Verksamheters skyldigheter inom cybersäkerhet
Samhällsviktiga verksamheter inom vissa utpekade sektorer behöver genomföra åtgärder för att höja cybersäkerheten. Bland annat behöver verksamhetsutövarna säkerställa att verksamheten analyserar risker, genomför säkerhetsåtgärder och rapportera betydande incidenter.
Som verksamhetsutövare ansvarar du för att verksamheten arbetar systematiskt med cybersäkerhet. Det innebär att du ska se till att verksamheten:
- analyserar risker
- genomför säkerhetsåtgärder
- rapporterar betydande incidenter
- utbildar ledning och personal
- följer upp cybersäkerhetsarbetet.
Arbetet ska anpassas efter din verksamhets storlek, risker och förutsättningar.
Rapportera incidenter som påverkar samhällsviktiga tjänster
Din verksamhet har en skyldighet att rapportera alla betydande incidenter till Myndigheten för civilt försvar. Du som verksamhetsutövare ska rapportera:
- en första upplysning incidenten inom 24 timmar
- en fullständig incidentanmälan inom 72 timmar
- en slutrapport inom en månad efter att du skickat in din incidentanmälan.
Du kan också vid begäran behöva skicka en delrapport med statusuppdateringar om incidenten till er verksamhets tillsynsmyndighet.
En incident anses vara betydande om den orsakar eller riskerar att orsaka en
- allvarlig driftsstörning för den erbjudna tjänsten
- ekonomisk skada för den berörda verksamhetsutövaren,
- betydande skada som påverkar eller kan påverka andra fysiska eller juridiska personer.
Gör en riskanalys
Du som verksamhetsutövare ska se till att behovet av cybersäkerhetsåtgärder utreds inom din verksamhet genom en riskanalys. Riskanalysen är grunden för cybersäkerhetsarbetet och hjälper verksamheten att arbeta systematiskt samt att vidta effektiva och proportionerliga säkerhetsåtgärder. Som hjälp för att göra en riskanalys har Myndigheten för civilt försvar ett metodstöd för informationssäkerhet:
Metodstöd för informationssäkerhetsarbete, Myndigheten för civilt försvar Länk till annan webbplats.
Planera och genomför säkerhetsåtgärder
Myndigheten för civilt försvars kommer att ta fram föreskrifter om säkerhetsåtgärder under 2026. Föreskrifterna kommer att ange en mer detaljerad miniminivå för vilka säkerhetsåtgärder som behöver vidtas av verksamhetsutövare.
Även om föreskrifterna ännu inte är framtagna är det viktigt att din verksamhet redan nu påbörjar arbetet med cybersäkerhet. I väntan på föreskrifter kan det vara lämpligt att utgå från lagens formulering samt Myndigheten för civilt försvars metodstöd:
Metodstöd för informationssäkerhetsarbete, Myndigheten för civilt försvar Länk till annan webbplats.
Enligt cybersäkerhetslagen ska verksamheter vidta lämpliga och anpassade tekniska, organisatoriska och driftrelaterade åtgärder för att skydda sina it-system och den fysiska miljö där tjänster och system finns. Skyddet ska minska risken för störningar och incidenter i verksamheten.
Om din verksamhet ser behov av att stärka cybersäkerheten enligt lagens krav behöver ni genomföra åtgärder för att hantera riskerna. Riskerna kan vara såväl organisatoriska som tekniska och driftsrelaterade.
Enligt lagen ska säkerhetsåtgärder åtminstone avse:
- strategier för riskanalys och för nätverks- och informationssystemens säkerhet,
- incidenthantering,
- kontinuitetshantering och krishantering,
- säkerhet i leveranskedjan,
- säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem,
- strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna,
- grundläggande praxis för cyberhygien och utbildning i cybersäkerhet,
- strategier och förfaranden för användning av kryptografi samt, vid behov, kryptering,
- personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning, och
- vid behov användning av lösningar för autentisering, säkrade kommunikationer och säkrade nödkommunikationssystem.