Sveriges cybersäkerhetslandskap står inför en betydande omorganisation. Genom ändringar i cybersäkerhetsförordningen (2025:1507) flyttas centrala uppgifter från Myndigheten för civilt försvar (MCF) till Försvarets radioanstalt (FRA) från och med den 1 juli 2026. Förändringen innebär inte bara ett organisatoriskt skifte utan också att ansvaret för flera centrala funktioner inom det nationella cybersäkerhetsarbetet samlas hos FRA.
Enligt den ändrade förordningen blir FRA Sveriges gemensamma kontaktpunkt enligt NIS2-direktivet, ansvarig CSIRT-enhet för hantering av it-säkerhetsincidenter, cyberkrishanteringsmyndighet samt ledande myndighet för samordning mellan tillsynsmyndigheter. Samtidigt övertar FRA rätten att utfärda föreskrifter inom flera delar av cybersäkerhetslagen.
För verksamhetsutövare som omfattas av den nya cybersäkerhetslagen är föreskrifterna av särskild betydelse. Dessa regler ska konkretisera krav på bland annat incidentrapportering, säkerhetsåtgärder, utbildning, säkerhetsrevisioner och informationsskyldighet. Flera föreskrifter har varit föremål för remissförfarande under våren, men tidsramen fram till den 1 juli är begränsad. Om MCF inte hinner besluta om samtliga föreskrifter innan mandatet övergår till FRA kan den nya ansvariga myndigheten välja att omarbeta eller komplettera regelverket.
Förändringen är en del av regeringens bredare strategi att samla nationell cybersäkerhetskompetens inom Nationellt cybersäkerhetscenter, som organisatoriskt är placerat hos FRA. Regeringens uttalade mål är att skapa ett mer sammanhållet och kraftsamlat cybersäkerhetsarbete där FRA fungerar som nav för nationell samordning.
Cybersäkerhetslagen och cybersäkerhetsförordningen, som genomför EU:s NIS2-direktiv i svensk rätt, trädde i kraft den 15 januari 2026. Regelverket omfattar ett stort antal offentliga och privata verksamheter inom samhällsviktiga sektorer såsom energi, transporter, vård, digital infrastruktur och finanssektorn.
För företag och organisationer som omfattas av regelverket innebär övergången att den myndighet som ansvarar för flera centrala cybersäkerhetsfunktioner byts mitt under införandet av de nya reglerna. Det kan skapa viss osäkerhet kring tidsplaner och kommande föreskrifter, samtidigt som regeringen bedömer att förändringen ska stärka Sveriges långsiktiga cybersäkerhetsförmåga.
Sammanfattning
Från den 1 juli 2026 övergår flera centrala cybersäkerhetsuppgifter från Myndigheten för civilt försvar till Försvarets radioanstalt. FRA får ansvar för nationell samordning, incidenthantering, cyberkrisberedskap och föreskriftsgivning inom stora delar av cybersäkerhetsområdet. Förändringen är en del av regeringens strategi att samla cybersäkerhetsarbetet kring Nationellt cybersäkerhetscenter och genomförs samtidigt som Sverige inför NIS2-regelverket fullt ut.
Källförteckning
- Cybersäkerhetsförordning (2025:1507), Sveriges riksdag: https://www.riksdagen.se/sv/dokument-och-lagar/dokument/svensk-forfattningssamling/cybersakerhetsforordning-20251507_sfs-2025-1507/
- Regeringskansliets rättsdatabaser – Cybersäkerhetsförordning (2025:1507): https://rkrattsbaser.gov.se/sfsr?bet=2025%3A1507
- Förordning (2026:623) om ändring i cybersäkerhetsförordningen: https://svenskforfattningssamling.se/doc/2026623.html
- Myndigheten för civilt försvar – Tidsplan för införandet av cybersäkerhetslagen: https://www.mcf.se/sv/amnesomraden/informationssakerhet-och-cybersakerhet/krav-och-regler-inom-informationssakerhet-och-cybersakerhet/nis-direktivet/cybersakerhetslagen-nis2/tidsplan-for-inforandet-av-cybersakerhetslagen-i-sverige/
- Myndigheten för civilt försvar – Regeringsbeslut om att samla cybersäkerhetsverksamhet hos NCSC/FRA: https://www.mcf.se/sv/aktuellt/nyheter/2025/november/regeringsbeslut-om-att-samla-cybersakerhetsverksamhet-hos-nationellt-cybersakerhetscenter-ncscfra/