Swedens’s Cybersecurity Act has now entered into force

Svensk version nedan

Key Governance and Risk Management Requirements for Organizations

From 15 January 2026, Sweden’s Cybersäkerhetslagen enters into force, implementing the NIS2 Directive into Swedish law. This marks a significant shift in how cybersecurity and operational resilience are expected to be governed across Swedish organisations.

Cybersäkerhetslagen is not a technical regulation aimed solely at IT or security teams. It is a governance framework that places responsibility firmly at executive and board level. The focus is on how organisations manage risk, make decisions, document accountability, and ensure resilience over time.

For many organisations, this requires a fundamental change in how cybersecurity and digital risk are approached.

Scope and Applicability in Sweden

The Swedish Cybersecurity Act applies to organisations operating in sectors considered critical or important for society. These include, among others, energy and utilities, transport and logistics, digital infrastructure and cloud services, telecommunications, financial services, healthcare and life sciences, water and waste management, and certain public services.

Private-sector organisations are generally in scope when they operate in a covered sector and meet the criteria for medium-sized or larger enterprises under EU definitions. In certain cases, organisations may fall within scope regardless of size due to the nature or criticality of the services they provide.

Organisations covered by the Act are classified as either Essential or Important entities. This classification affects supervisory approach and the level of potential administrative sanctions.

Governance and Risk Management Expectations

At the heart of Cybersäkerhetslagen is the requirement to implement appropriate and proportionate cybersecurity measures based on risk. This requires organisations to work systematically with risk management, rather than relying on static controls or informal practices.

Risk management is expected to cover information systems and networks, business processes, data and digital assets, supplier and third-party dependencies, and business continuity considerations. Risk assessments should be conducted on a defined cadence and revisited whenever material changes occur, such as new systems, cloud migrations, AI-enabled tools, changes in suppliers, or significant incidents.

What matters is not the volume of documentation, but the ability to demonstrate how risks are identified, assessed, mitigated, and reviewed over time. Everything should be properly documented, structurally stored, and traceable over time. Excel sheets and email-based assessments are no longer sustainable at this level of accountability. Organisations should use structured governance processes supported by systems that provide controlled documentation, clear ownership, and audit trails

Incident Reporting and Oversight

Cybersäkerhetslagen introduces strict expectations around incident readiness and reporting. Organisations must be able to identify and assess significant cybersecurity incidents and report them within defined timeframes.

Under the Swedish framework, incidents are reported to the national CSIRT function, designated as Myndigheten för civilt försvar, while supervision is carried out by the relevant sector authority.

Reporting timelines follow the NIS2 model (as set out in the Directive and reflected in ENISA guidance). ENISA: an early warning within 24 hours, an incident notification within 72 hours, and a final report within one month. Meeting these deadlines requires predefined procedures, clear internal escalation paths, and well-rehearsed incident response processes.

Executive and Board Accountability

A defining feature of Cybersäkerhetslagen is the explicit responsibility placed on senior management and boards. Cybersecurity is no longer something that can be fully delegated to technical functions.

Management bodies are expected to approve cybersecurity strategies, define risk tolerance, allocate resources, and oversee implementation and effectiveness. They must also ensure that decision-making and incident handling are properly documented.

This represents a clear move toward governance-driven cybersecurity, where leadership involvement and oversight are essential.

Registration and Ongoing Compliance

Organisations in scope must register with their competent supervisory authority once the Act enters into force. Registration includes information about the entity, its sector, covered services, and designated contact points for incident reporting. This information must be kept up to date as organisational circumstances change.

Compliance under Cybersäkerhetslagen is continuous. Organisations are expected to maintain monitoring, logging, vulnerability management, regular testing, supplier oversight, and periodic reviews of controls and governance structures. Alignment with recognised frameworks such as ISO/IEC 27001 or NIST CSF is widely regarded as good practice.

Sanctions and Financial Exposure

The Act provides for significant administrative sanctions where obligations are not met. For essential entities, maximum sanctions may reach the higher of 2% of global annual turnover or €10 million (SEK equivalent). For important entities, the ceiling is the higher of 1.4% of global annual turnover or €7 million. Separate limits apply to public entities. Link to administrative sanctions under NIS2.

These sanction levels reinforce that failures in governance and risk management are treated seriously under the Swedish framework.

