NYHETSBEVAKNING INOM DATASKYDD

Kära läsare,

Välkommen till en specialutgåva av Cirio Data Privacy Report. Den 12 juni 2025 beslutade regeringen att överlämna en lagrådsremiss med förslag om en ny cybersäkerhetslag och andra lagändringar – ett viktigt steg i implementationen av EU:s NIS2-direktiv i svensk rätt. Den nya cybersäkerhetslagen föreslås träda i kraft den 15 januari 2026.

I denna specialutgåva sammanfattar vi några av de viktigare förändringarna i lagrådsremissen jämfört med den tidigare utredningen (SOU 2024:18). Fokus i denna överblick ligger på vad som särskilt kan påverka verksamhetsutövare – både offentliga och enskilda – och vilka åtgärder som kan behöva vidtas inför ikraftträdandet. Slutligen redogör vi även för nästa steg i det svenska lagstiftningsarbetet.

Det bör noteras att det som anges i denna specialutgåva av Data Privacy Report inte är en uttömmande lista av innehållet i den föreslagna cybersäkerhetslagen eller hur denna skiljer sig från den tidigare utredningens förslag på lag om cybersäkerhet.

Syftet med Data Privacy Report är att ge dig de senaste och mest relevanta nyheterna inom data, integritet och informationssäkerhet.

Varmt välkommen att prenumerera på vårt nyhetsbrev för regelbundna nyhetsuppdateringar genom att anmäla dig här.

 

Vi önskar dig en fortsatt fin vecka!

 

Vänliga hälsningar,

Caroline och teamet

 

Övergripande om den föreslagna cybersäkerhetslagen

Den nya cybersäkerhetslagen syftar till att genomföra NIS2-direktivet, som antogs av EU i slutet av 2022, i svensk rätt. Lagen föreslås omfatta både offentliga och enskilda verksamhetsutövare inom vissa utpekade sektorer och innebär i stora drag bland annat:

• Anmälningsskyldighet till utsedd myndighet
• Krav på rapportering av betydande incidenter och information till mottagare av tjänsterna
• Krav på att vidta säkerhetsåtgärder för att skydda nätverks- och informationssystem

Lagrådsremissen innehåller flera förändringar jämfört med utredningens förslag (SOU 2024:18). Bland annat föreslås följande:

• Ikraftträdande: den 15 januari 2026.
• Namnändring: Lagen föreslås nu kallas för cybersäkerhetslagen (tidigare: lag om cybersäkerhet).
• Förtydligat syfte: Syftet med cybersäkerhetslagen förtydligas vara att uppnå en hög nivå av cybersäkerhet i samhället.
• Uppdaterade och nya definitioner: Ett flertal definitioner har ändrats, såsom definitionen av säkerhetsåtgärder (av utredningen benämnt riskhanteringsåtgärder), enskild verksamhetsutövare, incident och cyberhot. Det har även tillkommit definitioner i den föreslagna lagtexten, såsom av ett medelstort företag.

Det är dock viktigt att notera att många detaljer – exempelvis vilka myndigheter som får tillsynsansvar – ännu inte är fastställda, utan kommer att regleras i kommande förordning och föreskrifter. Till skillnad från den tidigare utredningen saknar lagrådsremissen även ett förslag på anslutande förordning till den föreslagna cybersäkerhetslagen.

 

Tillämpningsområde och omfattning

Cybersäkerhetslagen föreslås omfatta hela verksamheten hos en aktör som faller inom dess tillämpningsområde, vilka benämns verksamhetsutövare och delas in i enskilda respektive offentliga verksamhetsutövare.

I lagrådsremissens förslag på cybersäkerhetslag kan bland annat följande noteras:

• Statliga myndigheter: Till skillnad från den tidigare utredningen, som föreslog att alla statliga myndigheter (med vissa undantag) skulle omfattas av cybersäkerhetslagen, framför regeringen att endast de statliga myndigheter som har befogenhet att fatta beslut som påverkar fysiska eller juridiska personer och deras rättigheter när det gäller gränsöverskridande rörlighet för personer, varor, tjänster eller kapital bör omfattas av lagen.

Som exempel anger regeringen att bland annat regeringen själv och myndigheter som lyder under riksdagen ska undantas från cybersäkerhetslagen. Därutöver ska även Regeringskansliet, utlandsmyndigheter och kommittéväsendet samt rättskipningsorgan såsom domstolar och nämnder som utövar rättskipning undantas. Däremot menar regeringen, till skillnad från vad utredningen föreslog, att Domarnämnden och Rättshjälpsmyndigheten inte ska omfattas av undantaget från cybersäkerhetslagen.

• Kommunalförbund: Lagrådsremissen föreslår – till skillnad från utredningen – att kommunalförbund ska omfattas av lagens tillämpningsområde, medan fullmäktige och förbundsdirektion är undantagna.
• Verksamhetsutövare med särskild betydelse i samhället: En verksamhetsutövare som inte uppfyller det så kallade storlekskravet, och därmed inte skulle omfattas av cybersäkerhetslagen, kan ändå omfattas med hänvisning till dess särskilda betydelse i samhället.

