den 27 maj 2026 00:45:00 CEST Astrid Feldreich

Cybersäkerhetslagen och kommuner – vad förändras?

2:36

Den nya cybersäkerhetslagen, som bygger på NIS2-direktivet, har trätt i kraft och förändrar spelreglerna för offentlig sektor. För kommunala ledningar är cybersäkerhet inte längre en prioriteringsfråga, utan en fråga om styrning och riskhantering i praktiken.

MSB:s metodstöd och vägledningar visar att många organisationer fortfarande har brister i det systematiska och riskbaserade informationssäkerhetsarbetet, trots ökade krav och ett förändrat säkerhetsläge. Så vad innebär cybersäkerhetslagen egentligen?

1. Ledningens ansvar har förtydligats

En av de största förändringarna i lagstiftningen är kopplingen till ledningsnivå. Cybersäkerhet är nu ett tydligt ledningsansvar.

Det innebär att:

Ledningen ska säkerställa att riskhantering av cybersäkerhet är etablerad
Övergripande riskhanteringsåtgärder ska beslutas och följas upp
Arbetet ska vara en del av verksamhetens strategiska styrning

Organisationen kan omfattas av sanktionsavgifter vid bristande efterlevnad.

2. Riskbaserat arbetssätt – inte ett “checklist-projekt”

Cybersäkerhetslagen kräver ett riskbaserat arbetssätt.

Det innebär att kommuner behöver:

Identifiera sina mest kritiska verksamheter för medborgarna
Analysera konsekvenser vid driftstörningar
Dimensionera skydd utifrån risk och påverkan, inte budget eller historik

3. Systematik framför punktinsatser

MSB betonar att informationssäkerhetsarbete ska vara systematiskt och integrerat i verksamhetsstyrningen. Cybersäkerhet är en process, inte en produkt.

Ett ledningssystem för informationssäkerhet (LIS) innebär att säkerhet ska ingå i exempelvis:

upphandling av IT-system
drift av samhällskritiska tjänster
utveckling och förvaltning av digitala system

Tre frågor varje ledningsgrupp bör ställa sig

Har vi en aktuell riskbild? Vet vi våra största digitala sårbarheter i år, inte förra året?
Är cybersäkerhet en del av vår verksamhetsstyrning? Ses det som en strategisk förutsättning eller en kostnadspost?
Har vi kompetensen att styra? Har ledningen tillräcklig förståelse för att fatta informerade beslut om IT-risker?

Sammanfattning

Den nya cybersäkerhetslagen innebär inte bara tekniska krav, utan framför allt ett tydligare ansvar för styrning, riskhantering och systematik i hela organisationen. För kommuner blir förmågan att arbeta strukturerat och långsiktigt avgörande.

Vill du fördjupa dig?

Cybersäkerhetslagen kräver ett systematiskt arbetssätt som är integrerat i din dagliga förvaltning. Få tips på hur du etablerar rätt processer i vår samlingssida för strategisk styrning av NIS2 i kommunal verksamhet. Missa inte heller vår checklista för den nya cybersäkerhetslagen

Få koll på varför ett ledningssystem för informationssäkerhet (LIS) skyddar din verksamhet

Så jobbar Publitech med säkerhet

Cybersäkerhetslagen och kommuner – vad förändras?

1. Ledningens ansvar har förtydligats

2. Riskbaserat arbetssätt – inte ett “checklist-projekt”

3. Systematik framför punktinsatser

Tre frågor varje ledningsgrupp bör ställa sig

Sammanfattning

Vill du fördjupa dig?

Categories

Share blog post

Related blog posts

Checklista för NIS2

NIS2 i kommuner och regioner: Ledningsgruppens konkreta ansvar för informationssäkerhet

Vad innebär den nya cybersäkerhetslagen för kommunledningen?

Digital suveränitet: Så säkrar ni kommunens data i en osäker omvärld