Aktuellt
Nyhet
2025.06.16

Uppdaterat förslag till cybersäkerhetslag och vidare beredning av implementeringen av CER-direktivet

Lagrådsremissen för den nya cybersäkerhetslagen, som implementerar NIS2-direktivet (NIS2), publicerades den 12 juni 2025 (här). Cybersäkerhetslagen föreslås nu träda i kraft den 15 januari 2026. Utredaren har haft i uppdrag att presentera förslag för implementeringen av både NIS2 och CER-direktivet (CER). Förslag avseende CER:s genomförande i Sverige bereds vidare inom Regeringskansliet och förväntas resultera i en lag om motståndskraft hos kritiska verksamhetsutövare samt ändringar i den nu föreslagna cybersäkerhetslagen.

NIS2 och CER är två av flera nya EU-akter som syftar till att stärka EU:s motståndskraft inom flera samhällsviktiga sektorer. NIS2 fokuserar på att förbättra cybersäkerheten i nätverks- och informationssystem, medan CER fokuserar på allmänna motståndskraften för aktörer med samhällskritiska infrastrukturer. Båda direktiven inför bland annat krav på riskanalyser, riskhanteringsåtgärder och incidentrapportering för de berörda aktörerna. Kraven i direktiven, och även i de svenska förslagen på implementerande lagstiftning, ger utrymme för myndigheter att utfärda närmare föreskrifter.

En aktör omfattas av CER efter att en tillsynsmyndighet genom beslut identifierat aktören som en kritisk verksamhetsutövare. Tillsynsmyndighet kommer att variera beroende på vilken sektor aktören verkar inom. Till skillnad från CER kommer ingen tillsynsmyndighet att identifiera aktörer som ska omfattas av NIS2; istället krävs att aktörerna själva gör en bedömning och anmäler sig till den myndighet regeringen bestämmer. Det är ett flertal verksamheter som omfattas av NIS2, men typiskt sett är det bolag av viss storlek som verkar inom bland annat följande sektorer:

  • Energi, transport, tillverkning av motorfordon
  • Bank
  • Vårdgivare och tillverkare inom hälso- och sjukvårdssektorn
  • Avlopps- och dricksvatten, livsmedel, avfall
  • Digital infrastruktur, digitala leverantörer, förvaltning av IKT-tjänster
  • Forskning, lärosäten, offentlig förvaltning, post- och budtjänster
  • Tillverkning, produktion och distribution av kemikalier
  • Tillverkning av datorer, elektronikvaror, optik, elapparatur, övriga maskiner

Båda regelverken är sammanlänkade på så sätt att om en aktör blir identifierad av en tillsynsmyndighet som kritisk enligt CER:s implementering, omfattas den aktören även av NIS2. En aktör omfattas dock inte av CER enbart för att den omfattas av NIS2.

Vi håller oss ständigt uppdaterade om den juridiska utvecklingen på området. Kontakta våra specialister om du har några frågor.

Kontakt

Henrik Lindstrand

Partner

henrik.lindstrand@cederquist.se
+46 8 522 066 43
+46 739 60 66 43

Info

Johanna Linder

Partner

johanna.linder@cederquist.se
+46 8 522 066 31
+46 739 60 66 31

Info

Robin Nappo Svensson

Associate

robin.nappo.svensson@cederquist.se 
+ 46 8 522 065 91
+ 46 739 60 65 91

Info

Hittar du inte vad du letar efter?

bg