Cybersäkerhetslagen och ISO 9001, 27001 och 42001: vad gäller nu?

Cybersäkerhetslagen (SFS 2025:1506) gäller sedan 15 januari 2026. Den ersätter den gamla NIS-lagen och genomför delvis EU:s NIS2-direktiv i svensk rätt. Resterande delar genomförs genom förordningar och myndighetsföreskrifter.

Många organisationer som redan jobbar med ISO-standarder undrar hur mycket nytt detta faktiskt innebär. Svaret beror på vilken standard ni har och hur noggrant ni har tillämpat den.

Vad lagen kräver

Lagen gäller för verksamhetsutövare inom sektorer som energi, transport, hälso- och sjukvård, digital infrastruktur och offentlig förvaltning. Kommuner och regioner omfattas oavsett storlek. Statliga myndigheter omfattas om de fattar beslut som påverkar gränsöverskridande rörlighet, eller om regeringen särskilt pekar ut dem. För privata aktörer gäller oftast gränsen medelstora företag och uppåt.

Skyldigheter enligt 2 kap. 3 § delas upp i tio punkter som alla verksamhetsutövare måste hantera:

1. Strategier för riskanalys och nätverks- och informationssystemens säkerhet
2. Incidenthantering
3. Kontinuitetshantering och krishantering
4. Säkerhet i leveranskedjan
5. Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem
6. Strategier och förfaranden för att bedöma effektiviteten i säkerhetsåtgärderna
7. Grundläggande praxis för cyberhygien och utbildning i cybersäkerhet
8. Strategier och förfaranden för användning av kryptografi och, vid behov, kryptering
9. Personalsäkerhet, strategier för åtkomstkontroll och tillgångsförvaltning
10. Vid behov, användning av lösningar för autentisering, säkrade kommunikationer och säkrade nödkommunikationssystem

Utöver det kräver lagen att ledningen genomgår utbildning om säkerhetsåtgärder (2 kap. 4 §), och att betydande incidenter rapporteras i flera steg: en tidig upplysning inom 24 timmar (2 kap. 5 §), en incidentanmälan inom 72 timmar (2 kap. 6 §) — eller 24 timmar för leverantörer av betrodda tjänster — och en slutrapport inom en månad (2 kap. 8 §).

Bryter ni mot lagen? Sanktionsavgiften för väsentliga enskilda verksamhetsutövare är 2 procent av den totala globala årsomsättningen eller 10 miljoner euro, det som är högst. För viktiga enskilda verksamhetsutövare är det 1,4 procent eller 7 miljoner euro. Offentliga verksamhetsutövare har ett tak på 10 miljoner kronor. (4 kap. 10 §)

ISO 27001 täcker merparten

ISO/IEC 27001:2022 är den standard som ligger närmast cybersäkerhetslagens krav. Det är ingen slump: NIS2-direktivet och ISO 27001 bygger på samma grundläggande principer för informationssäkerhet.

Lagen kräver riskanalys (punkt 1). ISO 27001 kräver en strukturerad riskbedömningsprocess (klausul 6.1.2) och ett tillämplighetsutlåtande (SoA) som dokumenterar vilka kontroller ni valt och varför.

Lagen kräver incidenthantering (punkt 2). ISO 27001 har kontroll A.5.24–A.5.28 som täcker hela cykeln: planering, rapportering, bedömning och lärande av incidenter.

Lagen kräver säkerhet i leveranskedjan (punkt 4). ISO 27001 Annex A.5.19–A.5.22 täcker leverantörssäkerhet, från krav i avtal till uppföljning och förändringshantering.

Lagen kräver åtkomstkontroll och personalsäkerhet (punkt 9). ISO 27001 A.5 och A.6 täcker det systematiskt: bakgrundskontroller, ansvarsfördelning, behörighetshantering.

Har ni ISO 27001 och tillämpar kraven ordentligt, inte bara dokumenterat dem, är ni redan nära. Det som återstår är oftast att stämma av att ledningsgenomgången specifikt täcker cybersäkerhetslagens krav och att incidentrapporteringsrutinen klarar lagens tidskrav: 24 timmars upplysning, 72 timmars incidentanmälan och slutrapport inom en månad.

ISO 9001 ger grunden

ISO 9001 är inte en informationssäkerhetsstandard. Men den ger strukturen som gör att säkerhetsarbetet faktiskt fungerar i praktiken.

