En lista över regulatoriska krav är de rättsliga och administrativa regler som din organisation måste följa för att undvika sanktioner och upprätthålla compliance. Sverige befinner sig 2026 i ett intensivt regelskifte: Cybersäkerhetslagen (SFS 2025:1506) trädde i kraft den 15 januari, ekonomiska gränsvärden har justerats och kraven vid upphandling av digitala system har skärpts. Jurister och företagsledare som saknar en strukturerad översikt av regulatoriska normer riskerar att missa kritiska skyldigheter med allvarliga ekonomiska och rättsliga konsekvenser.
1. Lista över regulatoriska krav inom cybersäkerhet 2026
Cybersäkerhetslagen (SFS 2025:1506) gäller från 15 januari 2026 för företag med minst 50 anställda eller 10 miljoner euro i omsättning. Lagen implementerar NIS2-direktivet och omfattar 18 samhällsviktiga sektorer, från energi och transport till hälso- och sjukvård. Sanktioner vid allvarliga överträdelser uppgår till 10 miljoner euro eller 2 procent av global årsomsättning. Det är den hårdaste sanktionsregimen Sverige hittills infört på cybersäkerhetsområdet.
De centrala kraven i lagen är:
- Riskanalys och riskhantering: Systematisk identifiering och bedömning av hot mot informationssystem.
- Incidentrapportering: Allvarliga incidenter ska rapporteras till tillsynsmyndigheten inom 72 timmar.
- Tekniska säkerhetsåtgärder: Multifaktorautentisering, kryptering och åtkomstkontroll är obligatoriska grundkrav.
- Leverantörssäkerhet: Krav på att bedöma och hantera säkerhetsrisker i hela leverantörskedjan.
- Kontinuitetsplanering: Dokumenterade planer för att upprätthålla verksamheten vid allvarliga störningar.
- Ledningsansvar: Styrelse och ledning ansvarar personligen för att säkerhetsåtgärder genomförs och följs upp.
Proffstips: Dokumentera varje riskanalys och varje beslut om säkerhetsåtgärd. Tillsynsmyndigheten begär ofta bevis på att ledningen aktivt deltagit i besluten, inte bara att IT-avdelningen genomfört dem.
2. Personligt ledningsansvar är en ny realitet

Compliance-ansvaret har förflyttats från administrativt till personligt ledningsansvar under cybersäkerhetslagen. Myndigheter kan förbjuda en person i ledningen att utöva sin tjänst i 1–3 år vid upprepade eller grova överträdelser. Det innebär att VD, styrelseledamöter och andra ledningspersoner bär ett direkt rättsligt ansvar för organisationens cybersäkerhetsarbete.
Ansvaret är inte delegerbart i den meningen att ledningen kan peka på IT-chefen och anse sig fri. Lagen kräver att ledningen genomgår utbildning, godkänner säkerhetspolicyer och aktivt kontrollerar att åtgärder genomförs. För jurister och företagsledare innebär detta att compliancearbetet måste integreras i styrelsens ordinarie arbete, inte hanteras som ett sidospår.
3. Hygien- och säkerhetskrav för livsmedelsföretag
Förordning (EG) nr 852/2004 om livsmedelshygien utgör grunden för alla livsmedelsföretags lagkrav inom branschen. Livsmedelsverket betonar att dokumentation och HACCP-baserade förfaranden är avgörande för att visa efterlevnad vid tillsyn. Dokumentationsnivån ska anpassas efter verksamhetens art och storlek, vilket innebär att ett litet bageri har andra krav än ett storskaligt slakteri.
De viktigaste stegen i ett HACCP-baserat system är:
- Identifiera faror: Kartlägg biologiska, kemiska och fysikaliska risker i hela produktionskedjan.
- Fastställ kritiska styrpunkter (CCP): Bestäm var i processen kontroll är avgörande för att eliminera eller minska risken.
- Sätt gränsvärden: Definiera mätbara gränser för varje CCP, exempelvis temperatur vid pastörisering.
- Övervaka kontinuerligt: Dokumentera mätningar och kontroller löpande.
- Vidta korrigerande åtgärder: Ha skriftliga rutiner för vad som görs när ett gränsvärde överskrids.
- Verifiera systemet: Granska regelbundet att HACCP-planen fungerar som avsett.
- Dokumentera och arkivera: Spara alla register tillräckligt länge för att kunna visa efterlevnad vid inspektion.
Dokumentation anpassad efter verksamhetens art och storlek är ett explicit krav i förordning (EG) nr 852/2004. En alltför generisk HACCP-plan godkänns inte vid tillsyn.
Registrering och godkännande av livsmedelsverksamheter sker hos kommunens miljöförvaltning. Verksamheter som hanterar animaliska produkter kräver dessutom godkännande enligt förordning (EG) nr 853/2004. Att följa regler och förordningar på livsmedelsområdet kräver alltså både rätt dokumentation och rätt myndighetskontakter.
