Transportstyrelsen - till startsidan

E-tjänster

Sök

Meny

Start

Stäng

Vägtrafik

Stäng

Luftfart

Stäng

Sjöfart

Stäng

Järnväg

Stäng

Om oss

Stäng

Cybersäkerhet (NIS2)

Visa undersidor

Digitaliseringen av samhällets tjänster och funktioner gör att vi blir alltmer beroende av robusta och motståndskraftiga it-miljöer. I takt med att säkerhetsläget i Europa har skärpts, samtidigt som cyberhoten utvecklas och blir mer komplexa, har behovet av tydligare krav på säkerhet ökat. Genom NIS2-direktivet stärks nu det övergripande skyddet för samhällsviktig verksamhet och viktiga digitala tjänster i hela EU.

Uppdatering av webbplats om Cybersäkerhet (NIS2)

Den 15 januari 2026 började cybersäkerhetslagen gälla i Sverige. Lagen ställer nya krav på cybersäkerhetsarbete för verksamheter inom bland annat transportsektorn. Lagen kommer också med nya föreskrifter för området från Myndigheten för civilt försvar (tidigare MSB) och därmed också en ny sektorsspecifik vägledning från oss på Transportstyrelsen.

På grund av dessa förändringar sker nu även en omfattande uppdatering av vilken information som finns på vår webbplats. Information som berör den tidigare lagen är inte längre aktuell och finns därmed inte kvar på webbplatsen. Ytterligare information kommer successivt att läggas upp. Vi jobbar aktivt med att prioritera att hålla webbsidan aktuell och uppdaterad. Har ni frågor är ni alltid välkomna att ta kontakt med oss via mejl: nis@transportstyrelsen.se.

NIS2-direktivet och cybersäkerhetslagen

I Sverige har NIS2-direktivet genomförts genom cybersäkerhetslagen (2025:1506). Cybersäkerhetslagen trädde i kraft den 15 januari 2026 och ersätter den tidigare lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (”NIS-lagen”). 

Syftet med NIS2-direktivet och cybersäkerhetslagen är i huvudsak att skydda organisationer och infrastruktur från hot och att uppnå en hög gemensam säkerhetsnivå i hela EU.

Regleringen innebär bland annat:

  • strängare och mer detaljerade krav på säkerhetsåtgärder
  • nya och skärpta rapporteringsskyldigheter vid incidenter
  • ökade krav på ledningens deltagande och ansvar i cybersäkerhetsarbetet
  • att ett större antal verksamhetsutövare omfattas jämfört med den tidigare NIS-lagen, genom utökade sektorer och urvalskriterier.

Vilka omfattas av cybersäkerhetslagen?

Transportstyrelsen är tillsynsmyndighet för transportsektorn och en del av tillverkningssektorn enligt cybersäkerhetsförordningen (2025:1507). Det innebär att Transportstyrelsen ansvarar för tillsyn över verksamhetsutövare som träffas av lagen inom följande områden:

  • luftfart
  • sjöfart
  • vägtrafik
  • järnväg
  • tillverkare av motorfordon, släpfordon, påhängsvagnar, och
  • tillverkare av andra transportmedel.

Som verksamhetsutövare ansvarar ni själva för att bedöma om er verksamhet uppfyller kriterierna i cybersäkerhetslagen och därmed omfattas av regleringen. Bedömningen styrs bland annat av verksamhetens storlek och vilken typ av tjänster ni tillhandahåller.

Väsentliga och viktiga verksamhetsutövare

Ni som omfattas av cybersäkerhetslagen tillhör en av två kategorier; väsentliga verksamhetsutövare eller viktiga verksamhetsutövare.

Väsentliga verksamhetsutövare är ni vars verksamhet är etablerad i Sverige, ni omfattas av bilaga 1 och uppfyller någon av följande punkter:

  • Ni sysselsätter minst 250 personer.
  • Ni har en årsomsättning som överstiger 50 miljoner euro och en balansomslutning som överstiger 43 miljoner euro per år.

Aktörer som är av särskild betydelse för samhället omfattas som väsentliga verksamhetsutövare oavsett storlek. Mer information om vilka verksamheter som avses finns i Myndigheten för civilt försvars föreskrifter om anmälan och identifiering (MCFFS 2026:1).

Viktiga verksamhetsutövare är ni vars verksamhet är etablerad i Sverige, om ni omfattas av bilaga 1 eller bilaga 2 (tillverkning) och uppfyller någon av följande punkter:

  • Ni sysselsätter minst 50 personer.
  • Ni har en årsomsättning som överstiger 10 miljoner euro och har en balansomslutning som överstiger 10 miljoner euro per år.

Här hittar du NIS2-direktivet samt bilagorna (EU's webbplats)

Vad innebär cybersäkerhetslagen för er som verksamhetsutövare?