PDCA-cykeln (planera, genomföra, följa upp, förbättra) som ISO 9001 bygger på är samma logik som cybersäkerhetslagen kräver för punkt 6: strategier för att bedöma effektiviteten i säkerhetsåtgärderna. Ni ska inte bara ha åtgärder; ni ska kontrollera att de fungerar och förbättra dem.

Ledningens ansvar enligt ISO 9001 klausul 5 matchar lagens krav på att ledningen ska utbildas (2 kap. 4 §) och ta ett aktivt ansvar. Det räcker inte att ha en IT-chef som äger frågorna. Lagen kräver att personerna i ledningsfunktionen förstår säkerhetsåtgärderna.

Leverantörsstyrning (ISO 9001 klausul 8.4) stöder lagens krav på leveranskedjans säkerhet. Har ni rutiner för att bedöma och följa upp leverantörer av kvalitetsskäl kan ni bygga vidare på dem för säkerhetskrav.

ISO 9001 är alltså en bra grund, men den räcker inte ensam. Den saknar de tekniska kontrollerna och det informationssäkerhetsspecifika ramverket som 27001 ger.

ISO 42001 tillkommer om ni använder AI

ISO/IEC 42001:2023, standarden för ledningssystem för AI, är relevant om er organisation använder AI-system i den verksamhet som omfattas av cybersäkerhetslagen.

Cybersäkerhetslagen kräver säkerhet i leveranskedjan (punkt 4) och vid förvärv och underhåll av nätverks- och informationssystem (punkt 5). Inköpta AI-system är system, och de medför risker som skiljer sig från traditionell programvara: träningsdatasberoenden, oförutsägbart beteende, tredjepartsberoenden till AI-leverantörer.

ISO 42001 klausul 6.1.2 kräver en AI-specifik riskbedömning. Annex A.10 täcker tredjepartsrelationer för AI, exakt den leveranskedjeproblematik som lagen adresserar.

Konsekvensbedömningen i ISO 42001 (klausul 6.1.4, Annex A.5) är också relevant för lagens krav på kontinuitetshantering (punkt 3): vad händer om ett AI-system ni är beroende av slutar fungera eller ger felaktiga utfall i en krissituation?

Ni behöver inte certifiera er enligt ISO 42001 för att uppfylla cybersäkerhetslagen. Men om ni använder AI-system i verksamheten ger ramverket ett bra sätt att strukturera riskarbetet kring dem, och det skapar ett tydligt dokumentationsspår om ni granskas.

Vad ni behöver göra nu

Beroende på var ni befinner er:

Har ni ISO 27001: Gör en gap-analys mot cybersäkerhetslagens tio punkter i 2 kap. 3 §. Kontrollera att incidentrapporteringsrutinen klarar lagens tidskrav på 24 timmar, 72 timmar och en månad. Se till att ledningen dokumenterat genomgången säkerhetsutbildning.

Har ni ISO 9001 men inte 27001: Informationssäkerhet är sannolikt ett gap. Börja med en riskbedömning av era informationssystem och bedöm om en ISO 27001-certifiering är rätt väg, eller om ni kan täcka kraven på annat sätt.

Har ni varken 27001 eller 9001: Börja med att ta reda på om lagen gäller er organisation, sektortillhörighet och storlek avgör det. Är ni omfattade behöver ni ett strukturerat säkerhetsarbete relativt omedelbart. Ett ledningssystem efter ISO 27001 ger er både strukturen och beviset.

Använder ni AI-system i den verksamhet som berörs: Gör en inventering av vilka AI-system ni använder och bedöm riskerna med dem. ISO 42001 ger ett ramverk för det arbetet.

Tillsynen av cybersäkerhetslagen utförs av sektorspecifika myndigheter utsedda av regeringen. Väsentliga verksamhetsutövare granskas proaktivt, viktiga reaktivt. Granskas ni vill ni ha dokumentation som visar ett fungerande system, inte en pärm ni plockar fram dagen tillsynen ringer.

---

AmpliFlow stödjer ISO 27001, ISO 9001 och ISO 42001 i samma system. Riskbedömning, tillämplighetsutlåtande, incidenthantering och leverantörskrav hanteras på ett ställe. Läs mer om hur AmpliFlow stödjer informationssäkerhetsarbetet eller boka en demo.