Logga in

Glömt ditt lösenord?

Tre regelverk – en IT-miljö: upphandling, cybersäkerhet och säkerhetsskydd

I en tid av geopolitiska förändringar och sofistikerade cyberhot ställs svenska myndigheter och företag inför en snårig regulatorisk verklighet. När cybersäkerhetslagen och säkerhetsskyddslagen ska tillämpas parallellt i en och samma IT-miljö, uppstår frågor om gränsdragning och kravställning, särskilt vid offentlig upphandling. Hur skapas en robust leveranskedja som möter lagkrav utan att fastna i dubbelarbete eller rättsliga glapp? Denna artikel analyserar de samverkande regelverken och ger vägledning för hur organisationer kan bygga en enhetlig struktur för säkerhet, regelefterlevnad och strategiska inköp. Analysen är författad av Charlotte Brunlid, Advokat och Head of Public Procurement, och Astrid Bohlin, Senior Associate, båda från Advokatfirman DLA Piper. 

1 Inledning 

Allt fler svenska myndigheter och företag möter i dag ett växande spektrum av hot mot sina IT-miljöer. Hotbilden präglas av antagonistiska aktörer från andra länder och ett växande beroende av externa tredje parter genom digitala leverantörskedjor. 

Cybersäkerhet har snabbt blivit en styrnings- och regelefterlevnadsfråga för många organisationer. Samtidigt har kraven på att upprätthålla en hög nivå av cybersäkerhet skärpts genom införandet av direktiv (EU) 2022/2555 (NIS2-direktivet). De som har en verksamhet som är nödvändig för att säkerställa Sveriges säkerhet omfattas dessutom av krav på säkerhetsskydd. Flera regelverk kan gälla parallellt för sådana organisationer och upphandlande myndigheter. 

Cybersäkerhetslagen (2025:1506), som genomför NIS2-direktivet, och säkerhetsskyddslagen (2018:585) kan gälla samtidigt i samma IT-miljö. Det gäller när en organisation omfattas av cybersäkerhetslagen och samtidigt bedriver säkerhetskänslig verksamhet eller hanterar tillgångar som är viktiga för Sveriges säkerhet. Samma IT-miljö kan exempelvis behandla verksamhet som faller inom ramen för cybersäkerhetslagen där delar av verksamheten omfattas av säkerhetsskydd.  

Frågan är hur verksamheter ska säkerställa att de följer cybersäkerhetslagen och säkerhetsskyddslagen samtidigt vid offentlig upphandling. Utmaningarna kan bli stora då cybersäkerhetslagen och säkerhetsskyddslagen är delvis överlappande och då gränsdragningen mellan de reglernas tillämplighet är delvis otydlig. Det finns därtill en komplikation i att verkställa offentlig upphandling av tjänster med de krav på en stegvis process som föreligger enligt upphandlingsregelverken. I det följande kommer vi att redovisa något om de krav som ställs enligt säkerhetsskyddslagen och cybersäkerhetslagen med utgångspunkt i upphandlande myndigheters behov av en skyddad IT-miljö. 

2 Två olika spår: säkerhetsskydd och cybersäkerhet – övergripande nivå 

En IT-miljö kan omfattas av krav både enligt cybersäkerhetslagen och säkerhetsskyddslagen samtidigt. Reglerna är dock olika. Skillnaden ligger främst i det skyddsintresse som respektive lag ska skydda.  

Säkerhetsskyddslagen syftar till att skydda verksamhet och information av betydelse för Sveriges säkerhet. I praktiken handlar lagen om att skydda särskilt känslig verksamhet mot antagonistiska angrepp, till exempel spioneri, sabotage och terroristbrott. Säkerhetsskyddslagen ska skydda svensk säkerhet genom att säkerställa att samma nivå av säkerhetsskydd gäller oavsett var verksamheten bedrivs. Säkerhetsskydd består av tre samverkande delar; personalsäkerhet och fysisk säkerhet och informationssäkerhet (prop. 2017/18:89 s. 52). 

Cybersäkerhetslagen syftar till att uppnå en hög nivå av cybersäkerhet i samhället och innebär att verksamhetsutövare ska skydda sina nätverks- och informationssystem mot cyberhot och incidenter, såsom stöld, obehörig fysisk åtkomst och skador (prop. 2025/26:28 s. 84). Det inkluderar förebyggande, upptäckt och åtgärdande av hot. Alla aktörer, även aktörer som inte direkt omfattas av cybersäkerhetslagen, kan utsättas för en cyberattack mot sina IT-system (eller så kan man drabbas genom att en leverantör utsätts för en attack). Det är då viktigt för respektive aktör att ha en plan för att säkerställa skydd för sina system och för att säkerställa ett stringent och ändamålsenligt agerande om ett viktigt IT-system inte är tillgängligt på grund av en attack mot detta. 

3 Vad krävs enligt lagarna? 

3.1 Säkerhetsskyddslagen 

Säkerhetskänslig verksamhet är sådan verksamhet som har betydelse för Sveriges säkerhet, eller som omfattas av ett internationellt åtagande där Sverige förbundit sig att upprätthålla säkerhetsskydd. Skyddet för Sveriges oberoende och bestånd innefattar suveränitet och okränkta gränser, bevarandet av självstyre och demokratiskt statsskick samt att samhällets grundläggande funktioner kan upprätthållas (prop. 2017/18:89 s. 133). 

Det finns ingen officiell lista eller annan systematik som pekar ut vilka aktörer som bedriver säkerhetskänslig verksamhet i Sverige. Det är verksamhetsutövaren som själv ansvarar för att bedöma om den bedriver säkerhetskänslig verksamhet enligt säkerhetsskyddslagen. Den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd, identifiera skyddsvärden, planera och vidta nödvändiga åtgärder samt kontinuerligt kontrollera och följa upp det egna säkerhetsskyddet. Det är alltså inte en engångsinsats, utan ett fortlöpande styr- och kontrollsystem. 

Den självständiga bedömningsplikt av om en verksamhet omfattas av säkerhetsskyddslagen är central, och den är en tydlig parallell till cybersäkerhetslagen, där verksamheter också ska göra en egen bedömning av huruvida de omfattas av lagen.  

Som vägledning gäller följande där säkerhetsskyddet i huvudsak avser tre huvudkategorier. 

  1. Säkerhetsskyddsklassificerade uppgifter, vilket avser uppgifter om säkerhetskänslig verksamhet som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), eller som skulle ha gjort det om lagen varit tillämplig. Som exempel på sådana uppgifter är uppgifter om uppgifter om militära anläggningar, försvarsplanering eller annan verksamhet för att försvara landet, och uppgifter i underrättelseverksamhet. 
  2. (För det andra omfattas skyddsvärda tillgångar av betydelse för Sveriges säkerhet, såsom anläggningar, objekt, system, egendom samt informationssamlingar som, oavsett klassificering, är kritiska ur tillgänglighets- och riktighetssynpunkt, exempelvis flygplatser, energianläggningar och telekommunikationsanläggningar. 
  • För det tredje omfattas internationella åtaganden om säkerhetsskydd, exempelvis när Sverige har förbundit sig att skydda information eller verksamhet kopplad till luftfartsskydd, militära samarbeten eller insatser mot terrorism.  

Ytterligare sektorer som anses särskilt känsliga för angrepp utifrån säkerhetsskyddslagens perspektiv är verksamheter inom energi- och vattenförsörjning, telekommunikation och transportsektorn. Därtill anses både rättsväsendet och brottsbekämpande myndigheter vara sådan verksamhet.  

En särskild utmaning är att bedömningen av vad som har sådan ”betydelse för Sveriges säkerhet” kan förändras över tid. Förändrade geopolitiska förutsättningar kan exempelvis medföra att verksamheter som tidigare inte har bedömts vara säkerhetskänsliga anses vara säkerhetskänsliga. Det innebär att verksamhetsutövare löpande behöver göra förnyade bedömningar av om verksamheten omfattas av säkerhetsskyddslagen eller inte. 