ART25 Consulting Perspective

From a governance professional’s perspective, the most important shift introduced by Cybersäkerhetslagen is practical rather than theoretical. Organisations must be able to explain, in a clear and structured way, how they work with risks and controls, how risk assessment cycles are run, and how decisions are documented and reviewed. Governance today is about being able to show how things work in practice, not just that policies exist.

This becomes even more critical when viewed alongside the EU AI Act, which applies in stages during 2025 and becomes fully applicable from August 2026. Together, these frameworks make it clear that cybersecurity, AI risk, resilience, and accountability cannot be managed one by one. Organisations need enhanced governance structures that support documented decision-making, traceable accountability, and ongoing training and awareness across the business. Those that invest early in structured, system-supported governance will be better prepared not only to comply, but to operate confidently as regulatory expectations continue to evolve.

Final Thoughts

Cybersäkerhetslagen establishes a new baseline for cybersecurity governance in Sweden. It moves expectations beyond technical controls toward accountability, structure, and resilience at organisational level.

Organisations that take a proactive, governance-driven approach will be best positioned to meet regulatory requirements and to navigate an increasingly complex digital risk landscape.

Sveriges cybersäkerhetslag är nu i kraft

Centrala krav på styrning och riskhantering för organisationer

Från och med den 15 januari 2026 trädde Sveriges cybersäkerhetslag i kraft, genom vilken NIS2-direktivet införlivas i svensk rätt. Detta innebär ett tydligt skifte i hur cybersäkerhet och operativ motståndskraft förväntas styras och ledas i svenska organisationer.

Cybersäkerhetslagen är inte en teknisk reglering som enbart riktar sig till IT- eller säkerhetsfunktioner. Den är ett styrningsramverk som tydligt placerar ansvar på lednings- och styrelsenivå. Fokus ligger på hur organisationer hanterar risker, fattar beslut, dokumenterar ansvar och säkerställer motståndskraft över tid.

För många organisationer innebär detta ett grundläggande förändrat angreppssätt till cybersäkerhet och digital risk.

Tillämpningsområde och omfattning i Sverige

Den svenska cybersäkerhetslagen gäller organisationer som är verksamma inom sektorer som bedöms vara kritiska eller viktiga för samhället. Dessa omfattar bland annat energi och samhällsviktiga tjänster, transport och logistik, digital infrastruktur och molntjänster, telekommunikation, finansiella tjänster, hälso- och sjukvård samt life science, vatten- och avfallshantering samt vissa offentliga tjänster.

Organisationer inom privat sektor omfattas i regel när de är verksamma inom en berörd sektor och uppfyller EU:s definition av medelstora eller större företag. I vissa fall kan organisationer omfattas oavsett storlek, beroende på tjänsternas art eller deras samhällskritiska betydelse.

Organisationer som omfattas av lagen klassificeras som antingen väsentliga eller viktiga entiteter. Klassificeringen påverkar tillsynens utformning samt nivån på eventuella administrativa sanktionsavgifter.

Förväntningar på styrning och riskhantering

Kärnan i cybersäkerhetslagen är kravet på att införa ändamålsenliga och proportionerliga cybersäkerhetsåtgärder baserade på risk. Detta förutsätter ett systematiskt och återkommande arbete med riskhantering snarare än statiska kontroller eller informella arbetssätt.

Riskhanteringen ska omfatta informationssystem och nätverk, verksamhetsprocesser, data och digitala tillgångar, leverantörs- och tredjepartsberoenden samt kontinuitets- och beredskapsaspekter. Riskbedömningar ska genomföras enligt en fastställd rytm och uppdateras vid väsentliga förändringar, exempelvis införande av nya system, molnmigreringar, användning av AI-baserade verktyg, förändringar i leverantörsledet eller efter allvarliga incidenter.

Det avgörande är inte omfattningen av dokumentation, utan organisationens förmåga att visa hur risker identifieras, bedöms, hanteras och följs upp över tid. Allt arbete ska vara korrekt dokumenterat, strukturerat lagrat och spårbart. Kalkylblad och e-postbaserade riskbedömningar är inte längre hållbara på denna ansvarsnivå. Organisationer förväntas arbeta med strukturerade styrningsprocesser som stöds av system som möjliggör kontrollerad dokumentation, tydligt ägarskap och revisionsspår.

Incidentrapportering och tillsyn

Cybersäkerhetslagen ställer tydliga krav på incidentberedskap och incidentrapportering. Organisationer måste kunna identifiera, bedöma och rapportera betydande cybersäkerhetsincidenter inom fastställda tidsramar.

