Det här gäller för nya cybersäkerhetslagen

Den 15 januari 2026 träder cybersäkerhetslagen (2025:1506) i kraft. Lagen innebär att direktiv 2022/2555 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet) införlivas i Sverige. Syftet med lagen är att höja cybersäkerhetsnivån för samhällskritisk infrastruktur inom EU. Reglerna omfattar samhällsviktiga tjänster och vissa digitala tjänster. I finanssektorn omfattas sektorerna bankverksamhet och finansmarknadsinfrastruktur.

Den 17 januari 2025 trädde Dora-förordningen i kraft. Dora är sektorsspecifik lagstiftning för finanssektorn och tillämpas enligt principen om lex specialis för finansiella företag. Det innebär att Dora-förordningen har företräde framför den nya cybersäkerhetslagen för finansiella företag. Därför ska finansiella företag följa Dora-förordningens krav gällande bland annat riskhantering och incidentrapportering istället för motsvarande krav i cybersäkerhetslagen.

Anmälan av leverantör

Finansiella företag omfattas dock av anmälningskravet i den nya cybersäkerhetslagen. Företag inom sektorerna bankverksamhet och finansmarknadsinfrastruktur som identifierar sig som leverantörer av samhällsviktiga tjänster ska anmäla detta genom Myndigheten för civilt försvar (MCF) via MCF:s anmälningsportal. Informationen som lämnas vid anmälan kommer MCF att tillhandahålla Finansinspektionen. För mer information, se MCF:s hemsida.

Incidentrapportering

Dora-förordningen har företräde i förhållande till cybersäkerhetslagen gällande bland annat incidentrapportering. Därför ska de finansiella företag som omfattas av cybersäkerhetslagen fortsatt rapportera allvarliga IKT-relaterade incidenter enligt Dora till Finansinspektionen.

Finansinspektionen kommer att vidarebefordra de inrapporterade allvarliga IKT-relaterade incidenterna enligt Dora från de verksamhetsutövare som har anmält att de omfattas av cybersäkerhetslagen till MCF.

Mer information om NIS2-direktivet finns här.