Cybersäkerhetslagen börjar gälla den 15 januari 2026. Många organisationer har redan förstått att de omfattas, men färre har en tydlig plan för hur de ska bli redo i tid. I det här inlägget får du en prioriterad vägledning; vad ni behöver göra nu och hur ni undviker de vanligaste fallgroparna.
Aktuell status för införandet av Cybersäkerhetslagen
Cybersäkerhetslagen ställer krav på att verksamheter arbetar systematiskt med skydd av information i nätverk och IT-system. Även om flera föreskrifter och vägledningar redan är på plats saknar många organisationer fortfarande tydliga roller, ansvar och etablerade arbetssätt.
För att leva upp till kraven krävs både rätt resurser och rätt kompetens – från strategisk samordning till detaljarbete i verksamhet och IT. Det handlar inte om en enskild insats, utan om att bygga ett långsiktigt och strukturerat arbetssätt.
Många organisationer går nu från förberedelser till att faktiskt behöva visa hur lagen efterlevs i praktiken. Nedan presenterar vi därför en femstegsmodell som guidar er från nuläge till redo för cybersäkerhetslagen 2026.
Steg 1: Utred om ni omfattas av Cybersäkerhetslagen
Du som läser har högst sannolikt redan identifierat att den organisation du representerar omfattas. Men självklart ska detta utredas innan arbetet initieras.
I vissa fall träffas ni direkt av lagen, medan det i andra fall är tal om att ni träffas indirekt, exempelvis som del av en leveranskedja och i form av ökade krav från kunder.
Innan ni är färdiga med steg 1 ska ni ha dokumenterat följande:
- Är ni en väsentlig eller viktig verksamhetsutövare?
- Är ni leverantör i ett kritiskt led?
- Har ni dotterbolag/koncerner med olika roller?
- Har ni internationella krav att ta hänsyn till?
- Om ni inte träffas direkt men indirekt av lagen, hur då?
Steg 2: Sätt tydliga mål i arbetet
Många sätter otydliga mål, som ”vi ska efterleva lagen”, vilket inte säger något om hur man ska nå dit. Innan detta steg är klart bör ni ha tydliga mål klara.
Exempelvis:
- Vi ska leverera tydliga förslag på organisation och arbetssätt
- Efter år 1 ska x antal verksamheter i organisationen arbeta systematiskt med att följa upp ett urval av kontrollpunkter.
Steg 3: Initiera och definiera ett projekt
Arbetet mot cybersäkerhetslagen behöver bedrivas i projektform för att säkerställa samordning, tempo och tydligt ansvar.
Redan från start behöver det vara klart att projektet inte är målet – det är starten på ett långsiktigt, systematiskt arbete i linjeorganisationen. Därför måste det vara tydligt vem som tar över ansvaret efter projektets slut.
Projektets uppgift är att:
- Ta fram förslag på organisation, roller och arbetssätt
- Säkerställa att dessa leder till lagefterlevnad
- Skapa förutsättningar för långsiktig förvaltning
Projektet ska även tydliggöra vem som är mottagare av leveranserna, hur överlämning ska ske och hur arbetet följs upp över tid. Förslagen bör testas i en pilotverksamhet innan bredare införande.
När detta steg är klart ska det finnas:
- En godkänd projektplan
- En utsedd projektorganisation
- Ett tydligt beslut i ledningen om hur arbetet ska drivas vidare
Steg 4: Gör GAP-analys och ta fram åtgärdsplaner
Projektets huvudleverans bör vara en GAP-analys som visar hur nuläget förhåller sig till kraven i cybersäkerhetslagen. Analysen ska omfatta både styrning, teknik, arbetssätt och leverantörsberoenden.
Resultatet blir en samlad åtgärdsplan som innehåller åtgärder på:
- Strategisk nivå (ledning och styrning)
- Operativ nivå (verksamhet och IT)
Prioritera arbetet i följande ordning:
1. Ledningsnivå – förankring av åtgärdsplan och uppföljning är avgörande. Ledningens ansvar är lagstadgat och kan inte delegeras bort.
2. IT – många åtgärder berör tekniska skydd, driftsäkerhet och åtkomst.
3. Pilotverksamhet – använd piloten för att konkretisera och testa arbetssätten.
4. Uppföljning – säkerställ att rutiner för uppföljning, avvikelser och justering finns på plats.
När detta steg är klart ska det finnas:
- En dokumenterad GAP-analys
- En beslutad åtgärdsplan
- Tydliga uppföljningsrutiner för fortsatt införande
Steg 5: Fastslå och överlämna förslag på organisation, ansvar och systematiskt arbetssätt
Tydliga mottagarparter i er organisation är helt avgörande för om systematik och kontinuitet i arbetet ska behållas över tid. Frågorna är utspridda och mottagarna många. Det ska vara tydligt i projektdokumentation som tagits fram i början av projektet vilka mottagarna är.
När ni är klara här är projektet slutfört och har lämnats över till projektmottagarna.
Att göra innan 15e januari 2026
- Fått godkännande från ledningen om ett projekt för arbetet.
- Valt ut pilotverksamhet.
- Gjort IT-avdelningen införstådd med att de har en viktig roll i arbetet.
- Kommunicerat projektet till hela organisationen, inklusive:
- Utvald pilotverksamhet
- Ringat in vilka som ska ta över arbetet när projektet är avslutat
Långsiktighet i arbetet
Arbetet med cybersäkerhetslagen är i grunden en organisationsfråga, inte ett isolerat IT-initiativ. För att nå faktisk efterlevnad krävs samspel mellan ledning, verksamhet och IT, samt en struktur som håller över tid.
Vi kan stödja detta genom vår plattform för uppföljning av efterlevnad, samt genom rådgivning och projektledning i införandearbetet.
Oavsett var ni befinner er i processen är det avgörande att bygga ett arbete som lever vidare även efter projektfasen.
Boka en demo eller kontakta oss för vidare rådgivning.
Författare Filip Gårdelöv,
Konsult Informationssäkerhet på DirSys AB