3.2 Cybersäkerhetslagen 

Cybersäkerhetslagen är i huvudsak inriktad på att en verksamhet ska arbeta med ett systematiskt cybersäkerhetsarbete för att kunna skydda information, IT-system och leveranskedjor i en föränderlig värld.  

Cybersäkerhetslagen trädde i kraft den 15 januari 2026. Lagstiftningen har därmed varit i kraft en tid och de organisationer som omfattas av lagen förväntas nu ha verkställt de åtgärder som krävs enligt lagen. Verksamhetsutövare som omfattas av lagstiftningen ska anmäla sin verksamhet till Myndigheten för civilt försvar ("MCF"). Verksamhetsutövaren ska också införa lämpliga säkerhetsåtgärder utifrån ett allriskperspektiv, se till att ledningen utbildas och rapportera incidenter som påverkar information eller digitala tjänster inom 24 timmar. 

Verksamheter inom 18 sektorer, vilket bland annat omfattar energi, transport, hälso- och sjukvård, vatten- och avlopp, digital infrastruktur, förvaltning av IKT-tjänster och offentlig förvaltning, omfattas av cybersäkerhetslagen. Precis som enligt säkerhetsskyddslagen, är det respektive verksamhet som måste bedöma om verksamheten omfattas av cybersäkerhetslagen.  

MCF är den huvudsakliga tillsynsmyndigheten för cybersäkerhetslagen, men även andra sektorspecifika tillsynsmyndigheter förekommer. Som exempel kan nämnas att Energimyndigheten har tillsyn över energisektorn, och Läkemedelsverket har tillsyn över tillverkare av både läkemedel och medicintekniska produkter. 

En organisation som bedriver ett systematiskt cybersäkerhetsarbete kommer att behöva ha en tydlig, strukturerad styrning och målsättning kring hur organisationen ska arbeta med dessa frågor. Flera tillsynsmyndigheter arbetar för närvarande med att utveckla sådan styrning genom föreskrifter och annan vägledning.  

Om organisationen inte uppfyller kraven i cybersäkerhetslagen kan det leda till både föreläggande och sanktionsavgifter. Ledningen har ett särskilt efterlevnadsansvar enligt cybersäkerhetslagen och bristande ledning och styrning av cybersäkerheten kan bli föremål för ingripanden, i vissa fall till och med förbud mot att inneha ledningsfunktion. 

4 Hur säkerställer upphandlande myndigheter och leverantörer i upphandlade kontrakt ett sammanhållet angreppssätt? 

Rent praktiskt och givet de parallella regler som gäller, behöver en upphandlande myndighet (begreppet omfattar i denna artikel även upphandlande enhet) analysera både om den omfattas av cybersäkerhetslagen och av säkerhetsskyddslagen. Inom denna analys behöver den upphandlande myndigheten identifiera om, och i så fall vilka, system, informationsmängder och tjänster som ska omfattas av cybersäkerhetsarbetet. Samtidigt behöver myndigheten bedöma om delar av verksamheten också är säkerhetskänslig och innehåller sådana skyddsvärden som kräver säkerhetsskydd.  

Upphandlande myndigheter som omfattas av både cybersäkerhetslagen och säkerhetsskyddslagen behöver arbeta sammanhållet med dessa frågor. Ett effektivt arbetssätt kan vara att utgå från en gemensam grund för myndighetens hela IT-miljö och därefter anpassa denna i de delar där informationen har betydelse för Sveriges säkerhet. En sådan gemensam grund bör omfatta en enhetlig struktur för styrning, riskhantering, åtgärder och uppföljning. Att etablera en sådan struktur är en långsiktigt effektiviserande åtgärd.  

I de delar där verksamheten också utgör säkerhetskänslig verksamhet tillkommer säkerhetsskyddslagens särskilda krav som ett ytterligare ”lager” ovanpå cybersäkerhetsarbetet. Målsättningen bör vara att undvika två parallella program, dubbelarbete och en svåröverskådlig dokumentation.  

Åtgärdsarbetet kan utgå från en stabil kontrollbas, till exempel behörighetstilldelning, sårbarhetshantering, kontroll av leverantörer, kontinuitet och incidenthantering. Kontrollbasen bör skärpas där risk och skyddsvärden kräver det. Upptäckta svagheter bör dokumenteras, riskvärderas och omsättas i prioriterade åtgärder med tydligt ansvar, tidsplan och verifiering. På så sätt skapas robusthet i bredd, samtidigt som säkerhetsskyddets tilläggskrav säkerställer kontrollerad exponering i de mest kritiska delarna och ger ett tydligt underlag för uppföljning och förbättring.  

Riskbilden behöver omprövas över tid och åtgärdernas effektivitet följas upp. Regelbundna övningar, särskilt av incidenthantering och leverantörssamverkan, visar ofta om styrning och krav fungerar i praktiken. Detta gäller särskilt när användandet av externa leverantörer och driftmodeller innebär en något flytande gräns mellan intern miljö och extern part. 

4.1 Höga krav på kontroll på leverantörer 

För att en verksamhet ska kunna upprätthålla en hög säkerhetsnivå krävs att verksamhetsutövaren har kontroll över sina leverantörer, så att dessa uppfyller samma krav på säkerhetsskydd eller cybersäkerhet som den egna verksamheten. Detta gäller både för verksamheter som omfattas av säkerhetsskyddslagen och verksamheter som omfattas av cybersäkerhetslagen.  

Det innebär också att verksamhetsutövaren behöver reglera i avtal att leverantörer har ett aktivt och systematiskt cybersäkerhetsarbete och att verksamhetsutövaren löpande kan följa upp och, vid behov, kontrollera cybersäkerheten. I förekommande fall behöver verksamheten också kontrollera säkerhetsskyddet hos externa aktörer som man anlitar eller samarbetar med. Om en leverantör kan få tillgång till säkerhetskänslig information, måste verksamhetsutövaren reglera och kontrollera säkerhetsskyddet hos den andra aktören. I vissa fall blir detta en fråga om ett visst leverantörsupplägg över huvud taget är lämpligt från säkerhetsskyddssynpunkt.  

Som ett utflöde av detta krav ska en verksamhetsutövare, innan ett förfarande där extern aktör kan få tillgång till säkerhetskänslig verksamhet eller säkerhetsskyddsklassificerade uppgifter, göra en särskild säkerhetsskyddsbedömning. Det innebär att verksamhetsutövaren inför exempelvis en upphandling ska identifiera vilka skyddsvärden som berörs, vilka hot, sårbarheter och möjliga skadeverkningar som kan uppkomma och vilka säkerhetsskyddsåtgärder som därför måste vidtas. 

Enligt cybersäkerhetslagen handlar kontroll av leverantörer i första hand om att verksamhetsutövaren ska arbeta systematiskt med sina leverantörer som en del av sina säkerhetsåtgärder. Det innebär att exempelvis att verksamhetsutövaren ska bedöma säkerhetsrisker hos sina leverantörer, beakta deras sårbarheter, produkters och tjänsters kvalitet och de implementerade säkerhetsåtgärder, se NIS2-direktivet skäl 85. 

Sammantaget innebär ovan att en analys av behovet av skydd behöver verkställas så tidigt som möjligt inför offentlig upphandling. Analysen behöver genomföras både utifrån ett cybersäkerhets- och säkerhetsskyddsperspektiv för att säkerställa att samtliga krav och behov får en sådan inverkan på kontraktsföremålet och de krav som ställs, att det får ett verkligt genomslag i den konkreta leveransen.  

Om sådan analys inte genomförs tidigt finns det en risk att det uppstår irreparabla glapp där organisationen, efter tilldelning, upptäcker att den tilltänkta leveransmodellen inte går att förena med de krav som ställs på säkerhet. Som exempel kan detta handla om den upphandlade lösningen förutsätter molnlagring, fjärråtkomst, eller utländsk support, medan verksamheten först efter tilldelning konstaterar att säkerhetskraven förutsätter lokal lagring, nationell kontroll eller säkerhetsprövad personal eller andra säkerhetsskyddsåtgärder som den aktuella leveransmodellen inte kan bära. 

Som en följd av att de regelverk som ska följas är komplexa, kan leverantörsprövningen dessutom behöva ske i flera steg vid offentlig upphandling: 

  • Kvalificeringskrav: Krav behöver ställas på leverantörens kapacitet att bedriva ett systematiskt säkerhetsskydds- och cybersäkerhetsarbete. Eftersom regelverken kan fungera parallellt inom samma avtal, kan en upphandlande myndighet behöva säkerställa att båda dessa lagars krav kan efterlevas redan vid kvalificeringen av anbudsgivare.  
  • Kontraktsvillkor: särskilda villkor om exempelvis åtkomststyrning, loggning, revisionsrätt, incidentrapportering, förändringshantering, underleverantörsbyte, och rätten att kräva korrigerande åtgärder inom viss tid är nödvändiga för att säkerställa regelefterlevnad.  

En central upphandlingsrättslig utmaning kan vara att säkerställa att de krav som behöver ställas på cybersäkerhet och säkerhetsskydd också är proportionerliga i en upphandlingsrättslig mening. Säkerhetsskyddets logik och cybersäkerhetskrav i praktiken kan medföra att vissa leverantörsupplägg måste väljas bort redan på modellnivå. Höga krav kan behöva ställas genom exempelvis särskilda krav på drift- och åtkomstmodeller, underleverantörskedjor och placeringen av en supportfunktion. Det är därför särskilt väsentligt att presentera dessa krav redan i upphandlingsdokumenten.  

4.2 Ändringar i befintliga upphandlade avtal 

När det gäller redan ingångna avtal är frågan om nya eller skärpta cybersäkerhetskrav kan införas utan att ändringen strider mot upphandlingsreglerna. Om avtalet innehåller tydliga ändringsklausuler är det normalt möjligt att göra sådana ändringar på ett sätt som följer av det utrymme som ges i lagen (2016:1145) om offentlig upphandling (LOU). Om sådana klausuler saknas måste ändringen i stället prövas enligt reglerna om ändringar av kontrakt i LOU. Det finns i och för sig ett utrymme att ändra avtal, till exempel om ändringen beror på oförutsebara omständigheter och om ändringen inte är väsentlig. Detta måste dock bedömas konkret utifrån ändringens omfattning och hur den påverkar konkurrensen. En lagändring anses inte alltid vara oförutsebara. Utrymmet för ändringar skulle kunna vara som störst för avtal som ingicks innan de nya kraven rimligen kunde förutses. 

Även om en leverantör själv omfattas av cybersäkerhetslagen kan beställaren behöva se över avtalet och säkerställa att det ger beställaren rätt att styra och kontrollera leverantörens arbete, kräva rapportering eller agera om leverantören brister i sina skyldigheter. 

5 Sammanfattande analys och kommande CER-reglering 

Cybersäkerhetslagen och säkerhetsskyddslagen kan träffa samma IT-miljö, men de bygger på olika skyddsintressen och ställer därför delvis olika krav. Cybersäkerhetslagen fokuserar på ett systematiskt och riskbaserat skydd av nätverks- och informationssystem, medan säkerhetsskyddslagen tar sikte på verksamhet, information och tillgångar av betydelse för Sveriges säkerhet. Den praktiska utmaningen inför en offentlig upphandling är att tidigt identifiera vilka delar av verksamheten som omfattas av vilket regelverk och att omsätta detta i styrning, säkerhetsåtgärder och leverantörskrav.  

