Ny cybersäkerhetslag i kraft – ställer krav på bland annat life science-bolag

Inledning

Den 15 januari 2026 trädde cybersäkerhetslagen (”CSL”) i kraft och implementerar det s.k. NIS2-direktivet. Hälso- och sjukvårdssektorn är en av de högkritiska sektorer som omfattas av CSL och innefattar bland annat företag som bedriver läkemedelsutveckling- och forskning, läkemedelstillverkare samt tillverkare av medicintekniska produkter som anses vara kritiska vid hot mot folkhälsan. Även tillverkning av medicintekniska produkter och medicintekniska produkter för in vitro-diagnostik omfattas av CSL men utgör inte en högkritisk sektor men likväl s.k. annan kritisk sektor.

CSL delar in verksamhetsutövare i två kategorier; viktiga och väsentliga verksamhetsutövare. Båda kategorierna är anmälningspliktiga men skiljer sig åt när det gäller tillsyn och sanktionsnivåer.

För att omfattas av CSL är huvudregeln att företaget ska vara av en viss storlek, utgångspunkten är att bolaget ska åtminstone vara ett medelstort företag för att vara en viktig verksamhetsutövare under CSL. Ett medelstort företag har färre än 250 anställda och en omsättning på upp till 50 miljoner euro eller en balansomslutning på upp till 43 miljoner euro. Ett litet företag med färre än 50 anställda och en omsättning eller balansomslutning på upp till 10 miljoner euro omfattas som huvudregel inte överhuvudtaget av CSL även om en erforderlig nivå av cybersäkerhet bör uppnås av alla bolag. Tröskelvärdena baseras på senaste räkenskapsåret men ett företag ändrar kategori först om förändringar rörande antalet anställda eller årsomsättning och balansomslutning på årsbasis inträffar under två på varandra följande år.

Lagens syfte och krav

CSL syftar till att säkerställa en hög gemensam nivå av cybersäkerhet för organisationer i samhällsviktiga och andra viktiga sektorer. Det åligger verksamhetsutövaren att säkerställa en nivå på säkerheten i nätverks- och informationssystemen som är lämplig i förhållande till risken, bedömningen ska utgå ifrån ett allriskperspektiv.

CSL uppställer krav på säkerhetsåtgärder som åtminstone ska avse bland annat strategier för riskanalys och för nätverks- och informationssystemens säkerhet, incidenthantering, kontinuitetshantering och krishantering, säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem,  strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna, personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning, och vid behov användning av lösningar för autentisering, säkrade kommunikationer och säkrade nödkommunikationssystem. CSL uppställer även krav på att ledningen hos verksamhetsutövarna ska erhålla relevant utbildning i cybersäkerhet.

Tillsyn

Myndigheten för civilt försvar, tidigare Myndigheten för samhällsskydd och beredskap, har en övergripande samordnande roll och är den myndighet dit verksamhetsutövare ska anmäla sig samt rapportera väsentliga incidenter.

För life science-sektorn är Läkemedelsverket den sektorspecifika tillsynsmyndigheten som ansvarar för att övervaka efterlevnaden av CSL hos läkemedels- och medicinteknikföretag. Läkemedelsverket har befogenhet att bland annat genomföra inspektioner och begära information från företag, utfärda förelägganden om åtgärder vid brister, besluta om administrativa sanktionsavgifter vid bristande efterlevnad.

För mer information, vänligen kontakta författarna: