En glödande blå skyddssköld som svävar framför serverrack i ett datacenter, som symboliserar skärpta säkerhetskrav enligt cybersäkerhetslagen.
Nyheter
Fredrik Eriksson
Fredrik Eriksson ·

Cybersäkerhetslagen: vad den betyder för dig som webbhotellkund

En ny lag som stärker säkerheten i digital infrastruktur

Den 15 januari 2026 trädde Cybersäkerhetslagen (2025:1506) i kraft i Sverige. Lagen implementerar EU:s NIS2-direktiv i svensk rätt och ersätter den tidigare NIS-lagstiftningen från 2018. Syftet är att höja den gemensamma cybersäkerhetsnivån i EU, och Sverige är nu ett av de sista länderna i unionen att genomföra direktivet.

För den som driver en liten sajt eller ett litet företag är det lätt att tänka att det här inte berör en. Det stämmer delvis. Men lagen påverkar de leverantörer du köper tjänster av, och det i sin tur har praktisk betydelse för hur din data hanteras och skyddas.

Vem lagen faktiskt gäller

Cybersäkerhetslagen riktar sig mot organisationer i 18 utpekade sektorer som anses samhällskritiska. Digital infrastruktur är ett av dessa områden, och det inkluderar DNS-leverantörer, molntjänster, datacenter och CDN-tjänster. Det är alltså webbhotell, molnplattformar och liknande leverantörer som träffas av lagen, inte du som privatperson eller liten webbplatsägare.

Tröskeln för att omfattas ligger ungefär vid 50 anställda eller en omsättning på 10 miljoner euro. Berörda organisationer ska registrera sig hos Myndigheten för samhällsskydd och beredskap (MSB) senast den 30 september 2026. Tillsynsmyndighet för digital infrastruktur är Post- och telestyrelsen (PTS), som alltså är den myndighet som granskar att de större webbhotell och molntjänster som faller inom lagens räckvidd faktiskt lever upp till kraven.

Sammantaget beräknas lagen beröra runt 8 000 svenska organisationer, att jämföra med ungefär 900 under den gamla NIS-lagen. Det är en stor utvidgning.

Vad det innebär för dig som kund

De konkreta krav som lagen ställer på leverantörerna handlar om riskhantering, incidentrapportering och dokumenterade säkerhetsåtgärder. Ledningen ska utbildas. Allvarliga incidenter ska rapporteras inom bestämda tidsramar. Det ska finnas ordning på kontinuitetsplanering och leverantörskedjan.

För dig som kund innebär det att de större svenska och europeiska webbhotellen nu är rättsligt förpliktade att hålla en nivå som tidigare var frivillig. Att ett webbhotell faller under lagen är i sig ett tecken på att det har tillräcklig storlek och struktur för att ha processer på plats, och att det nu dessutom har ett tillsynsorgan som granskar dem.

Det betyder inte automatiskt att ett litet webbhotell utanför lagens räckvidd är osäkert, men det förändrar ansvarsbilden. Väljer du en leverantör som träffas av Cybersäkerhetslagen vet du att det finns ett lagstadgat golv för deras säkerhetsarbete.

Datasuveränitet och var servrarna faktiskt står

En fråga som hänger ihop med allt det här är var din data fysiskt befinner sig. Det är inte bara en teknisk fråga utan en juridisk. NIS2-kraven gäller inom EU, och svenska och europeiska leverantörer som faller under lagen måste följa dem. En leverantör utanför EU omfattas inte av samma regelverk, oavsett vad deras marknadsföring påstår.

Läs gärna mer om hur serverns placering påverkar GDPR och din data. Det är en faktor som blivit mer relevant i takt med att lagstiftningen skärpts.

Hur du ser att ett webbhotell tar säkerhet på allvar

Oavsett om ett webbhotell formellt faller under Cybersäkerhetslagen eller inte finns det saker att titta på när du väljer leverantör. Några konkreta signaler på att säkerhetsarbetet är seriöst:

  • Tydlig information om var servrarna finns och vem som äger infrastrukturen
  • Dokumenterade rutiner för incidenthantering, gärna publikt tillgängliga
  • Automatisk säkerhetskopiering med möjlighet att återställa till specifika tidpunkter
  • Gratis SSL ingår och förnyas automatiskt
  • Databehandlingsavtal (DPA) som lever upp till GDPR, utan krångel
  • Kommunikation vid driftstörningar via statussida eller direktmeddelande

En leverantör som är öppen med hur de hanterar problem, och som har tydliga avtal, är generellt sett mer pålitlig än en som lovar mycket men är vag i detaljerna. Vill du ha en mer genomgående checklista finns den i vår guide om att välja ett säkert webbhotell.

En lag i rätt riktning, utan att oroa dig i onödan

Cybersäkerhetslagen är inte skrämmande för den som driver en vanlig webbplats. Den är ett verktyg som tvingar de stora infrastrukturleverantörerna att ta sitt ansvar på allvar, med tillsyn och sanktioner som konsekvens om de misslyckas. Det är i grunden goda nyheter för alla som förlitar sig på digital infrastruktur, vilket i praktiken är nästan alla.

Det viktigaste du kan göra som kund är att välja leverantörer med tydlig europeisk förankring, klara avtal och öppen kommunikation. Resten sköter lagen om.