Ny cybersäkerhetslag påverkar VA-organisationerna

Den 14 oktober 2025 överlämnade regeringen propositionen Ett starkt skydd för nätverks- och informationssystem – en ny cybersäkerhetslag till riksdagen. Den nya cybersäkerhetslagen genomför EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå inom EU (NIS 2-direktivet) i svensk lagstiftning och ersätter den nuvarande lagen om informationssäkerhet för samhällsviktiga och digitala tjänster.

Cybersäkerhetslagen omfattar bland annat verksamheter som producerar dricksvatten och tar omhand avloppsvatten och som storleksmässigt motsvarar eller är större än ett medelstort företag. I förhållande till nuvarande lagstiftning är detta en utökning då endast dricksvattenproducenter omfattats sedan tidigare. Även kommuner och kommunalförbund omfattas av den nya cybersäkerhetslagen.

Krav på flera åtgärder

Den nya cybersäkerhetslagen innebär krav på att vidta åtgärder för att skydda nätverks- och informationssystem. Lagen innebär bland annat att:

• Verksamhetsutövare som omfattas ska vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att skydda nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster och systemens fysiska miljö mot incidenter (säkerhetsåtgärder).
• De personer som ingår i ledningen för en verksamhetsutövare ska genomgå utbildning om säkerhetsåtgärder.
• Verksamhetsutövare ska rapportera betydande incidenter.
• Nya regler införs om tillsyn och ingripandemöjligheter införs.

Den nya cybersäkerhetslagen och övriga lagändringar föreslås träda i kraft den 15 januari 2026. Lagen kompletteras med en förordning om cybersäkerhet och den kommer även att kompletteras med föreskrifter från MSB gällande bland annat anmälan och identifiering av verksamheter, säkerhetsåtgärder och utbildning, incidentrapportering och informationsskyldighet samt säkerhetsrevisioner och säkerhetsskanningar.

Läs mer på riksdagens webb