Tillsyn av cybersäkerhet
För att stärka Sveriges cybersäkerhet måste samhällsviktiga verksamheter följa cybersäkerhetslagen. Verksamheter som omfattas av lagen ska anmäla sig till Myndigheten för civilt försvar och genomföra åtgärder för att höja säkerheten. Länsstyrelsen och andra utsedda tillsynsmyndigheter kontrollerar att lagen följs.
Bedöm och anmäl din samhällsviktiga verksamhet
Det finns ingen sammanställning som visar exakt vilka verksamheter som räknas som samhällsviktiga. Varje verksamhetsutövare behöver därför på egen hand göra en bedömning om verksamheten är samhällsviktig och därmed omfattas av cybersäkerhetslagen.
Om du bedömer att din verksamhet är samhällsviktig anmäler du den till Myndigheten för civilt försvar.
Skyldigheter för att möta krav på cybersäkerhet
Samhällsviktiga verksamheter inom vissa utpekade sektorer behöver genomföra åtgärder för att höja cybersäkerheten. Bland annat behöver verksamhetsutövarna analysera risker, genomföra säkerhetsåtgärder, utbilda ledning och personal samt, vid behov, rapportera betydande incidenter.
Länsstyrelsen kontrollerar att lagkraven följs
Det finns flera tillsynsmyndigheter för cybersäkerhetslagen. Bland annat sex länsstyrelser i Sverige: Länsstyrelserna i Norrbotten, Stockholm, Skåne, Västra Götaland, Örebro och Östergötland. Dessa länsstyrelser har ett ansvar för att kontrollera att vissa utpekade verksamhetsutövare följer cybersäkerhetslagens krav och föreskrifter inom sitt geografiska ansvarsområde.
Länsstyrelsen i Norrbottens län har tillsynsansvar för verksamhetsutövare inom Jämtland, Norrbotten, Västerbotten och Västernorrlands län.
Kontakta Länsstyrelsen i Norrbottens län via e-post
Länsstyrelsen i Örebro län har tillsynsansvar för verksamhetsutövare inom Dalarna, Gävleborg, Södermanland, Uppsala, Värmland, Västmanland och Örebro.
Kontakta Länsstyrelsen i Örebro län via e-post
Länsstyrelsen Stockholm har tillsynsansvar för verksamhetsutövare inom Stockholm och Gotlands län.
Kontakta Länsstyrelsen i Stockholms län via e-post
Länsstyrelsen i Östergötlands län har tillsynsansvar inom Jönköping, Kalmar och Östergötlands län.
Kontakta Länsstyrelsen i Östergötlands län via e-post
Länsstyrelsen Västra Götaland har tillsynsansvar för verksamhetsutövare inom Halland och Västra Götaland.
Kontakta Länsstyrelsen i Västra Götalands län via e-post
Länsstyrelsen Skåne har tillsynsansvar för verksamhetsutövare inom Blekinge, Kronoberg och Skåne.
Utöver Länsstyrelserna är följande myndigheter tillsynsmyndigheter för olika sektorer:
- Energimyndigheten ansvarar för tillsyn inom energisektorn.
- Transportstyrelsen ansvarar för tillsyn inom transportsektorn.
- Finansinspektionen ansvarar för tillsyn inom bankverksamhet och finansmarknadsinfrastruktur.
- Inspektionen för vård och omsorg ansvarar för tillsyn av vårdgivare inom hälso- och sjukvårdssektorn.
- Läkemedelsverket ansvarar för tillsyn av tillverkning inom hälso- och sjukvårdssektorn.
- Livsmedelsverket ansvarar för tillsyn inom verksamhetsutövare inom avloppsvatten, dricksvatten samt produktion, bearbetning och distribution av livsmedel.
- Post- och telestyrelsen ansvarar för tillsyn över verksamhetsutövare inom Digital infrastruktur, digitala leverantörer, förvaltning av IKT-tjänster, post- och budtjänster, rymden. Post- och telestyrelsen ansvarar även för tillsyn av länsstyrelserna.
Verksamhetsutövare som Länsstyrelsen har tillsyn över
Länsstyrelserna ansvarar för tillsyn av verksamhetsutövare inom offentlig förvaltning samt verksamheter som kategoriseras som medelstora företag eller större inom följande sektorer:
- avfallshantering
- forskning
- tillverkning, produktion och distribution av kemikalier
- tillverkning av datorer, elektronikvaror, optik, elapparatur och övriga maskiner
- enskilda utbildningsanordnare med tillstånd att utfärda examina.
Kategorin "medelstora företag" omfattar företag som sysselsätter minst 50 personer och vars årsomsättning eller balansomslutning överstiger 10 miljoner euro per år. Den fullständiga definitionen av medelstora företag finns att ta del av i EU-kommissionens rekommendation:
EU:s rekommendation om definitionen av mikro, små och medelstora företag Länk till annan webbplats.
Du kan även läsa om definitionen på sidan 17 i Myndigheten för civilt försvars vägledning:
Verksamhetsutövare som omfattas inom offentlig förvaltning
I korthet omfattas kommuner, regioner, kommunalförbund och vissa statliga myndigheter inom sektorn offentlig förvaltning. Kommunfullmäktige och regionfullmäktige omfattas inte.
De statliga myndigheter som omfattas är de som räknas som beredskapsmyndigheter. Även myndigheter med befogenhet att fatta beslut som påverkar fysiska eller juridiska personers rättigheter när det gäller gränsöverskridande rörlighet för personer, varor, tjänster eller kapital omfattas.
Vissa myndigheter är dock undantagna enligt cybersäkerhetslagen, till exempel myndigheter som i huvudsak bedriver brottsbekämpande eller säkerhetskänslig verksamhet.
Undantagna myndigheter i 1 kap. 12 § av cybersäkerhetslagen Länk till annan webbplats.
Om cybersäkerhetslagen och direktivet
Cybersäkerhetslagen trädde i kraft den 15 januari 2026. Lagen bygger på EU:s NIS2-direktiv (Network and Information Systems Directive 2), som syftar till att stärka cybersäkerheten inom hela EU. För verksamhetsutövare som bedriver verksamhet i Sverige är det den svenska lagen och tillhörande förordning som gäller.
Föreskrifter utifrån lagen och förordningen kommer att tas fram. Det är Myndigheten för civilt försvar och Post- och telestyrelsen som ansvarar för att utfärda dessa. Bland annat gällande anmälan och identifiering, säkerhetsåtgärder och incidentrapportering. När föreskrifterna är beslutade kommer du att hitta dem på deras webbplatser.
Så ser NIS2-regleringen ut, Myndigheten för civilt försvar Länk till annan webbplats.