Remiss: Förslag till nya föreskrifter om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare enligt ny Cybersäkerhetslag
Välkommen att lämna synpunkter på förslag till nya föreskrifter om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare.
Remissen syftar till att förankra och kvalitetssäkra verkställighetsföreskrifterna.
Remisstid
Vi vill ha dina synpunkter på de föreslagna föreskrifterna och konsekvensutredningen senast 18 oktober 2025.
MSB önskar att ni sammanställer era synpunkter i bifogad svarsmall.
Skicka ditt svar med e-post till registrator@msb.se, eller med vanlig post.
Märk ditt svar med diarienummer MSB 2025-11903.
Postadress:
MSB
651 81 Karlstad
Kontakt
Frågor hänvisas till funktionsbrevlådan nis2-cer@msb.se
Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS2-direktivet) ska implementeras i Sverige genom cybersäkerhetslagen (2025:XXX). Lagen planeras att börja gälla den 15 januari 2026.
MSB har fått i uppdrag av regeringen att vidta vissa åtgärder för att förbereda genomförandet av NIS2-direktivet. I detta ingår att förbereda för att meddela föreskrifter rörande:
- Anmälningsskyldighet
- Kriterier för när en verksamhetsutövare ska omfattas av regelverket med hänvisning till sin särskilda betydelse i samhället och när sådana verksamhetsutövare ska räknas som väsentliga
- Vad som utgör huvudsakligt etableringsställe
- Undantag för partnerföretag och anknutna företag
- Säkerhetsåtgärder
- Utbildning
- Rapporteringsskyldigheter
- Vad som utgör en betydande incident
- Skyldighet att informera vid betydande incidenter och betydande cyberhot
- Säkerhetsrevisioner och säkerhetsskanningar
Vid årsskiftet 2025/2026 kommer myndigheten att byta namn till Myndigheten för civilt försvar. Detta påverkar utformningen av föreskrifterna.
Föreskrifter om anmälan och identifiering
Förslaget till föreskrifter om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare syftar till att förtydliga en verksamhetsutövares anmälningsskyldighet enligt 2 kap 2 § cybersäkerhetslagen samt kriterier för en organisations bedömning om den utgör en verksamhetsutövare i cybersäkerhetslagens mening avseende diverse undantag.
Vilka som omfattas av regelverket framgår av cybersäkerhetslagen. Syftet med dessa föreskrifter är bland annat att tydliggöra vissa undantag från huvudregelns storlekskrav. MSB har påbörjat arbetet med att ta fram en vägledning som stöd för organisationernas bedömning om de omfattas eller inte.
Dokument
- Missiv remiss Förslag till nya föreskrifter om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare
- Remissvarsmall
- Remiss: Förslag till nya föreskrifter om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare
- Konsekvensutredning rörande föreskrifter om anmälning och identifiering av väsentliga och viktiga verksamhetsutövare