I den svenska tillämpningen rapporteras incidenter till den nationella CSIRT-funktionen, som är Myndigheten för civilt försvar, medan tillsynen utövas av relevant sektorsansvarig myndighet.

Rapporteringstidsramarna följer NIS2-modellen i enlighet med direktivet och ENISA:s vägledning. En tidig varning ska lämnas inom 24 timmar, en incidentanmälan inom 72 timmar och en slutrapport inom en månad. För att uppfylla dessa krav krävs fördefinierade rutiner, tydliga interna eskaleringsvägar och väl inövade processer för incidenthantering.

Ledningens och styrelsens ansvar

Ett centralt inslag i cybersäkerhetslagen är det uttryckliga ansvar som läggs på högsta ledning och styrelse. Cybersäkerhet kan inte längre fullt ut delegeras till tekniska funktioner.

Ledningsorgan förväntas fastställa och godkänna cybersäkerhetsstrategier, definiera riskaptit, tilldela nödvändiga resurser samt följa upp genomförande och effektivitet. De ska även säkerställa att beslutsfattande och incidenthantering dokumenteras på ett korrekt och spårbart sätt.

Detta innebär en tydlig förflyttning mot en styrningsdriven syn på cybersäkerhet där ledningens aktiva engagemang och tillsyn är avgörande.

Registrering och löpande efterlevnad

Organisationer som omfattas av lagen ska registrera sig hos sin behöriga tillsynsmyndighet när lagen träder i kraft. Registreringen ska innehålla uppgifter om organisationen, dess sektor, berörda tjänster samt utsedda kontaktpunkter för incidentrapportering. Informationen ska hållas aktuell och uppdateras vid förändrade förhållanden.

Efterlevnaden av cybersäkerhetslagen är fortlöpande. Organisationer förväntas upprätthålla övervakning och loggning, sårbarhetshantering, regelbundna tester, leverantörsuppföljning samt periodiska översyner av både kontroller och styrningsstrukturer. Anpassning till etablerade ramverk såsom ISO/IEC 27001 eller NIST CSF betraktas allmänt som god praxis.

Sanktioner och finansiell exponering

Lagen möjliggör betydande administrativa sanktionsavgifter vid bristande efterlevnad. För väsentliga entiteter kan sanktionerna uppgå till det högre av två procent av den globala årsomsättningen eller tio miljoner euro, omräknat till svenska kronor. För viktiga entiteter är taket det högre av 1,4 procent av den globala årsomsättningen eller sju miljoner euro. Separata sanktionsnivåer gäller för offentliga aktörer.

Sanktionsnivåerna understryker att brister i styrning och riskhantering betraktas som allvarliga överträdelser inom det svenska regelverket.

ART25 Consultings perspektiv

Ur ett styrnings- och governanceperspektiv är den mest betydelsefulla förändringen som cybersäkerhetslagen innebär praktisk snarare än teoretisk. Organisationer måste på ett tydligt och strukturerat sätt kunna redogöra för hur de arbetar med risker och kontroller, hur riskbedömningscykler genomförs samt hur beslut dokumenteras och följs upp. Modern styrning handlar om att kunna visa hur arbetet fungerar i praktiken, inte enbart om att policyer finns på plats.

Detta blir särskilt tydligt i kombination med EU:s AI-förordning, AI Act, som tillämpas stegvis under 2025 och blir fullt tillämplig från augusti 2026. Tillsammans visar dessa regelverk att cybersäkerhet, AI-risker, motståndskraft och ansvar inte kan hanteras var för sig. Organisationer behöver stärka sina styrningsstrukturer för att möjliggöra dokumenterat beslutsfattande, spårbart ansvar samt kontinuerlig utbildning och medvetenhet i hela verksamheten. De organisationer som tidigt investerar i strukturerad och systemstödd styrning kommer att stå bättre rustade, inte bara för regelefterlevnad utan också för att agera tryggt i ett snabbt föränderligt regulatoriskt landskap.

Avslutande reflektioner

Cybersäkerhetslagen etablerar en ny grundnivå för cybersäkerhetsstyrning i Sverige. Förväntningarna flyttas bort från enbart tekniska kontroller till ett tydligare fokus på ansvar, struktur och organisatorisk motståndskraft.

Organisationer som antar ett proaktivt och styrningsdrivet angreppssätt kommer att ha bäst förutsättningar att både uppfylla regulatoriska krav och navigera i ett alltmer komplext digitalt risklandskap.