Cybersäkerhetslagen

Publicerad 11 mars 2026 i Nyheter

Det är lätt att tänka att Cybersäkerhetslagen (CSL) och den kommande CER‑lagstiftningen bara berör de organisationer som formellt omfattas. I praktiken är det ofta tvärtom: kraven spiller snabbt över på leverantörsledet genom avtal, kravställning och uppföljning.

För dig som är leverantör innebär det här typiskt att du behöver kunna visa att du håller en säkerhetsnivå som matchar kundens krav. Skillnaden är att leverantörer som inte omfattas direkt normalt inte har samma skyldighet att incidentrapportera till myndighet (och som läget beskrivs i underlaget: inte heller samma tillsyn), men du kommer ändå behöva rapportera till kund enligt avtalskrav ofta på ett sätt som liknar incidentrapportering.

CER och CSL hänger ihop

En viktig poäng: om du omfattas av CER kommer du också träffas av CSL enligt resonemanget i underlaget. Det gör det extra viktigt att tidigt förstå vilka skyldigheter som följer av respektive regelverk.
För bakgrund och officiell information: Myndigheten för Civilt Försvar “Det här är CER‑direktivet”.

CSL: de 10 säkerhetsåtgärderna du måste kunna förhålla dig till

CSL beskriver tio områden (minimikrav/säkerhetsåtgärder) som organisationer ska förhålla sig till:

  1. Strategier för riskanalys och för nätverks- och informationssystemets säkerhet
  2. Rutin/process för incidenthantering
  3. Kontinuitetshantering och krishantering
  4. Säkerhet i leveranskedjan
  5. Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem
  6. Strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna (revision)
  7. Grundläggande praxis för cyberhygien och utbildning i cybersäkerhet
  8. Strategier och förfaranden för användning av kryptografi och kryptering
  9. Personalsäkerhet och strategier för åtkomstkontroll
  10. Autentisering och säkra kommunikationsmedel

En detalj som ofta missas: tolkningen hamnar i praktiken i föreskrifter och vägledning. I underlaget pekas det på att förslag på föreskrifter tas fram av MCF (i texten beskrivet som “MCF (tidigare MSB)”) och att respektive tillsynsmyndighet därefter kan göra tillägg/anpassningar. Det betyder att en och samma organisation kan behöva hålla koll på flera tillsynsmyndigheter beroende på verksamhet.
Här är MCF:s samlingssida: “Det här är cybersäkerhetslagen”.

Föreskrifter: därför blir “hur gör man?” den stora frågan

Underlaget lyfter att föreslagna föreskrifter går djupare och att de i praktiken blir styrande för hur kraven ska uppfyllas. MCF:s förslag beskrivs som uppdelat i 4 kapitel och totalt 29 avsnitt — från organisatoriska och tekniska åtgärder till fysiska och sektorsspecifika krav.

Ett exempel ur underlaget (2 kap. organisatoriska åtgärder) visar nivån: arbetet ska vara systematiskt, riskbaserat och integrerat i styrning/ledning, och relevanta standarder ska identifieras och hanteras.
Det är här många fastnar i praktiken:

Hur gör vi detta “systematiskt och riskbaserat” på riktigt?
Vad ska prioriteras först? Vad kostar det? Hur bevisar vi att vi gör rätt?

Behöver ni klarhet i ert ansvar enligt Cybersäkerhetslagen och CER?

På Advitum hjälper vi er att snabbt reda ut om ni omfattas, vilka krav som gäller för just er verksamhet och vilka tillsynsmyndigheter ni behöver förhålla er till.

Kontakta oss för en strukturerad analys och en tydlig handlingsplan – anpassad till er organisation.

Kontakta gärna

Jörg Wiesemann

jorg.wiesemann@advitum.se

Tillbaka

Prenumerera på Advitums nyhetsbrev

Om du väljer att prenumerera på vårt nyhetsbrev kommer du att erhålla information om vad som händer på Advitum, våra utbildningar och kundevent, nyttiga blogginlägg och viktiga produktnyheter. Självklart kan du säga upp din prenumeration med en enkel knapptryckning.