omfattas av lagstiftningen krävs att den är en leverantör av en molntjänst. Det innebär att tjänsten måste tillhandahållas utanför verksamheten för att den ska träffas av cybersäkerhetslagen.

Vi är operatörer enligt LEK – hur fungerar det för oss med cybersäkerhetslagen?

Om ni tillhandahåller allmänna elektroniska kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster så innebär detta automatiskt att ni omfattas av cybersäkerhetslagen. Båda dessa typer av verksamheter, oavsett storlek, omfattas av cybersäkerhetslagen.

Vi är redan anmälda till PTS enligt LEK, men omfattas även av cybersäkerhetslagens anmälningskrav. Räcker det att vi redan anmält oss till er enligt LEK?

Nej, ni måste registrera er verksamhet ytterligare en gång när cybersäkerhetslagen träder i kraft, även om ni redan har anmält er verksamhet enligt lagen om elektronisk kommunikation (LEK). Anledningen är att ni omfattas av två separata lagstiftningar, och anmälningsskyldigheten skiljer sig mellan de två lagarna (LEK och cybersäkerhetslagen).

Ersätter incidentrapportering enligt cybersäkerhetslagen ramverket för incidentrapportering under eIDAS-förordningen?

Nej. Tillhandahållare av betrodda tjänster är skyldiga att rapportera incidenter även enligt eIDAS2-förordningen.

Enligt eIDAS2-förordningen ska tillhandahållare av betrodda tjänster rapportera alla säkerhetsincidenter eller störningar vid tillhandahållandet av tjänsten eller genomförandet av de åtgärder som avser registrerings- och anslutningsförfaranden för en tjänst, förfarandemässiga eller administrativa kontroller som krävs för att tillhandahålla betrodda tjänster samt förvaltning och genomförande av betrodda tjänster när dessa har en betydande inverkan på den tillhandahållna betrodda tjänsten eller de personuppgifter som lagras däri.

Riskhanteringsåtgärder och incidenthantering

Vad betyder systematiskt informationssäkerhetsarbete?

Innebörden av informationssäkerhetsarbete är att skydda uppgifter som lagras, behandlas, hämtas eller överförs. De ska skyddas utifrån aspekterna tillgänglighet, autenticitet, riktighet och konfidentialitet.

Informationssäkerhetsarbete betyder allt arbete som syftar till att säkerställa systemen och tjänsterna som informationen som lagras/behandlas/överförs genom. Ett systematiskt och riskbaserat informationssäkerhetsarbete innebär bland annat att arbetet bedrivs långsiktigt, kontinuerligt och metodiskt samt att det finns en tydlig rollfördelning med särskilt utpekat ansvar.

Från vilken tidpunkt startar incidentrapporteringstiderna?

Från det att verksamhetsutövaren fått kännedom om incidenten.

Vilka incidenter måste vi rapportera?

Endast betydande incidenter behöver rapporteras. En betydande incident är:

  1. en incident som orsakat eller kan orsaka allvarlig driftsstörning för den erbjudna tjänsten eller ekonomisk skada för den berörda verksamhetsutövaren, eller
  2. en incident som har påverkat eller kan påverka andra fysiska eller juridiska personer genom att vålla betydande materiell eller immateriell skada.

Ni måste själva bedöma, utifrån ovanstående kriterier, om en incident utgör en betydande incident som måste rapporteras till tillsynsmyndigheten. Vid osäkerhet anser PTS att det är bättre att verksamhetsutövaren rapporterar in händelsen.

För vissa verksamhetsutövare finns specificerade regler kring vad som utgör en betydande incident. Dessa finns i EU-kommissionens genomförandeförordning.

Var rapporterar vi incidenter?

Incidentrapportering ska ske till Myndigheten för civilt försvar, oavsett vilken sektor du tillhör. För mer information om incidentrapportering hänvisar vi till Myndigheten för civilt försvar: Rapportera en betydande incident enligt cybersäkerhetslagen (NIS2).

Om vi får en incident i flera länder och rapporterar det i varje land – kan vi då få böter/sanktionsavgifter i varje land vi rapporterar incidenten?

Sanktionsavgifter kan ni endast få om ni inte följer reglerna i cybersäkerhetslagen. Endast det faktum att en incident inträffat innebär inte nödvändigtvis att en överträdelse skett. Som en generell rättsprincip kan ni inte få dubbla böter för samma överträdelse.

Vi har verksamheter i flera EU-länder – behöver vi rapportera i alla länder när vi upptäcker en incident?

Det beror på vilken jurisdiktionsregel ni hamnar under.

För de verksamhetsutövare som faller under jurisdiktionsregeln Huvudsakligt Etableringsställe gäller att ni endast behöver rapportera i det medlemsland ni har anmält er verksamhet. Faller ni under jurisdiktionsregeln ”Etablerad” eller ”Tillhandahåller sina tjänster” så kan ni träffas av flera länders NIS2-lagstiftning, och kan behöva incidentrapportera även där. I PTS e-tjänst Omfattas vi av CSL? kan ni läsa mer under steg 2 vilken jurisdiktionsregel just ni faller under.

Sidan uppdaterades: