Cybersäkerhetslagen är här: från formell efterlevnad till operativ motståndskraft

Note: An English version of this blogpost is available here.

Processen för att implementera EU:s NIS2-direktiv har varit omfattande och komplex. Även om direktivet formellt har accepterats och publicerats på EU-nivå, återstår fortfarande arbete med de nationella föreskrifterna i Sverige. Genom hela denna process har Netnod bidragit med expertkunskap för att säkerställa att regelverket blir så korrekt som möjligt för digital infrastruktur. Vi går igenom den aktuella statusen, hur den offentliga sektorn påverkas och varför efterlevnad inte alltid är synonymt med faktisk säkerhet. 

Aktuell status och implementation i Sverige

Cybersäkerhetslagen (NIS2) syftar till att höja cybersäkerhetsnivån inom unionen och ersätter det tidigare NIS-direktivet. I likhet med många andra medlemsstater missade Sverige den ursprungliga deadline i oktober 2024. Lagförslaget antogs av riksdagen i december 2025 och började gälla den 15 januari 2026. Formellt sett är lagen och förordningarna på plats, men flertalet av de sektorspecifika föreskrifterna har ännu inte publicerats eller börjat tillämpas

Genom samrådsprocessen har Netnod aktivt argumenterat för att root server-operatörer inte bör inkluderas i direktivet på ett sätt som riskerar att fragmentera internet. Vår ståndpunkt är att lagstiftningen måste vara tydlig och ta hänsyn till internets tekniska funktion.

Offentlig sektor – samma behov av robusthet, oavsett sanktionsmodell

Cybersäkerhetslagen omfattar fler sektorer än tidigare, inklusive delar av offentlig förvaltning. För den offentliga sektorn innebär detta strängare krav på riskhanteringsåtgärder och incidentrapportering. En viktig diskussion rör dock frågan om sanktionernas tillämpning. I det svenska lagförslaget finns indikationer på undantag för offentlig sektor gällande vissa sanktioner jämfört med privata aktörer, vilket har varit ett debattämne under remissrundorna. Oavsett hur sanktioner och tillsyn exakt tillämpas i olika delar av offentlig sektor kvarstår kärnan: samhällsviktiga funktioner behöver robusta arbetssätt för riskhantering, incidentrapportering och kontinuitet.

Oavsett sanktionsregler är det avgörande att offentliga verksamheter säkerställer robusta processer, eftersom de utgör samhällsviktiga funktioner.

Förhållandet mellan Cybersäkerhetslagen och CER-direktivet

Parallellt med implementeringen av Cybersökerhetslagen pågår införandet av vad som kallas Lagen om motståndskraft hos kritiska verksamhetsutövare (LoM), dvs införlivandet av CER-direktivet, med fokus på bredare motståndskraft inklusive fysisk säkerhet och personalsäkerhet. Dessa direktiv benämns ofta som "systerdirektiv" men skiljer sig åt i fokus:

• Cybersäkerhetslagen (NIS2) fokuserar på cybersäkerhet och skydd av nätverks- och informationssystem.
   
• LoM fokuserar på fysisk säkerhet och motståndskraft, till exempel genom bakgrundskontroller av personal och fysiskt skydd av anläggningar.

LoM förväntas träda i kraft under 2026. I praktiken behöver flera aktörer samordna arbetet så att säkerhetsåtgärder, kontinuitet och krishantering hänger ihop i stället för att bli parallella “compliance-spår”. Det är viktigt att notera att digital infrastruktur i huvudsak är undantagen från LoM och regleras nästan uteslutande genom Cybersäkerhetslagen, medan andra sektorer kan behöva hantera båda direktiven parallellt.

Netnods perspektiv: mätbar effekt och operativ nytta

Inför omfattande nya regleringar finns en risk att fokus flyttas till administrativa processer. Vi vill betona den avgörande skillnaden mellan formell efterlevnad och faktisk operativ säkerhet. Netnod har i remissarbetet lyft vikten av att reglering bör leda till tydliga, mätbara förbättringar och inte enbart ökad ex-ante-administration, samt att krav behöver vara praktiskt genomförbara och stödja verklig riskreduktion. För digital infrastruktur är det särskilt viktigt att utformningen tar hänsyn till hur internet och digitala tjänster faktiskt byggs, driftas och samverkar över gränser.

En paradox kan lätt uppstå där en organisation formellt följer Cybersäkerhetslagen genom korrekt dokumentation och processer, men ändå upprätthåller en låg operativ cybersäkerhetsnivå. Omvänt kan en organisation ha extremt hög teknisk säkerhet men missa de administrativa kraven i Cybersäkerhetslagen.

I stället för att låta cybersäkerhet hamna i en separat administrativ 'silo' är det avgörande att hantera cybersäkerhet tillsammans med annan säkerhet och verksamhet för att uppnå faktiska operativa förbättringar. Det är viktigt att resurser inte enbart tilldelas att skriva rapporter och styrdokument (ex-ante åtgärder) på bekostnad av den faktiska tekniska förmågan att stå emot och hantera incidenter. Efterlevnad av Cybersäkerhetslagen bör leda till verkliga operativa förbättringar, inte enbart till en ökad administrativ börda.

Här följer några förslag för att underletta ert arbete med Cybersäkerhetslagen:

1. Kom ihåg att cybersäkerhet är en del av praktiskt taget allt idag. Du kan inte hantera cybersäkerhet som en separat vertikal i din organisation.
    
2. Se över incidentrapporteringen: är era processer uppdaterade till att följa Cybersäkerhetslagen? Säkerställ att ni förstår den faktiska processen för att skicka in en incidentrapport. Behöver du en speciell PGP-nyckel? Behöver du förbereda en viss typ av dokument? Har du instruktionerna för att skicka in en incidentrapport tillgängliga offline? Kan du rapportera via fast telefon? Vet du vilken webbsida eller e-postadress du ska använda för rapportering?
    
3. Allokera resurser: Ett väl utformat ledningssystem för efterlevnad kommer sannolikt att leda till förbättringsåtgärder. Ni måste inte bara utforma dessa åtgärder, ni måste också implementera och hantera dem.
    
4. Gällande operativa förbättringar föreslår vi att ni ser över era existerande beroenden. Vad är ni beroende av för att upprätthålla er servicenivå eller funktion? Vilka beroenden kan ersättas i en nödsituation, och vilka kan inte det? Tänk speciellt på cyberfysiska beroenden, inkluderat när digitala system påverkar fysiska system som inpassering, upplåsning av medicinskåp eller jourbilar, osv.

Stärk operativ motståndskraft: Hur Netnod kan hjälpa till

Netnod har omfattande erfarenhet av att driva kritisk infrastruktur med de högsta kraven på tillgänglighet och säkerhet. Vi kan stötta verksamheter som omfattas av Cybersäkerhetslagen med att omsätta krav till praktiskt genomförande i drift och förvaltning med fokus på beroenden, incidentförmåga och kontinuitet. 

Hör gärna av er om ni vill ta ett första avstämningsmöte och ringa in behov och nästa steg. Vi hjälper er att säkerställa att ni inte bara uppfyller Cybersäkerhetslagens krav på papperet, utan lever upp till dem i praktiken.