Cybersäkerhetslagen innebär att verksamhetsutövare som omfattas ska arbeta systematiskt, riskbaserat och kontinuerligt med informations- och cybersäkerhet.

Kraven omfattar bland annat att

  • genomföra riskanalyser och förebyggande säkerhetsarbete
  • införa tekniska och organisatoriska säkerhetsåtgärder anpassade till verksamhetens risker
  • ta fram styrande dokument, rutiner och processer för cybersäkerhet
  • säkerställa kontinuitetsplanering och förmåga att återställa funktioner efter incidenter
  • hantera och rapportera incidenter enligt de tidsfrister som följer av lagen
  • ställa krav på cybersäkerhet vid upphandling och i leverantörskedjan
  • se till att ledningen är aktivt involverad och ansvarar för cybersäkerhetsarbetet.

Kraven som ställs på er som verksamhetsutövare är i stort sett samma för viktiga och väsentliga verksamheter, men reglerna för tillsyn och sanktioner skiljer sig åt. För väsentliga verksamhetsutövare sker exempelvis tillsyn kontinuerligt enligt en tillsynsplan. För viktiga verksamhetsutövare sker däremot tillsyn bara när Transportstyrelsen fått indikationer på att regleringen inte följs.

Anmälan

Ni som verksamhetsutövare behöver själva identifiera om ni omfattas av cybersäkerhetslagen, och i så fall anmäla er. Anmälan sker via Myndigheten för civilt försvars (tidigare MSB) anmälningstjänst. 

Myndigheten för civilt försvar samordnar regleringen

Myndigheten för civilt försvar har en samordnande roll för regleringen och tar fram föreskrifter och vägledningar som gäller sektorsövergripande. Transportstyrelsen ansvarar för sektorsspecifika frågor och utövar tillsyn inom transportområdet.

Läs mer på Myndigheten för civilt försvars webbplats.

Ta kontakt om ni har frågor om cybersäkerhetslagen

Om ni har allmänna frågor om cybersäkerhetslagen, kontakta Myndigheten för civilt försvar: informationssakerhet@mcf.se

Om ni har frågor som rör cybersäkerhetslagen specifikt inom transportsektorn, kontakta Transportstyrelsen: nis@transportstyrelsen.se

Frågor och svar om cybersäkerhetslagen

NIS2 är ett direktiv från EU om säkerhet i nätverks- och informationssystem (EU 2022/2555). Syftet med direktivet är att skydda organisationer och viktig infrastruktur mot cyberhot och att uppnå en hög gemensam säkerhetsnivå i hela EU. Direktivet innehåller strängare krav på säkerhet, nya rapporteringsskyldigheter och utökade tillsynsåtgärder. Det innebär också att fler aktörer kommer att omfattas jämfört med det tidigare NIS-direktivet.

Ett direktiv är en EU-lagstiftning som anger vilket resultat som ska uppnås, men där varje medlemsland själv bestämmer hur reglerna ska införas i nationell rätt. I Sverige genomförs NIS2-direktivet genom cybersäkerhetslagen.

Transportstyrelsen är tillsynsmyndighet för sektorerna transporter samt tillverkning av motorfordon, släpfordon, påhängsvagnar och andra transportmedel.

Vilka verksamhetsutövare som träffas beror på vilken typ av verksamhet som bedrivs, och organisationens storlek. Lagen omfattar verksamhetsutövare som finns med i bilaga I eller II i NIS2-direktivet och som sysselsätter minst 50 personer eller har en årsomsättning en balansomslutning som uppgår till minst 10 miljoner euro/år vardera. Lagen omfattar verksamhetsutövare som finns med i bilaga I eller II i NIS2-direktivet och som sysselsätter minst 50 personer eller har en årsomsättning och en balansomslutning som uppgår till minst 10 miljoner euro/år vardera.

En verksamhetsutövare kan omfattas även om man inte når upp till tröskelvärdena, om verksamheten bedöms vara särskilt kritisk. Det kan till exempel vara fallet om organisationen är den enda leverantören av en viss tjänst i Sverige, om ett avbrott i tjänsten skulle få allvarliga konsekvenser för säkerhet, eller om verksamheten har stor betydelse på nationell eller regional nivå för en viss sektor. Inom Transportstyrelsens sektorer finns följande verksamhetsutövare specificerade i Myndigheten för civilt försvars föreskrifter om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare (MCFFS 2026:1):

  • Beredskapsflygplatser
  • Flygkontrolltjänster
  • Karantänshamnar, enligt Karantänslagen (1989:290)
  • Skyddade platser (avser en hamn, del av hamn eller annan skyddande kaj eller annat skyddat område som är utpekat av Transportstyrelsen)

Ett företag kan omfattas av cybersäkerhetslagen även om företaget inte självständigt uppfyller tröskelvärdena ovan.