4. Säkerhetsprövning och klassificering av säkerhetskänsliga roller
Säkerhetsprövning och placering i säkerhetsklass kräver befattningsanalyser, utbildning och samtycke till registerkontroll. Energimyndigheten ansvarar för beslut och registerkontroller inom vissa sektorer. Processen är inte en engångsinsats utan kräver löpande uppföljning när roller förändras eller ny personal tillkommer.
Centrala krav i säkerhetsskyddslagstiftningen:
- Befattningsanalys: Varje roll som kan ge tillgång till säkerhetskänslig information måste analyseras individuellt. En väl genomförd befattningsanalys är avgörande för korrekt säkerhetsklassificering.
- Säkerhetsklassificering: Roller placeras i säkerhetsklass 1, 2 eller 3 beroende på vilken skada ett röjande av information kan orsaka.
- Registerkontroll: Kräver skriftligt samtycke från den berörda personen. Kontrollen genomförs av Säkerhetspolisen.
- Utbildning: Personal i säkerhetskänsliga befattningar ska genomgå säkerhetsutbildning innan de påbörjar arbetet.
- Separata beslut i koncerner: Varje juridisk person i en koncern fattar egna beslut om säkerhetsskydd. Moderbolagets beslut gäller inte automatiskt dotterbolag.
- Löpande dokumentation: Alla beslut, analyser och kontroller ska dokumenteras och hållas aktuella.
5. Ekonomiska och skatterelaterade gränsvärden 2026
Flera ekonomiska gränsvärden har justerats från och med 1 januari 2026. Dessa påverkar direkt hur företag beräknar förmåner, avdrag och skatteskyldigheter, vilket gör dem till en del av den praktiska checklistan för efterlevnad.
| Gränsvärde | Belopp 2026 | Påverkan på compliance |
|---|---|---|
| Prisbasbelopp (PBB) | 59 200 kr | Styr beräkning av förmåner, avgifter och ersättningar |
| Reseavdragets beloppsgräns | 15 000 kr | Höjd gräns påverkar anställdas avdragsrätt och arbetsgivarens rapportering |
| SINK-skatt | 22,5 procent | Sänkt skatt för begränsat skattskyldiga, påverkar löneadministration |
Prisbasbeloppet och SINK-skatten är exempel på reglerade gränsvärden som direkt styr hur företag beräknar och rapporterar ekonomiska förhållanden. Felaktig tillämpning av dessa gränsvärden leder till felaktiga skattedeklarationer och potentiella sanktioner från Skatteverket.
Proffstips: Uppdatera lönesystem och HR-rutiner omedelbart när nya gränsvärden träder i kraft. Många compliance-gap uppstår inte av okunnighet om lagen utan av försenade systemuppdateringar.
6. Regulatoriska krav vid upphandling av IT och digitala lösningar
Upphandling av digitala system är ett område där regulatoriska krav har skärpts markant. Cyber Resilience Act (CRA) och NIS2 ställer nu konkreta krav på leverantörer och köpare av digitala produkter. Att förbise dessa krav vid upphandling skapar compliance-gap som kan vara svåra att åtgärda i efterhand.
Kraven vid upphandling av IT och digitala lösningar inkluderar:
- CE-märkning och EU Declaration of Conformity: Digitala produkter med nätverksanslutning ska bära CE-märkning och åtföljas av en EU-försäkran om överensstämmelse enligt CRA.
- Maskinläsbar SBOM: SBOM enligt SPDX eller CycloneDX är kritisk för spårbarhet i mjukvarulivscykeln. SBOM-kravet är en central framgångsfaktor för leverantörskedjans transparens.
- Sårbarhetshantering: Leverantören ska ha dokumenterade processer för att identifiera, hantera och kommunicera säkerhetssårbarheter.
- Incidentrapportering: Avtal ska reglera hur och när leverantören rapporterar incidenter som påverkar köparens system.
- Dokumentation av utvecklingsprocess: Säkra utvecklingsmetoder och säkerhetsloggar ska kunna uppvisas vid revision.
- Åtkomstkontroll och kryptering: Krav på att data skyddas med kryptering och att åtkomst styrs av principen om minsta privilegium.
- Leverantörsinsyn och revisionsrätt: Köparen ska ha rätt att granska leverantörens säkerhetsåtgärder, antingen direkt eller via tredjepartsrevision.
Många verksamheter underskattar behovet av detaljerad dokumentation och verifiering av leverantörers säkerhetsåtgärder. Det leder till compliance-gap i leverantörskedjan som tillsynsmyndigheter identifierar vid granskning. En checklista för leverantörsbedömningar är ett praktiskt verktyg för att systematisera denna process.
