Förberedelser för en ny cybersäkerhetslag i Sverige

Den 4 september har regeringen gett uppdrag till Myndigheten för samhällsskydd och beredskap (MSB) samt Post- och telestyrelsen (PTS) att förbereda inför NIS 2-direktivets genomförande. Dessa uppdrag syftar till att säkerställa en effektiv nationell implementation av direktivet. I en tidigare lagrådsremiss föreslår regeringen en ny cybersäkerhetslag för att införliva direktivet i svensk lagstiftning.

Båda myndigheterna, MSB och PTS, spelar en central roll i arbetet med cybersäkerhet och genomförandet av NIS 2-direktivet. Regeringen betonar vikten av att dessa aktörer förbereder sig inför implementeringen.
– Sveriges cybersäkerhet är någonting som angår alla. Därför är det angeläget att vi får på plats en lag som tydliggör förväntningarna på verksamhetsutövare, både vad gäller förberedande åtgärder och rapportering vid incidenter. I och med de uppdrag som vi idag har beslutat om till MSB och PTS så förbereder vi för införandet av den lagen, säger hon.

Minister för civilt försvar Carl-Oskar Bohlin säger också att
– Utan ett starkt cybersäkerhetsarbete hotas viktiga tjänster såsom kortbetalningar, e-post, SMS eller elektronisk identifiering. Näringslivet och offentliga aktörer gör redan ett stort arbete för att skydda Sverige. Genom att myndigheterna förbereder för den nya cybersäkerhetslagen kan vi bättre möta fler risker, säger han.

Uppdraget till MSB innebär att myndigheten ska utveckla ett nationellt anmälningssystem för de verksamhetsutövare som omfattas av NIS 2-direktivet. MSB ska även skapa en förteckning över både väsentliga och viktiga verksamhetsutövare, samt de som erbjuder domännamnsregistreringstjänster. Dessutom ska myndigheten förbereda sig för att meddela föreskrifter inom flera områden, exempelvis anmälningsskyldighet och säkerhetsåtgärder. Uppdraget ska redovisas senast den 15 januari 2026 till Försvarsdepartementet.

PTS kommer att få uppdraget att förbereda föreskrifter om säkerhetsåtgärder, definiera vad som klassificeras som en betydande cybersäkerhetsincident samt kommunikationsskyldighet vid sådana incidenter och cyberhot. Myndigheten ska även förbereda sig för att föra register över domännamn. Detta uppdrag omfattar flera digitala sektorer som ingår i NIS 2-direktivet och ska redovisas senast den 15 januari 2026 till Finansdepartementet.