Om ett företag ingår i en koncern beror bedömningen av storlek och omfattning på ägar- och kontrollförhållandena. Om det finns ett bestämmandeinflytande, till exempel om ett moderbolag är majoritetsägare i ett dotterbolag, ska antal anställda och omsättning normalt räknas samman för dessa företag.

Ett dotterbolag som inte når upp till tröskelvärdena kan alltså omfattas av lagen om koncernens omsättning totalt överstiger 10 miljoner euro/år.

Cybersäkerhetslagen delar upp verksamhetsutövarna i två olika kategorier, väsentliga och viktiga. Indelningen avgörs främst av organisationens storlek, utifrån  antal anställda eller omsättning och balansomslutning. I praktiken märks skillnaden framförallt i tillsyn och sanktioner.

Väsentliga verksamhetsutövare omfattas av planerad och återkommande tillsyn. De kan även tilldelas högre sanktionsavgifter.

Viktiga verksamhetsutövare omfattas av händelsestyrd tillsyn. Det innebär att tillsyn inleds först när något inträffar, till exempel vid en incident, klagomål eller om det finns anledning att anta att reglerna inte följs.

Cybersäkerhetslagen fokuserar på att stärka cybersäkerheten i särskilt utpekade sektorer. Den ställer bland annat krav på ett systematiskt arbete med riskhantering och skydd mot incidenter.

Säkerhetsskyddslagen handlar om att skydda verksamheter eller information som kan ha betydelse för Sveriges säkerhet.

Cybersäkerhetslagen och säkerhetsskyddslagen gäller parallellt och en organisation kan omfattas av båda regelverken samtidigt. De reglerar olika saker men kompletterar varandra. De delar som omfattas av säkerhetsskyddslagen är undantagna från kraven i cybersäkerhetslagen.

Att vara tillsynsobjekt innebär att en verksamhetsutövare omfattas av cybersäkerhetslagen och därmed är skyldig att följa lagens krav. Verksamhetsutövaren  står då också under tillsyn av en tillsynsmyndighet. Som tillsynsobjekt kan organisationen behöva lämna uppgifter och handlingar, medverka vid tillsynsbesök och delta i säkerhetsrevisioner. Om brister upptäcks kan tillsynsmyndigheten besluta om åtgärder, förelägganden eller sanktionsavgifter.

Tillsynsmyndigheten ansvarar för att kontrollera att verksamhetsutövare följer cybersäkerhetslagen och tillhörande föreskrifter. Det innebär bland annat att genomföra tillsyn, ge vägledning och vid behov, besluta om åtgärder när kraven inte uppfylls.

Tillsynen syftar till att granska verksamhetsutövarens kravuppfyllnad avseende exempelvis anmälan, säkerhetsåtgärder, utbildning och incidentrapportering. Varje tillsynsmyndighet ansvarar för tillsynen inom den specifika sektorn. En verksamhetsutövare kan verka inom flera sektorer och därmed vara tillsynsobjekt för flera tillsynsmyndigheter.

Tillsynsmyndigheten har befogenhet att begära in information och handlingar, genomföra tillsyn och fatta beslut om åtgärder. Tillsynsmyndigheten får även utföra säkerhetsrevisioner och säkerhetsskanningar.

Om tillsynsmyndigheten vid en tillsyn upptäcker brister i efterlevnaden av regelverket ska tillsynsmyndigheten ingripa. De ingripanden myndigheten har möjlighet att göra är föreläggande (vilket får förenas med vite) och sanktionsavgift. Tillsynsmyndigheten får även ansöka om förbud att inneha ledningsfunktion, vilket sedan beslutas av allmän förvaltningsdomstol.

Nej. Lagen gäller verksamhetsutövare, inte deras leverantörer.

Det är upp till varje enskild verksamhetsutövare att själva göra bedömningen gällande huruvida de omfattas av cybersäkerhetslagen eller inte. Till er hjälp i detta ska ni utgå från NIS2-direktivet och bilaga 1 och bilaga 2 till direktivet. Utöver att omfattas av en av bilagorna ska er verksamhet vara etablerad i Sverige, samt uppfylla en av följande punkter:

  • Ni sysselsätter minst 50 personer.
  • Ni har en årsomsättning som överstiger 10 miljoner euro och har en balansomslutning som överstiger 10 miljoner euro per år.

Ni kan läsa mer om hur ni vet om ni omfattas på Myndigheten för civilt försvars webbplats.

Anmälan sker till Myndigheten för civilt försvar, genom deras anmälningsverktyg. Mer information finns på deras websida. Myndigheten för civilt försvar skickar sedan anmälan vidare till berörd tillsynsmyndighet.