Tuffare krav på företag och myndigheter att stoppa cyberattacker

Riksdagen har den 10 december 2025 fattat beslut om en ny omfattande lag som kallas cybersäkerhetslagen. Det här är ett beslut som påverkar hur säkert vårt digitala samhälle är i grunden. Tänk dig en vardag där inget fungerar som det ska. Bussen går inte, det kommer inget vatten ur kranen, sjukhusen kan inte komma åt sina journaler och du kan inte betala med din mobil. Det låter kanske som en film, men det är precis den typen av kaos som allvarliga cyberattacker kan orsaka. För att förhindra detta har politikerna nu bestämt att vi behöver strängare regler i Sverige. Lagen bygger på ett EU-direktiv som heter NIS 2. Ett direktiv är en sorts regelbok från EU som alla medlemsländer måste följa genom att skriva in det i sina egna lagböcker. Den nya svenska lagen ersätter en gammal lag, men den stora skillnaden är att den nya lagen omfattar många fler företag och organisationer. Det handlar inte bara om militären eller polisen, utan om verksamheter som vi är beroende av varje dag. Lagen pekar ut sektorer som energi, transporter, bankverksamhet, sjukvård, dricksvatten och digital infrastruktur. Även företag som driver stora sökmotorer och sociala nätverkstjänster omfattas om de är tillräckligt stora. Vad innebär då lagen i praktiken? De företag och myndigheter som omfattas måste bli mycket bättre på att skydda sina nätverk och datasystem. Det kallas för att vidta säkerhetsåtgärder. Det kan handla om tekniska saker som bättre brandväggar och kryptering, men också om rutiner som att utbilda personalen så att de inte råkar släppa in virus i systemen eller klickar på farliga länkar. En viktig nyhet är att cheferna högst upp i organisationerna, till exempel styrelsen och verkställande direktören, får ett tydligare ansvar. De måste gå utbildningar i cybersäkerhet och se till att reglerna följs. Om en attack ändå sker, eller om något går sönder så att en viktig tjänst slutar fungera, ställer lagen hårda krav på rapportering. Organisationen måste varna myndigheterna inom 24 timmar om de upptäcker en betydande incident. Det är för att staten snabbt ska få en överblick och kunna varna andra så att inte fler drabbas av samma problem. Därefter ska en mer utförlig rapport skickas in inom 72 timmar. För att se till att lagen tas på allvar införs möjligheter till kännbara straff. Om ett företag slarvar med säkerheten eller struntar i att rapportera en incident kan de tvingas betala stora summor i så kallade sanktionsavgifter. Det fungerar ungefär som böter, men för stora företag kan det handla om belopp på många miljoner kronor. Det finns till och med en möjlighet att förbjuda chefer att ha ledande positioner om de har misskött sig grovt. Beslutet i riksdagen föregicks av diskussioner. Även om utskottet i stort var överens om att lagen behövs, fanns det invändningar från flera partier (S, V, C och MP). De hade så kallade reservationer där de bland annat påpekade att kommuner och regioner kan behöva mer pengar för att klara av de nya kraven, och att det måste vara tydligt vilka småföretag som egentligen omfattas. Trots detta röstades huvudförslaget igenom, delvis genom votering där ledamöterna röstar ja eller nej, och delvis genom acklamation där talmannen avgör beslutet genom att lyssna på ledamöternas rop. Den nya cybersäkerhetslagen börjar gälla den 15 januari 2026. Syftet är att skapa ett starkare skydd för hela Sverige. I en orolig omvärld där digitala hot blir allt vanligare är detta ett sätt att bygga en digital mur runt våra viktigaste samhällsfunktioner.