Viktiga insikter
En strukturerad lista över regulatoriska krav är grunden för effektiv compliance: utan den saknar jurister och företagsledare den överblick som krävs för att prioritera rätt åtgärder och undvika sanktioner.
| Punkt | Detaljer |
|---|---|
| Cybersäkerhetslagen gäller nu | SFS 2025:1506 trädde i kraft 15 januari 2026 med sanktioner upp till 10 miljoner euro. |
| Ledningsansvar är personligt | Styrelse och VD kan förbjudas utöva sin tjänst vid grova överträdelser av cybersäkerhetslagen. |
| HACCP-dokumentation är obligatorisk | Livsmedelsföretag måste anpassa dokumentationsnivån efter verksamhetens art och storlek. |
| Ekonomiska gränsvärden är uppdaterade | Prisbasbelopp 59 200 kr, reseavdrag 15 000 kr och SINK-skatt 22,5 procent gäller från 1 januari 2026. |
| SBOM krävs vid IT-upphandling | Maskinläsbar SBOM enligt SPDX eller CycloneDX är ett krav för spårbarhet i mjukvarulivscykeln. |
Compliancearbete kräver mer än en lista
Jag har arbetat med regulatoriska krav och compliance i många år, och det mönster jag ser upprepas är detta: organisationer samlar ihop en lista, bockar av punkterna och tror att arbetet är klart. Det är inte klart. En lista är ett startskott, inte ett slutmål.
Det som faktiskt avgör om en organisation klarar en tillsyn är inte om man kände till kravet. Det är om man kan bevisa att man agerat på det. Dokumentation, beslutsloggar och spårbara åtgärder väger tyngre än välformulerade policyer som ingen kan visa att ledningen faktiskt godkänt.
Det jag också ser är att organisationer underskattar hur snabbt regelverket förändras. Cybersäkerhetslagen är ett utmärkt exempel. Den diskuterades i år, och nu är den lag. Företag som väntade på att “se hur det landade” befinner sig nu i ett akut läge. Det kostar alltid mer att komma ikapp än att hålla sig framme.
Min starkaste rekommendation till jurister och företagsledare är att behandla compliance som ett löpande arbete med tydlig ägarskap i ledningen, inte som ett projekt som avslutas. Använd granskningsåtgärder regelbundet för att identifiera gap innan tillsynsmyndigheten gör det. Och se till att utbildning av ledningen är schemalagd, inte frivillig.
— Jesper
Trustview hjälper dig hålla koll på lagkraven
Regulatoriska krav förändras snabbt och spänner över flera rättsområden samtidigt. Trustview samlar compliance-arbetet på en plats, från riskbedömningar och incidenthantering till leverantörsbedömningar och åtgärdsplaner. Det gör det möjligt för jurister och företagsledare att ha full överblick utan att drunkna i administration.

Trustview kombinerar juridisk expertis med automatiserade arbetsflöden som minskar den manuella bördan och ökar spårbarheten. Plattformen är byggd för svenska organisationer som behöver möta kraven i NIS2, GDPR och säkerhetsskyddslagstiftningen. Läs mer om hur du kan uppnå effektiv compliance och vad det faktiskt innebär att vara compliant i praktiken. Du kan också ta del av en steg-för-steg-guide för att upprätta en konkret åtgärdsplan.
Vanliga frågor
Vad är en lista över regulatoriska krav?
En lista över regulatoriska krav är en strukturerad sammanställning av de lagar, förordningar och standarder som en organisation måste följa för att uppnå compliance. Den fungerar som en checklista för efterlevnad och hjälper jurister och ledare att prioritera rätt åtgärder.
Vilka regulatoriska krav gäller för svenska företag 2026?
De viktigaste nya kraven 2026 är Cybersäkerhetslagen (SFS 2025:1506) som implementerar NIS2, uppdaterade ekonomiska gränsvärden som prisbasbeloppet på 59 200 kr och SINK-skatten på 22,5 procent, samt skärpta krav vid IT-upphandling enligt Cyber Resilience Act.
Vad händer om ett företag inte följer cybersäkerhetslagen?
Sanktioner vid allvarliga överträdelser uppgår till 10 miljoner euro eller 2 procent av global årsomsättning. Ledningspersoner kan dessutom förbjudas att utöva sin tjänst i 1–3 år vid upprepade eller grova brott mot lagen.
Måste alla företag ha en HACCP-plan?
Alla livsmedelsföretag som hanterar livsmedel måste ha HACCP-baserade förfaranden enligt förordning (EG) nr 852/2004. Dokumentationsnivån anpassas efter verksamhetens storlek och art, men grundkravet gäller alla aktörer i livsmedelskedjan.
Vad är SBOM och varför krävs det vid IT-upphandling?
SBOM (Software Bill of Materials) är en maskinläsbar förteckning över alla komponenter i ett mjukvarusystem. Enligt Cyber Resilience Act krävs SBOM i standardformaten SPDX eller CycloneDX för att säkerställa spårbarhet och transparens i leverantörskedjan vid upphandling av digitala produkter.




