Regulatoriska nyheter inom cyberrätt 2025

2025 har medfört flera betydande förändringar inom cybersäkerhet och cyberrätt. Nya lagar och uppdaterade regelverk har trätt i kraft som en del av EU:s Digital Decade, och ytterligare regelverk väntas införlivas under året. Utvecklingen inom området går snabbt, och det är viktigare än någonsin att företag håller sig uppdaterade. Magnusson följer löpande hur EU:s Digital Decade steg för steg implementeras, och vi ser fram emot att följa hur ytterligare regelverk införlivas i svensk rätt under den kommande perioden.

Här går vi igenom de mest relevanta lagändringarna inom cyberrätt under våren 2025 och belyser de regulatoriska uppdateringar som är särskilt viktiga att ha koll på framöver.

NYA LAGAR VÅREN 2025

Efter lång väntan har DORA-förordningen

nu trätt i kraft. Från och med den 17 januari är regelverket tillämpligt. I samband med detta trädde även ett flertal nya och ändrade föreskrifter från Finansinspektionen i kraft. Bland annat har ett nytt särskilt rapporteringsförfarande för IKT-relaterade incidenter införts, och med anledning av detta infördes ett undantag i FFFS 2015:13 Finansinspektionens föreskrifter och allmänna råd om tillsynsrapportering för försäkringsrörelse (ändras genom FFFS 2024:30). Undantaget medför att bestämmelserna i 4 kap. i FFFS 2015:13 inte ska tillämpas för rapporteringen av sådana allvarliga IKT-relaterade incidenter som avses i artikel 19 i DORA-förordningen, utan att försäkringsföretag istället ska hantera sådana incidenter enligt det särskilda förfarandet i enlighet med DORA-regelverket. Liknande justeringar har gjorts även i andra föreskrifter som påverkar andra typer av finansiella företag.

Sedan den 2 februari 2025 är AI-system

som bedöms innebära en oacceptabel risk enligt artikel 5 i AI-förordningen förbjudna inom EU. För leverantörer och tillhandahållare (användare) av AI-system gäller även från detta datum, enligt artikel 4 i AI-förordningen, att anställda eller andra personer som arbetar för företagets räkning med drift och användning av AI-system ska ha tillräcklig AI-kunnighet, med beaktande av bland annat deras tekniska kunskaper, erfarenhet och utbildning. Den 2 februari 2025 utgjorde således förordningens första deadline för tillämplighet, vilken blir tillämplig i sin helhet den 2 augusti 2026.

IMY och Myndigheten för digital förvaltning (Digg)

har för regeringen presenterat nationella riktlinjer kring generativ AI i offentlig sektor. Totalt har 18 olika riktlinjer tagits fram som berör sju olika områden (ledning och ansvar; informationssäkerhet; upphovsrätt; dataskydd/GDPR; etik; arbetsrätt; anskaffning). Målsättningen är att de ska fungera som stöd och vägledning för anställda inom bl.a. kommuner och myndigheter i syfte att bidra till ökad användning av generativ AI för hantering av juridiska, etiska och säkerhetsrelaterade frågor.

Nya regler för kamerabevakning

gäller från och med den 1 april 2025. Ändringarna innebär bland annat att det tidigare tillståndskravet i kamerabevakningslagen (2018:1200) tas bort, samt att brottsbekämpande myndigheter får utökad möjlighet att genomföra kamerabevakning. Ansökan om tillstånd hos IMY behöver således inte längre göras, istället ska den som tidigare behövt ansöka nu genomföra och dokumentera en intresseavvägning innan kamerabevakning påbörjas. IMY har fortsättningsvis tillsynsansvar över all kamerabevakning.