I lagrådsremissen tydliggör regeringen – till skillnad från utredningen – att det bör krävas att en verksamhetsutövare är den enda leverantören av en tjänst i Sverige som är väsentlig för att upprätthålla kritisk samhällelig eller ekonomisk verksamhet. Kriterier för detta föreslås fastställas i föreskrifter.

Cirios kommentar: Aktörer som tidigare gjort en bedömning enligt SOU 2024:18 bör nu ompröva denna i ljuset av lagrådsremissens ändringar avseende cybersäkerhetslagens tillämpningsområde och omfattning. Vänligen notera att ytterligare ändringar dock kan komma att ske i regeringens proposition (se ”Nästa steg” nedan).

 

Anmälan

Enligt den föreslagna cybersäkerhetslagen ska samtliga verksamhetsutövare anmäla sig till den myndighet som regeringen bestämmer. Myndigheten anges inte i den föreslagna lagtexten utan kommer att fastställas i kommande förordning, liksom innehållet i själva anmälan.

Av lagtexten framgår att en anmälan ska göras så snart det kan ske, vilket i lagrådsremissen förtydligas innebära:

• Redan etablerade verksamhetsutövare ska göra en anmälan i omedelbar anslutning till att lagen träder i kraft.
• Om en aktör startar en sådan verksamhet som gör att denne omfattas av lagen ska en anmälan göras i samband med att verksamheten börjar bedrivas.

Om en verksamhet utvecklas så att aktören uppfyller kraven för att omfattas av lagen, ska en anmälan ske i samband med det.

Cirios kommentar: Att redan etablerade verksamhetsutövare ska göra en anmälan i omedelbar anslutning till att lagen träder i kraft medför att förberedelser inför en anmälan bör påbörjas av berörda verksamhetsutövare i god tid före den 15 januari 2026. Det är även viktigt att aktörer som inte ännu – men potentiellt kan komma att – omfattas av cybersäkerhetslagen etablerar rutiner för att säkerställa att det kontinuerligt övervakas om en verksamhet startas eller utvecklas som medför att aktören omfattas lav lagen, samt att en anmälan i så fall sker i anslutning till detta.

Säkerhetsåtgärder

Den föreslagna cybersäkerhetslagen uppställer krav på verksamhetsutövare att vidta diverse säkerhetsåtgärder (i utredningen benämnt riskhanteringsåtgärder). I lagrådsremissen föreslås ett antal ändringar och förtydliganden för att säkerställa att cybersäkerhetslagen närmare följer NIS2-direktivets utformning, varav det särskilt kan noteras att:

• Kravet på säkerhetsåtgärder gäller de nätverks- och informationssystem som en verksamhetsutövare använder för sin verksamhet eller för att tillhandahålla sina tjänster.
• Säkerhetsåtgärderna ska utgå från ett allriskperspektiv, som uppges innebära att verksamhetsutövare ska sträva efter att bedöma alla risker för systemen som ska skyddas och att analysera alla möjliga orsaker till att en risk realiseras.
• Säkerhetsåtgärderna ska vara både lämpliga och proportionella.
• Vad säkerhetsåtgärderna ska innefatta som ett minimum, vilket listas i den föreslagna cybersäkerhetslagens 2 kap. 3 §, har uppdaterats för att närmare spegla NIS2-direktivets utformning. Bland annat har den första punkten tillkommit, som återger att verksamhetsutövare har en skyldighet att ha strategier för riskanalys men även för nätverks- och informationssystemens säkerhet.
• Bestämmelser som främjar användningen av europeiska eller internationella standarder och tekniska specifikationer av relevans för säkerhet i nätverks- och informationssystem föreslås att meddelas på lägre föreskriftsnivå än i lag.

Utredningens förslag att inkludera en reglering om systematiskt och riskbaserat informationssäkerhetsarbete utesluts helt, eftersom det enligt regeringen hade inneburit en dubbelreglering jämfört med förslaget om säkerhetsåtgärder (se ovan).

Cirios kommentar: Eftersom flera viktiga regleringar kommer att regleras i förordning eller föreskrifter, bör verksamhetsutövare kontinuerligt följa rättsutvecklingen, i syfte att sådana regleringar ska upptäckas och hinna implementeras i tid.

Incidentrapportering och information till mottagare av tjänsterna

Val av myndighet dit betydande incidenter ska rapporteras

Cybersäkerhetslagen föreslår att betydande incidenter ska rapporteras till den myndighet som regeringen bestämmer inom vissa satta tidsfrister. Det är ännu inte klart om detta fortsatt kommer att vara CSIRT-enheten, eller om ansvaret kan komma att flyttas till en annan myndighet. Ett förtydligande förväntas ges genom anslutande förordning till den föreslagna cybersäkerhetslagen.

