Fem tips för att följa kraven i Cybersakerhetslagen

Den 15 januari 2026 börjar den nya svenska cybersäkerhetslagen och NIS2-direktivet att gälla i Sverige. Med tydligare krav på ledningen och styrelsens ansvar för organisationens cybersäkerhet. Här är fem konkreta tips på vad ett företag eller en organisation behöver göra för att leva upp till lagkraven. Både här och nu, och på lång sikt.

January 9, 2026
Författare:
Geir Aasen
CISO
Reviewer:
Per Lagerström
Director of Communication & Marketing
Spread the word

1. Ledningssystem för cybersäkerhet

Cybersäkerhet måste vara en ledningsfråga – inte bara något för IT. Organisationen behöver ha ett systematiskt sätt att styra och arbeta med säkerhet. Det ska vara förankrat i ledningen och integrerat i verksamhetens vanliga styrning. En bra idé är att använda en etablerad standard som NIST eller ISO 27001.  

-> Nu kan ni förklara hur ni styr cybersäkerhetsrisker och vem som har ansvar.

2. Risk- och tillgångshantering

Det går inte att skydda det man inte har koll på. Organisationen behöver göra och dokumentera riskbedömningar för att hitta svagheter och hot mot nätverk och IT-system.

-> Nu kan ni tydligt beskriva vilka risker som är viktigast och varför ni prioriterar resurser som ni gör.

3. Säkerhetsåtgärder

Organisationen behöver införa relevanta säkerhetsåtgärder och kunna visa att de är dokumenterade. Det kan handla om:

  • Organisatoriska åtgärder: rutiner, instruktioner och uppdaterade beredskapsplaner
  • Tekniska åtgärder: t.ex. stark inloggning, behörighetsstyrning, segmentering och säkerhetsövervakning
  • Fysiska åtgärder: skydd av lokaler, infrastruktur och tillträde till känsliga områden
  • Åtgärder för personal: kompetensutveckling, behörigheter och rutiner för medarbetare och leverantörer

-> Nu kan ni visa att säkerhetsåtgärder är på plats, underhålls och följs upp regelbundet.

4. Incidentupptäckt, rapportering och hantering

Ni måste veta när något händer – och kunna agera snabbt. Organisationen behöver ha beredskapsplaner, öva incidenthantering och kunna rapportera till myndigheter inom 24 timmar vid allvarliga incidenter.

--> Nu kan ni hantera en incident från start till mål utan att improvisera roller eller tidslinjer.

5. Hantering av risker i leverantörskedjan

Er säkerhet är aldrig starkare än era leverantörers säkerhet. Organisationen ansvarar för att leverantörer och andra externa parter uppfyller krav på digital säkerhet.

--> Nu har ni koll på vilka leverantörer som är viktigast och har praktiska sätt att följa upp säkerheten – inte bara krav i avtal.

Fler inlägg du kanske är intresserad av

December 12, 2025
Information Security

Hur får vi ledningen att prioritera säkerheten? – insikter och praktiska råd från vårt senaste webinarium

Dagen efter att riksdagen beslutat om Sveriges nya cybersäkerhetslag samlade Junglemap över 100 deltagare till ett webinarium om en av de mest aktuella frågorna just nu: hur får vi styrelser och ledningsgrupper att verkligen prioritera cybersäkerheten?
Läs mer
December 2, 2025
Phishing

Funkar inte phishingsimulering?

När University of Chicago tidigare i höst slog fast att phishingsimulering “inte fungerar”, väckte det både frågor och oro – inte minst hos organisationer som satsar på utbildning och träning som syftar till att förändra säkerhetsbeteenden. På Junglemaps Learning Breakfast tog vi oss an frågan.
Läs mer
November 18, 2022
Information Security

STAR-beteende: Minska impulsiva misstag

Impulsiva reaktioner kan leda fel. Med STAR-metoden kan vi pausa, reflektera och agera mer genomtänkt – även i pressade situationer.
Läs mer
Se alla