Den nya Cybersäkerhetslagen är här: Är din kommun redo för 2026?

Den 15 januari 2026 markerar ett skifte för Sveriges kommuner. Den nya Cybersäkerhetslagen (2025:1506), som genomför NIS 2-direktivet i svensk rätt, innebär att it-säkerhet nu är ett lagkrav med tydliga konsekvenser för ledning och drift.

Den nya lagstiftningen kräver att offentliga verksamheter ser över sin it-infrastruktur från grunden. Strategier som tidigare byggt på manuell hantering och reaktiva åtgärder behöver nu ersättas av systematiska och automatiserade processer för att möta de strikta kraven på motståndskraft.

Vad innebär lagen i praktiken?

Syftet är att uppnå en hög nivå av cybersäkerhet i hela samhället. Som kommun räknas ni som en offentlig verksamhetsutövare, vilket i de flesta fall innebär att ni klassas som en väsentlig verksamhet.

Detta medför specifika skyldigheter:

• Ledningens ansvar: Ledningen måste genomgå utbildning om säkerhetsåtgärder och kan hållas ansvarig för brister.

• Sträng incidentrapportering: Vid en betydande incident måste ni informera tillsynsmyndigheten inom bara 24 timmar.

• Sanktionsavgifter: För offentliga verksamhetsutövare kan avgiften uppgå till 10 miljoner kronor vid allvarliga överträdelser. I extrema fall kan beslutsfattare till och med förbjudas att inneha ledningsfunktioner.

Säkerhet börjar med identiteten

Lagen ställer krav på att organisationer vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda sina nätverk. En central del av detta är åtkomstkontroll och tillgångsförvaltning.

I många organisationer är användarhanteringen fortfarande en manuell utmaning. Användarkonton som lämnas öppna efter avslutad anställning och otydliga behörigheter är två av de vanligaste sårbarheterna som cyberangripare utnyttjar. För att möta lagens krav på kontroll och spårbarhet krävs en modern ansats till identitetshantering (IAM).

Automatisering som en strategisk fördel

För att efterleva de nya kraven utan att överbelasta it-avdelningen är automatisering av användarnas livscykel – från nyanställning till avslut – en nödvändighet. Genom att låta systemet sköta de repetitiva uppgifterna uppnår ni flera fördelar:

1. Eliminering av mänskliga fel: När konton skapas och avslutas automatiskt baserat på personaldata, försvinner risken för att behörigheter blir kvar av misstag.

2. Spårbarhet och efterlevnad: Varje åtkomst och förändring loggas, vilket förenklar revisioner och uppfyller kraven i både GDPR och den nya Cybersäkerhetslagen.

3. Delegerat ansvar: Genom att ge verksamhetschefer möjlighet att själva godkänna åtkomst inom säkra ramar, flyttas besluten närmare verksamheten samtidigt som it-avdelningen behåller den övergripande kontrollen.

Hur ser vägen framåt ut?

Cybersäkerhetslagen är nu en del av vardagen för svensk offentlig sektor. Det är en utmaning, men också en möjlighet att skapa en mer robust och effektiv digital miljö. Genom att sätta identiteten i centrum skapar ni en säkerhetsarkitektur som håller över tid.

Vi på Identum har byggt vår molnbaserade IAM-lösning för att automatisera just de kontrollmoment som lagen kräver. Med vår erfarenhet av skandinaviska organisationer ger vi er tekniken som krävs för att navigera rätt, så att ni kan lita på att era system alltid lever upp till de nya kraven.

Vanliga frågor om Cybersäkerhetslagen och NIS 2 (FAQ)

Vem är tillsynsmyndighet för kommuner enligt den nya lagen?

Från och med den 1 januari 2026 är det främst den nya Myndigheten för civilt försvar (MCF) som ansvarar för tillsyn och tar emot incidentrapporter från kommunala verksamheter.

Omfattas alla kommunala förvaltningar av den nya lagen?

Ja, de flesta kommunala verksamheter klassas som antingen ”väsentliga” eller ”viktiga” tjänster. Detta innebär att hela den digitala infrastrukturen måste uppfylla de säkerhetskrav som definieras i Cybersäkerhetslagen (2025:1506).

Vad är det första steget mot efterlevnad för en kommun?

Det första steget är att genomföra en gap-analys. Syftet är att identifiera var manuella processer (som exempelvis manuellt skapande av användarkonton) inte lever upp till lagens krav på spårbarhet, kontroll och snabb incidenthantering.

Hur snabbt måste en IAM-lösning vara på plats?

Lagen trädde i kraft den 15 januari 2026 och gäller därmed redan nu. Kommuner bör prioritera automatiserad avslutshantering (offboarding) omedelbart, då detta adresserar den mest kritiska säkerhetsbristen vid revisioner: kvarlämnade behörigheter.