Under gällande regelverk är Myndigheten för samhällsskydd och beredskap (”MSB”) Sveriges nationella CSIRT-enhet. Det bör däremot noteras att regeringen har gett en särskild utredare i uppdrag att utreda hur en överföring av arbetsuppgifter inom informations- och cybersäkerhet från MSB till Försvarets radioanstalt (”FRA”) kan genomföras. Det kan därmed komma att ske en förändring i val om CSIRT-enhet och utredningen ska redovisas senast den 1 juli 2025.

 

Tidsfrister för rapportering av betydande incidenter

Innebörden av betydande incidenter föreslår regleras närmare på förordnings- och föreskriftsnivå. Däremot preciseras tidsfristerna i den föreslagna cybersäkerhetslagen, som uppger att:

• En första upplysning (tidigare varning) ska lämnas så snart det kan ske, dock senast inom 24 timmar efter det att verksamhetsutövaren har fått kännedom om incidenten.
• En incidentanmälan ska göras så snart det kan ske. Verksamhetsutövare som tillhandahåller betrodda tjänster ska göra anmälan senast 24 timmar efter kännedom och övriga verksamhetsutövare senast 72 timmar efter kännedom.
• En slutrapport – alternativt en lägesrapport om incidenten fortfarande är pågående (som följs av en slutrapport inom en månad efter det att incidenten har hanterats) – ska lämnas senast en månad efter incidentanmälan.

Till skillnad från utredningen betonar regeringen att dessa tidsfrister är bortre gränser – rapportering av betydande incidenter ska med andra ord alltid ske så snabbt som möjligt.

 

Information till mottagarna av deras tjänster

Utöver rapportering av betydande incidenter till den myndighet som regeringen bestämmer kan även verksamhetsutövare behöva informera mottagarna av deras tjänster om en betydande incident som sannolikt inverkar negativt på tillhandahållandet av tjänsterna.

Till skillnad från utredningen framför dock lagrådsremissen att det:

• Inte ska införas ett krav på att information om den betydande incidenten ska ges till mottagare av tjänsterna samtidigt som en incidentanmälan görs (se ovan). I stället anger den föreslagna cybersäkerhetslagen att information ska lämnas så snart det kan ske.

Ska vara möjligt att göra en lämplighetsbedömning innan information ges, vilket uppges kunna resultera i att endast vissa mottagare behöver informeras om den betydande incidenten.

Cirios kommentar: Lagtextens ordalydelse om att upplysning och incidentanmälan ska göras ”så snart det kan ske” skapar visst tolkningsutrymme för att incidenter som har rapporterats senast inom de satta tidsfristerna ändå kan komma att anses ha rapporterats för sent. För att säkerställa efterlevnad av den föreslagna cybersäkerhetslagen bör verksamhetsutövare ha tydliga interna rutiner för incidentrapportering och kommunikation – inklusive ansvarsfördelning och tekniska stöd för skyndsam hantering.

Tillsyn och ingripanden

Den föreslagna cybersäkerhetslagen innehåller också bestämmelser om tillsyn och ingripandemöjligheter för verksamhetsutövare som inte följer lagens bestämmelser. Tillsynen ska utövas av de myndigheter som regeringen utser, och omfattar både regelbunden kontroll och möjlighet till ingripande vid brister.

Några förändringar som bör noteras jämfört med utredningen är:

• Regeringen föreslår att kostnadsansvaret för en riktad säkerhetsrevision som utförs av ett oberoende organ inte ska belasta verksamhetsutövaren, till skillnad från utredningens förslag.
• För viktiga verksamhetsutövare får tillsynsåtgärder endast vidtas när det finns anledning att anta att lagen, de föreskrifter som har meddelats i anslutning till lagen eller sådana rättsakter som har antagits med stöd av NIS2-direktivet inte följs. Detta är ett lägre krav än det som föreslogs i utredningen, som krävde befogad anledning att anta.

Regeringen föreslår att det i lagtexten tydligt ska framgå att förbud att inneha ledningsfunktion endast kan riktas mot befattningshavare hos väsentliga verksamhetsutövare.

Nästa steg

Lagrådsremissen har nu överlämnats till Lagrådet, som kommer att granska regeringens förslag till cybersäkerhetslag. Därefter väntas regeringen lämna en proposition till riksdagen. Riksdagen kommer slutligen att rösta om förslaget. Om en majoritet i riksdagen röstar för förslaget utfärdas den nya lagstiftningen i Svensk författningssamling, SFS.

Med tanke på att riksdagen har sommaruppehåll till den 9 september, är det troligt att en omröstning om förslaget till cybersäkerhetslag sker först under tidig höst.

Läs mer här (pressmeddelande från Försvarsdepartementet) och här (lagrådsremiss från Försvarsdepartementet)

 

 

Detta är en specialutgåva av vårt nyhetsbrev Data Privacy Report. Syftet med Data Privacy Report är att ge dig de senaste och mest relevanta nyheterna inom data, integritet och informationssäkerhet.

Varmt välkommen att prenumerera på vårt nyhetsbrev för regelbundna nyhetsuppdateringar genom att anmäla dig här.

 

För mer information, vänligen kontakta: