Tåg och cybersäkerhet 2026: NIS2 gäller nu för järnvägsbranschen i Sverige

IT-säkerhetsspecialist granskar järnvägsnätets cybersäkerhetsövervakning på kontrollcenter i Sverige 2026
Anna Anna LindgrenInformationsteknik
4 minuters läsning 10 juni 2026

Sedan 15 januari 2026 gäller en ny lag i Sverige som ställer hårda krav på cybersäkerhet i järnvägsbranschen. Cybersäkerhetslagen — det svenska genomförandet av EU:s NIS2-direktiv — pekar ut järnvägsoperatörer och infrastrukturförvaltare som samhällsviktiga aktörer med rapporteringsskyldigheter och böter på upp till 10 miljoner euro vid brister. Och 2026 är precis det år då järnvägsnätets digitalisering skjuter fart som aldrig förr.

Sveriges järnvägsnät digitaliseras i rekordfart

Under 2026 genomförs 1 800 järnvägsarbeten i Sverige — hundra fler än föregående år och det högsta antalet i modern tid. Trafikverket moderniserar signalanläggningar, elektrifierar linjer och uppgraderar kommunikationssystem längs hela stamnätet. I juni 2026 byter Bohusbanan elkraftsanläggning, medan Västra stambanan renoveras från Göteborg mot Hallsberg.

Digitaliseringen ökar effektiviteten — men den utökar också angreppsytan för cyberbrottslingar och statsunderstödda hackers. Sedan 2022 har ransomware-attacker mot europeiska järnvägssystem ökat med över 40 procent, enligt ENISA:s europeiska cybersäkerhetsrapport. Sverige är inget undantag.

Och nu är det inte längre frivilligt att ta cybersäkerheten på allvar.

Vad cybersäkerhetslagen kräver av järnvägssektorn

Cybersäkerhetslagen (CSL) trädde i kraft den 15 januari 2026 och ersätter den gamla NIS-lagen från 2018. Transportstyrelsen är utsedd tillsynsmyndighet och övervakar att järnvägsföretag och infrastrukturförvaltare lever upp till de nya reglerna.

Lagen berör:

  • Järnvägsföretag som bedriver person- eller godstrafik, inklusive dragkraft
  • Infrastrukturförvaltare med ansvar för spår, signal, elförsörjning och trafikledning
  • Tjänsteleverantörer kopplade till järnvägsnätets drift

De fyra konkreta skyldigheterna är:

  1. Anmäla verksamheten till Myndigheten för samhällsskydd och beredskap (MSB)
  2. Ha löpande uppsikt över cyberrelaterade incidenter i nät och system
  3. Rapportera betydande incidenter till Transportstyrelsen — initial rapport inom 24 timmar, detaljrapport inom 72 timmar
  4. Säkerställa att cybersäkerhetsarbetet är förankrat på ledningsnivå, inte bara i IT-avdelningen

Böterna vid bristande efterlevnad kan uppgå till 10 miljoner euro eller 2 procent av den globala omsättningen — det högre beloppet gäller. För ett medelstort järnvägsbolag med 300 anställda kan det innebära en existentiell risk.

Trafikverket skärper kraven på leverantörer

Från och med den 1 januari 2026 inför Trafikverket en ny IT-säkerhetsbilaga i sina upphandlingskontrakt. Alla leverantörer som arbetar med järnvägsinfrastrukturen — det vill säga de hundratals bolag som genomför de 1 800 planerade järnvägsarbetena i år — måste nu visa att de hanterar känslig driftinformation enligt NIS2-standard.

Det innebär att ett litet installationsbolag som vunnit ett kontraktsarbete på Västra stambanan kan behöva uppvisa rutiner för incidentrapportering, nätverkssegmentering och leverantörsriskhantering — annars riskerar det att förlora upphandlingar. Kraven rullas ut gradvis men är numera standard i alla nya Trafikverket-upphandlingar.

Samtidigt håller SJ på att förbereda återstarten av snabbtågstrafiken Stockholm–Köpenhamn, planerad till juni 2026. De ombyggda X2000-tågens nya fordonsdatorsystem ingår i godkännandeprocessen — en process som också inkluderar NIS2-compliance.

Tre konkreta cyberrisker mot järnvägssystemet

Signalsystem och trafikkontroll

Moderna signalsystem kommunicerar via IP-baserade nätverk. En ransomware-attack mot ett trafikledningscenter kan stoppa tågtrafiken på hela korridorer, som vi sett i flera europeiska länder sedan 2022. I Sverige koordineras trafiken via Trafikverkets centrala ledningscentraler. En lyckad attack under ett underhållsfönster — när systemen tillfälligt kopplas om — är ett reellt scenario som cybersäkerhetsspecialister varnar för.

Fordonsdatorer och fjärrdiagnostik

Moderna tåg är rullande datanätverk. Fjärrdiagnostik, energioptimering och passagerarwifi delar ofta samma fysiska hårdvara som säkerhetskritiska bromssystem. Otillräcklig nätverkssegmentering ger angripare möjlighet att ta sig från en sårbar wifi-komponent vidare in i fordonets styrsystem.

Biljett- och passagerardata

GDPR-brott och persondata-läckor har drabbat nordiska järnvägsoperatörer tidigare. Under 2025 ledde en säkerhetsincident hos ett europeiskt biljettbolag till att tre miljoner passagerares resdata exponerades. Med cybersäkerhetslagen kombineras GDPR-ansvaret med NIS2-rapporteringsskyldigheter — dubbla regelverk som kräver samordnade processer.

Vad du behöver göra nu

Om ditt företag är verksamt inom järnvägssektorn — som operatör, leverantör, underhållsbolag eller systemleverantör — finns det tre omedelbara åtgärder:

Steg 1: Kartlägg om ni omfattas. Kontrollera om er verksamhet faller under cybersäkerhetslagens tillämpningsområde. Bedömningen kräver kunskap om er verksamhetsklassificering och de tröskelvärden MSB tillämpar. En IT-specialist med NIS2-erfarenhet kan göra denna analys på en till två dagar.

Steg 2: Genomför en gap-analys. Jämför era nuvarande säkerhetsprocesser med CSL-kraven. Vanliga brister är avsaknad av incidenthanteringsplan, bristfällig leverantörskontroll och oklart ansvar på ledningsnivå — exakt det som Transportstyrelsen granskar vid tillsyn.

Steg 3: Förbered incidentrapporteringsrutiner. Lagen kräver initial rapport inom 24 timmar. Utan förberedda flöden, eskaleringslistor och kontaktpersoner hos Transportstyrelsen är det i praktiken omöjligt att leva upp till kravet i ett stressat läge.

Läs mer om cyberhoten mot samhällsviktig infrastruktur i artikeln om Aurora 26 och IT-säkerheten i Sverige.

Rätt IT-specialist kan rädda er upphandlingsförmåga

Trafikverkets nya IT-säkerhetsbilaga är inte ett engångsdokument — den uppdateras löpande i takt med hotbilden och EU:s krav. Att navigera regelverket utan specialistkompetens riskerar att stänga er ute från nya kontrakt och exponera er för höga böter.

En certifierad IT-säkerhetsrådgivare med erfarenhet av NIS2 och kritisk infrastruktur kan hjälpa er att:

  • Dokumentera och klassificera era nät och system enligt CSL:s krav
  • Bygga en incidenthanteringsplan som klarar Transportstyrelsens granskning
  • Utbilda ledningen i cybersäkerhetsansvar — ett krav som ofta underskattas
  • Säkerställa att underleverantörsavtal uppfyller Trafikverkets bilaga

På Expert Zoom hittar du IT-specialister med erfarenhet av just dessa krav. Boka en konsultation och säkra er verksamhets cyberkompetens — innan Transportstyrelsen genomför sin nästa tillsyn.

Texten ovan är av informativ karaktär och utgör inte juridisk eller teknisk rådgivning. Kontakta en certifierad IT-säkerhetsspecialist för en bedömning anpassad till din specifika verksamhet.

Våra experter

Fördelar

Snabba och precisa svar på alla dina frågor och assistansförfrågningar i fler än 200 kategorier.

Tusentals användare har gett ett betyg på 4,9 av 5 i nöjdhet för råd och rekommendationer från våra assistenter.

Expert Zoom

Hur fungerar det?Vilka är våra experter?TidningNyheter

Företag

Professionella verktygPraktiska verktyg

Kontakta oss

E-post
Följ oss
IntegritetspolicyAnvändarvillkor