På regeringssammanträdet på torsdag den 12 juni 2025 beslutade regeringen om lagrådsremissen för en ny cybersäkerhetslag (som implementerar NIS2-direktivet i svensk rätt). Det är glädjande att regeringen i flera delar lyssnat på Certezza och genomfört nödvändiga ändringar och förtydliganden. Självklart finns det mycket kvar att jobba med och vi som arbetar med detta kan ha synpunkter på detaljer. Samtidigt är det skönt att denna viktiga milstolpe har nåtts. Lagen föreslås träda i kraft den 15 januari 2026.
Syftet är att nå en hög nivå av cybersäkerhet i samhället
Utredningens förslag var att syftet med lagen är att uppnå en hög cybersäkerhetsnivå. Eftersom utredningens föreslagna syfte saknar subjekt blir det svårt att för verksamhetsutövare att veta vad fokus för regleringen är. Men regeringen anser, i likhet med Certezza, att lagens syfte bör vara att uppnå en hög nivå av cybersäkerhet i samhället. Sveriges cybersäkerhet påverkas av ett antal sårbarheter som kan ha olika ursprung och manifestera sig inom ett antal områden. Dessa sårbarheter kan samlat eller var för sig utgöra strategiska sårbarheter i ett digitaliserat samhälles cybersäkerhetslandskap och riskera att påverka samhällsviktig verksamhet och ytterst Sveriges säkerhet.
Förtydligande av definitioner
Regeringen anser att definitionerna i den nya lagen som utgångspunkt bör motsvara definitionerna i direktivet. Detta är klokt eftersom vi med största sannolikhet kommer att få se en EU-förordning om detta inom ett antal år och då blir definitionerna ändå såsom de formulerats i EU-regelverket, jfr t.ex. definitionen av cybersäkerhet. Ett viktigt förtydligande görs rörande leverantörer av hanterade säkerhetstjänster – det krävs att de även är en leverantör av utlokaliserade driftstjänster, något som Certezza uppmärksammade regeringen på.
Verksamhetsutövare omfattas som huvudregel i sin helhet
En viktig fråga där regeringen nu satt ned foten är för verksamhetsutövare som bedriver verksamhet inom flera områden varav endast någon eller några av dessa områden faller in under de sektorer som föreslås omfattas av lagen.
Det innebär t.ex. att kommunala skolor kommer att omfattas av regelverket trots att skolverksamheten inte faller in under någon av de sektorer som direktivet räknar upp. Privata skolor omfattas däremot inte av regelverket.
Samtidigt undantas de delar av en verksamhet som omfattas av säkerhetsskyddslagens tillämpningsområde liksom kommunernas och regionernas fullmäktige samt kommunförbundens fullmäktige och direktion.
Undvik onödigt detaljerade lagbestämmelser
Regeringen delar Certezzas uppfattning att vad som ska ingå i en anmälan till tillsynsmyndigheten om att man bedriver verksamhet som omfattas av lagen bör regleras på en lägre författningsnivå än i lag. Olika tillsynsmyndigheter kommer att ha olika behov av information från de verksamhetsutövare som de ska utöva tillsyn över.
Använda etablerade begrepp – säkerhetsåtgärder istället för riskhanteringsåtgärder
Även om regeringen anser att det är bäst med direktivnära definitioner anser den i likhet med Certezza att uttrycket säkerhetsåtgärder är väl etablerat på området och fortsättningsvis bör användas i den nya lagen.
Säkerhetsåtgärderna ska tydligt anges i lag
Utredningen hade tagit bort vissa av de säkerhetsåtgärder som fanns uppräknade i direktivet, bland annat kravet på utbildning. Regeringen anser, likt Certezza, att dessa krav dock bör framgå uttryckligen av lagen.
Kvantitativa och erfarenhetsbaserade riskanalyser blir nu också något att beakta
Riskanalyser ska ligga till grund för valet av säkerhetsåtgärder. Regeringen delar Certezzas bild av att verksamhetsutövare bör ta hänsyn till att det finns olika modeller för riskanalys såsom exempelvis kvantitativa riskanalyser. Kanske kan vi börja röra oss bort från konsekvens- och sannolikhetsskalor mellan 1 och 5…
Förtydligande av begreppet allriskperspektiv
Certezza efterlyste ett förtydligande av begreppet allriskperspektiv och regeringen levererade. Allriskperspektivet innebär, menar regeringen, att verksamhetsutövare ska sträva efter att bedöma alla risker för systemen som ska skyddas och att analysera alla möjliga orsaker till att en risk realiseras. Något närmare förtydligande av innebörden krävs inte i lagen – så för förståelse kommer man att behöva titta i propositionen.
Inget krav på dokumentation av säkerhetsåtgärderna
Även om regeringen anser att dokumentation är en naturlig del av cybersäkerhetsarbetet vill inte regeringen se ett generellt dokumentationskrav i lagen såsom Certezza hade föreslagit. Samtidigt kan det bli svårt för den som inte har lämplig dokumentation att visa för tillsynsmyndigheten att de uppfyller kraven.
Förbudet att utöva ledningsfunktion måste vara knuten till befattning och inte till person
Utredningens förslag var att tillsynsmyndigheten skulle kunna ingripa mot en person i verksamhetsutövarens ledning. Regeringen anser i likhet med Certezza att ingripandet istället bör vara kopplat till den befattning med ledningsansvar som en viss person innehar. En person kan ha flera befattningar och det bör kunna vara möjligt för personen att fortsätta agera hos verksamhetsutövaren i en annan befattning till dess beslutet upphävs.
Antalet föreskrivande myndigheter
Certezza uttryckte oro över att det var så många föreskrivande myndigheter som beslutade regler om säkerhetsåtgärder. Här finns anledning att vara försiktigt positiv. I 2 kap. 14 § i förslaget till ny cybersäkerhetslag delar regeringen tydligt upp föreskriftsrätten för säkerhetsåtgärderna och övriga delar såsom incidentrapportering m.m. i två olika stycken. Det kan (men behöver inte) tyda på att regeringen tänker sig att en myndighet ensamt ska besluta om föreskrifter rörande säkerhetsåtgärder. Annars torde det saknas anledning att dela upp bestämmelsen på det föreslagna sättet:
”2 kap. Verksamhetsutövarens skyldigheter
Bemyndigande
14 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om utbildning, incidentrapportering, informationsskyldighet och register enligt 4–12 §§.
Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsåtgärder enligt 3 §.”
Hur det slutligen blir får vi se i den förordning i anslutning till lagen som regeringen kommer att besluta och publicera senare under året.
Här kan du läsa mer om den återkoppling som Certezza lämnade till regeringen:
Certezza återkopplar till regeringen om implementeringen av NIS2