Contact sales

Leave your details and we'll get back to you shortly.

Håll mig uppdaterad om Hy5:s funktioner, compliance-insikter och regelverksförändringar.

Vi använder dina uppgifter enbart för att besvara din förfrågan.

Omfattas din verksamhet av cybersäkerhetslagen?

De flesta verksamheter som kommer till Hybridity har redan konstaterat att de berörs av cybersäkerhetslagen. Nästa fråga är hur man omsätter det i praktiken, utan att bygga parallella processer, Excel-ark och manuell uppföljning.

Men eftersom frågan om omfattning fortfarande är oklar för många, och eftersom den direkt påverkar hur man designar sitt systemstöd, går vi igenom grunderna här.

Cybersäkerhetslagen trädde i kraft den 15 januari 2026 och är den svenska implementeringen av EU:s NIS2-direktiv. Den ställer konkreta krav på riskhantering, incidentrapportering och ledningsansvar för tusentals svenska verksamheter.

Två frågor avgör det mesta

I de flesta fall räcker det att ställa sig två frågor:

1. Verkar din organisation inom någon av de 18 utpekade sektorerna?

Cybersäkerhetslagen gäller för verksamheter inom följande sektorer:

  • Energi – el, gas, fjärrvärme
  • Transport – flyg, järnväg, sjöfart, väg
  • Hälso- och sjukvård – sjukhus, laboratorier
  • Finans – banker, infrastruktur för finansmarknaden
  • Dricksvatten – leverantörer och distributörer
  • Avloppsvatten – behandlingsanläggningar
  • Digital infrastruktur – datacenter, DNS, molntjänster
  • IKT-tjänster – managed service providers
  • Offentlig förvaltning – statliga och regionala myndigheter
  • Rymden – markbaserad infrastruktur
  • Post och bud – postoperatörer
  • Avfallshantering – insamling och behandling
  • Kemikalier – tillverkning och distribution
  • Livsmedel – produktion, bearbetning, distribution
  • Tillverkning – medicinsk utrustning, elektronik, maskiner, fordon
  • Digitala tjänster – marknadsplatser, sökmotorer, sociala plattformar
  • Forskning – forskningsorganisationer

2. Är ni ett medelstort eller större företag?

Som huvudregel gäller lagen om ni har minst 50 anställda eller en årlig omsättning över 10 miljoner euro. Är ni under den gränsen är ni i de flesta fall undantagna.

Undantaget som ofta förvånar

En vanlig följdfråga i våra kunddialoger är: "Vi är ett litet bolag, vi kan väl slappna av?" Inte nödvändigtvis.

Vissa verksamheter omfattas oavsett storlek. Det gäller bland annat leverantörer av kritisk digital infrastruktur, vissa DNS-tjänster och domännamnsregistratorer. Är ni en liten aktör men med en systemkritisk roll i er sektor är storleksgränsen inte ett automatiskt undantag.

Varför omfattningen spelar roll för ditt systemstöd

Det här är den del som sällan diskuteras i myndighetsinformation men som är central när man börjar tänka på implementation.

Hur din verksamhet klassas under cybersäkerhetslagen, som väsentlig eller viktig entitet, påverkar direkt vilka krav som gäller och därmed hur ett compliance-system behöver konfigureras. Väsentliga entiteter har striktare krav på incidentrapportering och tillsyn. Viktiga entiteter har något mer utrymme men omfattas fortfarande av lagens nio säkerhetsområden.

Det innebär att klassificeringen inte bara är en juridisk fråga. Den är en systemfråga. Vilka arbetsflöden behöver automatiseras? Vilka roller i organisationen behöver ha tillgång till vad? Hur ska avvikelser eskaleras? Svaren ser olika ut beroende på hur ni klassas.

Registreringsplikten: vad gäller nu?

Om ni berörs finns en registreringsplikt. MCF öppnade sin registreringsportal den 2 februari 2026. MCF har ännu inte kommunicerat tydligt vad som gäller för verksamheter som missat den initiala registreringen. Det är en fråga vi rekommenderar att ni ställer direkt till MCF.

Det registreringen i sig inte löser är det faktiska compliance-arbetet. Att veta att man berörs är steg ett. Att ha ett system som håller koll på krav, deadlines och åtgärder löpande är steg två, och det arbetet bör börja parallellt med registreringen, inte efter.

Nästa steg

När omfattningen är klarlagd är nästa fråga vad lagen faktiskt kräver av er organisation. Det går vi igenom i nästa artikel: Det här kräver cybersäkerhetslagen av din organisation.

Är ni redan förbi den frågan och vill förstå hur ett strukturerat compliance-arbete ser ut i praktiken, läs: Så bygger du ett NIS2-compliant säkerhetsarbete.

Berörs ni och börjar tänka på systemstöd?

Hy5 är Hybriditys compliance-system som omsätter cybersäkerhetslagens krav i hela organisationen, från ledning till operativ nivå. Systemet hanterar kartläggning, uppföljning och incidenthantering utan att det kräver parallella processer eller manuell administration.

Boka en demonstration av plattformen

Hy5 kan drastiskt öka effektiviteten och precision för compliancearbete.

NIS2 Compliance lösningar

Relaterat innehåll

Vad kostar det att inte följa cybersäkerhetslagen?

Vad händer om din organisation inte följer cybersäkerhetslagen? Vi förklarar sanktionsnivåerna, tillsynsmodellen och vad personligt ansvar faktiskt innebär.

Så bygger du ett strukturerat NIS2-compliance-arbete

NIS2-implementation handlar inte om regeltext utan om systemdesign. Så här strukturerar svenska verksamheter ett hållbart compliance-arbete under cybersäkerhetslagen.

Incidentrapportering under cybersäkerhetslagen: tidslinjer och ansvar

Cyberincidenter måste rapporteras inom strikta tidsramar: 24 timmar, 72 timmar och 30 dagar. Vi förklarar vad som krävs i varje steg.

Det här kräver cybersäkerhetslagen av din organisation

Nio säkerhetsområden definierar kraven i cybersäkerhetslagen. Vi går igenom vad som måste dokumenteras och vilka tre områden organisationer ofta underskattar.