Det här är Cybersäkerhetslagen
(Förkortat CSL)
Komplett guide om Cybersäkerhetslagen (CSL). Publicerad 17 December 2024.
Vad är cybersäkerhetslagen (CSL)
och NIS2 direktivet?
NIS2 är ett EU-direktiv som fungerar som en bindande rättsakt för alla EU-medlemsstater medans cybersäkerhetslagen (CSL) är den svenska nationella lagen som implementerar själva NIS2 direktivet.
Cybersäkerhetslagen – En djupdykning i Sveriges nya ramverk för cybersäkerhet
Bakgrund till Cybersäkerhetslagen och NIS2-direktivet
Den digitala utvecklingen har medfört enorma fördelar för samhällen och verksamheter över hela världen. Men med denna utveckling har också hotbilderna förändrats och intensifierats. Cyberattacker, dataintrång och ransomware-kampanjer har blivit vardag för många organisationer. För att bemöta dessa utmaningar och skapa en enhetlig nivå av cybersäkerhet inom EU infördes det så kallade NIS-direktivet (“Nätverk och Informationssystem”) 2018.
Medan det ursprungliga NIS-direktivet satte en viktig grund, identifierades flera brister, bland annat osäkerhet kring vilka sektorer och aktörer som omfattades samt otillräckliga sanktionsmöjligheter. För att lösa dessa problem och hantera de ständigt växande cyberhoten beslutade EU om NIS2-direktivet, som nu får en central roll i svensk lagstiftning genom Cybersäkerhetslagen.
Den nya Cybersäkerhetslagen föreslås träda i kraft under 2025 och syftar till att förstärka skyddet av Sveriges kritiska infrastruktur och digitala resurser.
Vad är Cybersäkerhetslagen?
Cybersäkerhetslagen är Sveriges svar på NIS2-direktivet och ska ersätta den tidigare NIS-lagen. Lagen syftar till att öka robustheten hos samhällsviktiga verksamheter och tjänster genom skärpta krav på informationssäkerhet och incidentrapportering. Huvudsyftena är:
-
Att skapa en högre och mer enhetlig nivå av cybersäkerhet inom EU.
-
Att skydda samhällsviktiga tjänster och digital infrastruktur mot cyberhot.
-
Att förtydliga ansvarsområden och säkerställa efterlevnad genom skarpare sanktionsåtgärder.
Vilka omfattas av Cybersäkerhetslagen?
En av de mest påtagliga förändringarna som Cybersäkerhetslagen medför är att antalet sektorer som omfattas utökas från 7 till 18. Detta innebär att fler verksamheter nu måste följa de regler och krav som ställs i lagen.
Exempel på sektorer som omfattas:
Energi
– Försäljning, framställning inkl. olja och gas
Transport
– Transport och godstrafik: Land-, luft och hav
Post och budtjänster
– Alla typer av post och budföretag
Häla- och sjukvård
– Privata och offentliga vårdgivare, inkl. hemtjänst, LSS m.fl.
Bankverksamhet
– Banker, kreditmarknadsinstitut, systemleverantörer, försäkringsbolag, kapitalbolag
Finansmarknadsinfrastruktur
– System, konsulter och liknande lösningar som används.
Offentlig förvaltning
– Alla typer av offentlig förvaltning, utom Riksbank, regering, Säpo etc.
Dricksvatten och Avloppsvatten
– Rening och försörjning, även VVS företag kan omfattas indirekt
Digitala tjänster
– Molntjänster, handelsplattformar, sökmotorer, DNS-tjänster
Livsmedelssektorn
– Från produktion till förädling, grossist och försäljning (butik)
Forskning och Utbildning
– Inkl. lärosäten med examenstillstånd
Återvinning och Retur
– Företag med minst 50% av verksamheten inom återvinning/retur, inkl. industrihantering.
Tillverkning
– Från fordonsindustri (Land, luft, hav, trailers, bilar) till elektriska och mekaniska maskiner, inkl. reservdelar och tillbehör till en rad olika industrier. Gäller även indirekt omfattning.
Kemikalier
– Alla typer av kemikalieföretag, från industrimedel till krämer och KEM i detaljhandeln.
Lagen omfattar även verksamheter i den offentliga sektorn, som myndigheter, regioner och kommuner. Undantag görs dock för vissa aktörer, såsom regeringen, Riksrevisionen och Sveriges Riksbank.
Hur och när omfattas man av Cybersäkerhetslagen (CSL) ?
