Riksdagen röstade den 10 december 2025 ”ja” till regeringens förslag till ny Cybersäkerhetslag som genomför EU:s NIS 2-direktiv. De nya reglerna börjar gälla den 15 januari 2026.
Offentliga och enskilda verksamheter som bedriver verksamhet inom vissa sektorer (kritisk infrastruktur) ska bland annat skydda sina nätverks- och informationssystem samt rapportera betydande incidenter. En tillsynsmyndighet har till uppgift att ingripa vid brott mot lagen.
NIS 2-direktivet beslutades av EU 2022 och syftar till att uppnå en hög gemensam cybersäkerhetsnivå i hela unionen för samhällskritiska verksamheter. Omfattade sektorer är bland annat Energi, Transporter, Finans, Hälso- och Sjukvård, Dricksvatten, Digital infrastruktur och Förvaltning av IKT-tjänster.
NIS2-direktivet tillsammans med EU-kommissionens Implementing Regulations (sektorvis) och ENISA:s tekniska guidelines ger, till skillnad mot GDPR, detaljerad information om vilka krav som ställs.
