I år förväntas Cybersäkerhetslagen träda i kraft, med höga krav på samhällsviktiga aktörer. Regeringen arbetar med detaljerna, men EU-direktivet har redan börjat gälla. “De som inte börjat förbereda sig riskerar att hamna efter, med betydande sanktioner som konsekvens”, menar Christer Runestam, expert på cybersäkerhet.
Innehåll
Det här är Cybersäkerhetslagen
Cybersäkerhetslagen är Sveriges sätt att implementera EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet). Trots att NIS2-direktivet skulle vara genomfört i medlemsländerna redan oktober 2024 är den svenska regleringen ännu inte på plats.
Under våren 2025 väntas en proposition från Försvarsdepartementet med lagförslag till riksdagen för behandling och beslut. Enligt MSB:s tidsplan kan Cybersäkerhetslagen träda i kraft tidigast sommaren 2025.
Det är hög tid för företagen att förbereda sig inför cybersäkerhetslagen. Första steget är att ta reda på om man träffas av reglerna, antingen direkt eller indirekt. Har ditt företag en kund som omfattas är risken stor att de ställer nya hårdare krav på din verksamhet som leverantör.
Energi
Transporter
Bankverksamhet
Finansmarknadsinfrastruktur
Hälso- och sjukvårdssektorn
Dricksvatten
Avloppsvatten
Digital infrastruktur
Förvaltning av IKT-tjänster (mellan företag)
Offentlig förvaltning
Rymden
Post- och budtjänster
Avfallshantering
Tillverkning, produktion och distribution av kemikalier
Produktion, bearbetning och distribution av livsmedel
Tillverkning
Digitala leverantörer
Forskning
Därför införs Cybersäkerhetslagen
Cybersäkerhetslagen och det direktiv som lagen införlivar är ett av EU:s svar på de yttre hot som riktas mot europeiska stater och samhällen. Genom att ta cybersäkerhet på allvar hos samhällsviktiga aktörer minskar sårbarheten, vilket är en viktig del i ett fungerande totalförsvar.
– Lagen handlar om alltifrån it-lösningar till rutiner, men också om hur man arbetar med att begränsa åtkomst till känslig information, med mera. Det handlar om att skaffa sig en förståelse för sårbarheter som finns, och skapa verksamheter som minimerar dem, säger Christer Runestam.
Läs även
Yttre hoten ökar – snart riskerar företag sanktioner om de inte är rätt rustade
Sanktionsavgiften för verksamhetsutövare som klassificeras som väsentliga kan enligt lagförslaget för cybersäkerhetslagen som mest vara det högsta av två procent av total global årsomsättning från föregående räkenskapsår eller 10 000 000 euro. För verksamhetsutövare som klassificeras som viktiga kan sanktionsavgiften enligt lagförslaget som mest vara det högsta av 1,4 procent av total global årsomsättning från föregående räkenskapsår eller 7 000 000 euro.
Mycket pekar på att tillsynsmyndigheterna kommer att ta i med hårdhandskarna
Christer Runestam Expert på cybersäkerhet, Grant Thornton
Jämför med GDPR
Christer Runestam drar en parallell till införandet av GDPR, som fick företagen att anpassa sina rutiner vid införandet 2018. Även då var stora sanktionsavgifter något som drev företagen till att ta reglerna på allvar, och resurser i form av tid och pengar lades på att jobba om de egna rutinerna.
Trots att taket för sanktionsavgifterna kopplade till NIS2 och Cybersäkerhetslagen i vissa fall är lägre än de för GDPR finns det flera skäl till att lägga stor vikt vid att efterleva de nya reglerna.
– Mycket pekar på att tillsynsmyndigheterna kommer att ta i med hårdhandskarna, och inte dra sig för att vidta åtgärder mot de aktörer som brister i förhållande till de nya reglerna. Reglerna syftar till att göra samhället mer motståndskraftigt, vilket är högt upp på samhällsagendan. Därför tror jag att vi kommer se fler exempel där sanktionsavgifter utfärdas kopplat till Cybersäkerhetslagen än GDPR, säger Christer Runestam.
Ta in extern expertis
Grant Thorntons specialister inom cybersäkerhet och regelverk kan hjälpa er organisation att förstå vad de nya regelverken kräver och vad som behövs för att följa dem. Vi stöttar även er som indirekt omfattas av kraven.
Vi kan bistå er organisation med bland annat gap-analys för att förstå var organisationen befinner sig och vad som krävs för att följa de nya regelverken, operativt stöd och hjälp vid implementering, och kompetenshöjande insatser.
Sedan 1 januari 2026 gäller nya regler för delägare i fåmansföretag. Det är först i deklarationen 2027 som ägare behöver lämna in en K10-blankett enligt de nya reglerna, men redan nu är det hög tid att analysera vilka förändringar som du eller ditt företag eventuellt måste göra redan nu. Vi har samlat de viktigaste punkterna för delägare att ta ställning till.
Står bolaget inför en möjlig försäljning? När intresset från potentiella köpare ökar är det helt rätt tid att förbereda en stark och trygg exit. Men även lönsamma och växande bolag kan tappa värde i en affär om den ekonomiska hanteringen upplevs som spretig eller ofullständig. Följ vår tio-stegs checklista för att vara deal ready.
När bokslutet närmar sig uppstår ofta återkommande frågor kring hur olika avtal, ersättningar och finansiella placeringar ska redovisas. Oavsett bransch eller storlek på bolag är det många företag som hanterar komplexa situationer där regelverket inte alltid är självklart. Nedan går vi igenom tre områden där vi ofta stöttar våra kunder – och där rätt redovisning är avgörande för både rapportering och regelefterlevnad.
Med vårt nyhetsbrev Target får du varje månad aktuella nyheter likt denna, tips från våra experter och information om kommande evenemang. Vi vill bidra till att ditt företag växer och utvecklas.