Om denna analys genomförs sent i en upphandling finns det en tydlig risk att den valda leveransmodellen inte går att förena med de säkerhetskrav som gäller. Ett sammanhållet arbetssätt, där cybersäkerhet utgör grunden och säkerhetsskyddet skärper kraven där skyddsvärdena kräver det, är därför ofta en förutsättning för både regelefterlevnad och praktiskt fungerande leveranser. 

För redan ingångna avtal behöver nya eller skärpta cybersäkerhetskrav bedömas mot avtalets ändringsklausuler och reglerna om kontraktsändringar i LOU. Även när leverantören omfattas direkt av cybersäkerhetslagen bör avtalet ses över för att säkerställa tillräckliga möjligheter till styrning, kontroll, rapportering och åtgärder vid brister. 

Utöver cybersäkerhetslagen och säkerhetsskyddslagen kommer CER-direktivet, direktiv (EU) 2022/2557, att reglera motståndskraft i samhällsviktig verksamhet. CER-direktivet kommer att innebära krav på varje medlemsstat att ta fram en nationell strategi för hur man ska öka motståndskraften hos samhällsviktig verksamhet. Organisationer kommer att väljas ut och åläggas skyldighet att säkerställa stabilitet också i kris. Det innebär ett tredje regelverk som ska tillämpas på säkerhetsområdet. Vi planerar att återkomma med en uppföljande beskrivning av detta regelverk när riksdagen har fattat beslut om svensk lagstiftning. Sådant beslut förväntas i nuläget under år 2026. 

Ursprungligen publicerad i JP ITnet.

Ny praxis och lagändringar kan ha tillkommit sedan texten skrevs. De senaste uppdateringarna och hur dessa påverkat rättsområdet hittar du alltid i relevant informationstjänst.

Publicerad 22 maj 2026

Charlotte Brunlid

Advokat och Head of Public Procurement, DLA Piper Sweden

Astrid Bohlin

Senior Associate, DLA Piper

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Cybersäkerhetslagen NIS2 för upphandlare
Cybersäkerhetslagen NIS2 för upphandlare
Kamerabevakning, tillstånd och GDPR
Kamerabevakning, tillstånd och GDPR
Kommunicera dataskyddsfrågor med styrelse och ledning
Kommunicera dataskyddsfrågor med styrelse och ledning
Se alla kurser inom it och dataskydd

Tjänster

JP ITnet

Informationstjänsten för dig som arbetar med juridiska frågor inom IT och dataskydd.

Webbkursbibliotek

Säkra en juridisk grundkompetens till alla i din organisation med en flexibel, effektiv och lättillgänglig kompetensutveckling.

Lagkommentar till öppna data-lagen

Lagkommentaren är skriven av Monika Wendleby. Kommentaren beskriver rättsläget och behandlar frågor som är relevanta för den praktiserande juristen.
Se alla tjänster inom it och dataskydd

Nyheter

EDPB:s beslut är en rättsakt som kan tas upp till prövning
IT och dataskydd

EU-domstolen upphäver tribunalens beslut om att avvisa WhatsApps talan mot EDPB:s beslut och återförvisar målet för prövning i sak. 

4 maj 2026

Inget registerutdrag för registrerad med otillbörliga avsikter
IT och dataskydd

EU-domstolen har klargjort att en personuppgiftsansvarig inte behöver lämna ett registerutdrag när en registrerad har haft en otillbörlig avsikt. Läs vår expertanalys.

4 maj 2026

Hur kan personuppgiftsansvar mellan parter se ut och regleras?
IT och dataskydd

Vår dataskyddsjurist Mari Heidenberg Östholm reder ut vad som gäller.  

31 mar 2026

Se alla nyheter inom it och dataskydd

JP Infonets webbplatser använder cookies för att fungera på ett bra sätt. Du kan när som helst ändra ditt samtycke till kakor.

Läs mer om kakor (cookies)

Dölj detaljer Visa detaljer Hantera kakor