KOMMANDE LAGAR 2025

Cybersäkerhetslagen (NIS 2-direktivet)

EU:s reviderade cybersäkerhetsdirektiv, NIS 2-direktivet, antogs den 14 december 2022 och skulle ha varit implementerat i medlemsstaternas nationella lagstiftning senast den 17 oktober 2024. I Sverige presenterades ett lagförslag i mars 2024 (SOU 2024:18), där en ny cybersäkerhetslag föreslås ersätta nuvarande NIS-lag. Processen har dock försenats – först den 12 juni 2025 överlämnade regeringen en remiss med ett nytt förslag till cybersäkerhetslag till lagrådet, vilken nu föreslås träda i kraft 15 januari 2026. Den föreslagna lagen innebär en utvidgning av tillämpningsområdet jämfört med nuvarande NIS-lag och omfattar fler sektorer och verksamhetsutövare. Lagen ställer även mer långtgående krav på riskhanteringsåtgärder i syfte att höja den nationella cybersäkerhetsnivån hos samhällsviktiga verksamhetsutövare. När cybersäkerhetslagen träder i kraft kommer den börja gälla direkt, utan övergångsperiod. Detta ställer krav på att berörda aktörer redan nu förbereder sig för att säkerställa att de kommande kraven uppnås vad gäller bland annat riskhanteringsåtgärder, incidenthantering, utbildning och kontinuerligt förebyggande säkerhetsarbete.

Lag om motståndskraft hos kritiska verksamhetsutövare (CER-direktivet)

Samtidigt som NIS 2-direktivet antogs i december 2022, antog Europaparlamentet och rådet även CER-direktivet, vars syfte är att stärka kritiska verksamhetsutövares fysiska motståndskraft och förmåga att tillhandahålla samhällsviktiga tjänster på den inre marknaden. Ett lagförslag presenterades i september 2024 (SOU 2024:64) och den nya lagen föreslås träda i kraft den 1 augusti 2025. Den omfattar bland annat krav på riskbedömningar, incidentrapportering och säkerhetsåtgärder för aktörer inom sektorer som energi, transport, sjukvård och digital infrastruktur.

Data Act

EU:s Data Act trädde i kraft den 11 januari 2024 och huvuddelen av förordningen ska börja tillämpas den 12 september 2025. Förordningen syftar till att främja en rättvis och innovativ dataekonomi inom den europeiska inre marknaden och fastställer bland annat regler för åtkomst till, samt användning och delning av data. Användare av databehandlingstjänster ges större möjligheter att få del av, samt överföra data som genereras av deras uppkopplade produkter, vilket ska möjliggöra för ökad konkurrens och innovation. Vissa bestämmelser, såsom förbud mot bytesavgifter och åtgärder mot missbruk av avtalsmässiga obalanser, tillämpas inte fullt ut vid ikraftträdandet utan kommer träda ikraft gradvis. Data Act kommer ha betydande effekt på leverantörer av molntjänster.

AI Act

AI-förordningens regler om utveckling, tillhandahållande och användning av AI för allmänna ändamål börjar gälla 2 augusti 2025. Förordningen gör åtskillnad mellan AI-system som används för ett specifikt ändamål – Single-Purpose AI (SPAI) – och sådana som är avsedda för allmänna ändamål – General Purpose AI (GPAI). När regler särskilt avser GPAI anges detta uttryckligen i förordningen. Generativ AI betraktas som en typ av GPAI och omfattas därför av dessa särskilda bestämmelser i förordningen som träder i kraft den 2 augusti 2025.

Välkommen att kontakta oss

Magnusson följer den regulatoriska utvecklingen med stort intresse och ser fram emot att bidra med vår analys och våra insikter i takt med kommande förändringar. Vi erbjuder även juridisk rådgivning och stöd i frågor som rör just cyberrätt och kan bland annat anordna skräddarsydda utbildningar inom detta område, anpassade för just ert företag och era behov.

Har du frågor eller vill veta mer? Varmt välkommen att kontakta Helena Rönqvist, Caroline Landerfors, Susanna Norelid eller Marie Segerholm för mer information.

Vill du hålla dig uppdaterad inom det senaste inom cybersäkerhet, regelefterlevnad och hotbildstrender? Vi erbjuder nu ett nyhetsbrev inom Cyber Security som skickas ut ett par gånger per år.  Klicka här för att prenumerera och ta del av våra kunskaper.