Regeringen har lämnat en proposition med förslag om en ny cybersäkerhetslag som genomför EU:s NIS 2-direktiv i svensk lagstiftning. Om riksdagen godkänner förslaget kommer fler verksamheter än tidigare att omfattas, bland annat aktörer inom dricksvattenproduktion och avloppshantering som motsvarar minst ett medelstort företag. Även kommuner och kommunalförbund ingår i det utvidgade regelverket.
Ny lag genomför NIS 2-direktivet
Propositionen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag överlämnades den 14 oktober 2025. Förslaget ersätter nuvarande regler för samhällsviktiga och digitala tjänster och innebär att EU:s direktiv om en gemensam cybersäkerhetsnivå införs i svensk lag.
VA-sektorn omfattas i större utsträckning
Lagstiftningen omfattar verksamheter som producerar dricksvatten och hanterar avloppsvatten, under förutsättning att de motsvarar eller överstiger storleken hos ett medelstort företag. Detta är en utökning jämfört med dagens regler där endast dricksvattenproducenter omfattats. Även kommuner och kommunalförbund inkluderas i lagen.
Krav på åtgärder och rapportering
Förslaget innebär krav på tekniska, organisatoriska och driftsrelaterade åtgärder för att skydda nätverks- och informationssystem mot incidenter. Ledningspersoner ska genomgå utbildning om säkerhetsåtgärder. Verksamhetsutövare ska rapportera betydande incidenter och omfattas av nya regler om tillsyn och ingripanden.
Ikraftträdande och kompletterande regler
Lagen föreslås träda i kraft den femtonde januari tvåtusentjugosex. Den kompletteras av en förordning om cybersäkerhet och av föreskrifter från MSB, som ska reglera bland annat anmälan, säkerhetsåtgärder, utbildningskrav, incidentrapportering och informationsskyldighet.
Källa: Svenskt Vatten