För att omfattas av Cybersäkerhetslagen behöver din verksamhet antingen vara kommunal eller inom offentlig förvaltning. Eller träffas av minst två punker från kraven nedan.
– Ha minst 50 anställda ELLER omsätta över 100 MSEK per år.
Så om du träffas av en sektor och omsätter över 100 MSEK per år, då omfattas ni av CSL / NIS2.
Exempel: FinTech Bolag omsätter +100 MSEK / År och har 14 anställda = Omfattas av CSL.
Exempel: Åkeri omsätter 50 miljoner och har 51 anställda = Omfattas av CSL.
Exempel: VVS företag har avtal med kommunen inom vatten/avlopp = Omfattas av CSL
Den indirekta omfattningen är 10 gånger större som den direkta omfattningen. Varför?
Den indirekta omfattningen är den största omfattningen, det är beräknat att 3X så många kommer omfattas indirekt av Cybersäkerhetslagen som den direkta omfattningen.
Exempel: IT-byrån XYZ AB levererar IT-support till Arvika Vatten AB = Omfattas av CSL
Exempel: Städbolaget XYZ AB levererar renhållning till viktig tillverkning = Omfattas av CSL
Exempel: Ekonomibolaget XYZ AB är extern byrå till livsmedelsbolag = Omfattas av CSL
Organisationer som omfattas av Cybersäkerhetslagen måste i sin tur kartlägga sina leverantörer av viktiga tjänster, alltså föra samma arbete som de organisationerna som omfattas av Cybersäkerhetslagen. Syftet med detta är att kedjan från stora till små bolag ska kunna tåla större störningar utan att helheten eller specifika delar påverkas. Därför är det viktigt att alla tar ansvar.
Om en incident skulle inträffa ska samtliga organisationer som ingår i denna kedja anmäla incidenten. Antingen till sin beställare eller till berörd myndighet. Kritiska och väsentliga entiteter har olika typer av tillsyn men slutsatsen i Cybersäkerhetslagen är att alla organisationer och företag alltid ska tåla en granskning om något skulle inträffa. Med anledning av denna tillsyn är det av yttersta vikt att frågan om Cybersäkerhetslagen hanteras noggrant, prioriterat och seriöst.
Därför är även vårt system från IntegritySpot som hanterar allt inom compliance och regelefterlevnad inom Cybersäkerhetslagen och GDPR kostnadsfritt för leverantörer som behöver grundläggande funktionalitet när dom ska kartlägga sin leverantörskedja.
Mycket av grunderna inom Cybersäkerhetslagen hittar man även i Dataskyddsförordningen (GDPR) vilket gör det naturligt att hantera båda lagarna i samma system, eftersom att dom på sätt och vis bygger på-, och harmoniserar med varandra.
Cybersäkerhetslagen
Cybersäkerhetslagen inför tydliga krav som verksamhetsutövare måste uppfylla för att säkerställa informations- och cybersäkerheten i sin organisation. De viktigaste punkterna inkluderar:
1. Systematiskt och riskbaserat informationssäkerhetsarbete
Alla organisationer som omfattas av lagen måste bedriva ett långsiktigt, metodiskt och kontinuerligt informationssäkerhetsarbete. Det innebär:
-
Identifiera och analysera risker kopplade till informationssystem och nätverk.
-
Skydda informationens tillgänglighet, autenticitet, riktighet och konfidentialitet.
-
Upprätta tydliga ansvarsfördelningar för cybersäkerhetsarbetet.
2. Incidenthantering och rapportering
Verksamhetsutövare ska ha rutiner för att upptäcka, hantera och rapportera incidenter. Rapporteringsskyldigheten är skärpt jämfört med tidigare regler:
-
Incidenter som påverkar tjänsters kontinuitet ska rapporteras till berörd tillsynsmyndighet inom 24 timmar.
-
Incidentrapporter ska inkludera information om orsaken, omfattningen och vilka åtgärder som vidtagits.
3. Leverantörskedjans säkerhet
Eftersom många cyberattacker riktas mot leverantörskedjor är det nu krav på att verksamheter ska säkerställa att deras leverantörer uppfyller cybersäkerhetskrav. Detta inkluderar:
-
Granskning och kravställning vid upphandling av IT-system och tjänster.
-
Löpande uppföljning av leverantörernas cybersäkerhet.
4. Sanktioner och ansvarsutkrävande
För att säkerställa efterlevnad införs skärpta sanktionsmöjligheter. Myndigheter kan utfärda betydande böter till organisationer som inte uppfyller lagens krav. Maximal bötesnivå uppgår till 2 % av den globala omsättningen eller 10 miljoner euro, beroende på vilket belopp som är högst.
5. Utbildning och ledningens ansvar
Ledningen är ansvarig över Cybersäkerhetslagen, om ledningen inte bär sitt ansvar där den egna samt leverantörer följer kraven kan ledningen hållas direkt ansvarig vilket i värsta fall innebär ett direktverkande näringsförbud. Det är även ledningens ansvar att utbilda relevant personal.
6. Säkerhetsmekanismer
Säkerhetsmekanismer är en central del i Cybersäkerhetslagen. Detta innebär att varje organisation som omfattas direkt eller indirekt ska antingen förtydliga eller implementera säkra säkerhetsmekanismer. Detta handlar om allt ifrån brandväggar, IP-lås för utomstående (blacklist/whitelist) men även funktioner som MFA för alla anställda, lösenordspolicys och policys inom cyberhygien – Till faktiska övervakningssystem som kan ge din organisation direkta notiser och insyn om en incident, läcka eller attack skulle inträffa.
Praktiska steg för att efterleva Cybersäkerhetslagen
Om din organisation omfattas av Cybersäkerhetslagen finns det flera konkreta steg att ta för att uppfylla lagens krav och skapa en hållbar cybersäkerhetsstrategi.
-
Utför en verksamhetsanalys: Börja med att kartlägga vilka delar av verksamheten som omfattas av lagen. Identifiera kritiska tjänster, system och informationsflöden.
-
Utse en ledningsgrupp: Det är ledningens ansvar att Cybersäkerhetslagen följs. Ledningen kan fördela ansvar mellan personal inom HR, ekonomi och IT som generellt sett har en bra insyn och förståelse inom informationsflöden och systemens säkerhetsmekanismer.
-
Genomför en riskanalys: Analysera potentiella hot och sårbarheter i verksamheten. Utvärdera konsekvenserna av olika typer av incidenter. Detta gäller även alla viktiga leverantörer, oavsett om dessa är fysiska eller digitala.
-
Implementera ett ledningssystem för informationssäkerhet (ISMS): Ett ISMS enligt standarden ISO 27001 kan vara ett effektivt ramverk för att säkerställa att informationssäkerhetsarbetet bedrivs strukturerat och är förankrat i verksamheten. Vårt ISMS system från IntegritySpot har en rad funktioner som hjälper er att följa Cybersäkerhetslagen, kartlägga alla leverantörer – men också när ni ska övervaka data, läckor och incidenter.
-
Utbilda medarbetarna Cybersäkerhet är inte bara en teknisk fråga – det handlar även om människor. Säkerställ att alla medarbetare är medvetna om sina roller och ansvar i cybersäkerhetsarbetet.
-
Utveckla incidenthanteringsrutiner Skapa tydliga rutiner för hur incidenter ska upptäckas, hanteras och rapporteras. Testa rutinerna regelbundet genom övningar och simuleringar.
-
Samarbeta med experter Om er organisation saknar egen expertis inom cybersäkerhet kan det vara värdefullt att anlita konsulter eller samarbeta med specialiserade företag.
Slutsats & IntegritySpot:s funktioner som följer Cybersäkerhetslagen.
Cybersäkerhetslagen markerar ett viktigt steg framåt för att skydda Sveriges digitala ekosystem. Genom att införa tydligare regler och skärpta krav bidrar lagen till att minska risken för allvarliga cyberincidenter och stärker samhällets motståndskraft.
Vårt system från Integrityspot hjälper organisationer att leva upp till cybersäkerhetslagens alla krav, från hantering av roller där ledningen får direkt insyn även om lagen efterlevs genom arbete av personal från HR, ekonomi och IT – Samtidigt som alla leverantörer kartläggs och hanteras enligt lagens krav direkt i systemet. Det finns även tillgång till över +40 olika policys, ramverk och avtal som ni enkelt lägger till för en enskild leverantör, det går att redigera alla färdiga mallar där dom enkelt delas med en kund, antingen per länk eller i PDF.
Systemet övervakar även läckor på internet hos tredje part och direkt från ert företag. Om en läcka, incident eller hackerattack skulle ske där information blir kapad från er information, då får ni notiser direkt genom systemet i alla era enheter. Vi som företag kan också utföra penetrationstester och nätfisketester – utöver att tillhandahålla våra konsulttjänster innan, under och efter er årliga revision.