Start / Företagande, regler & kontroll / IT- och informationssäkerhet (NIS2) / Livsmedelsverkets tillsynsarbete

Livsmedelsverkets tillsynsarbete

Livsmedelsverket ansvarar för tillsyn enligt cybersäkerhetslagen för verksamhetsutövare inom sektorerna dricksvatten, avloppsvatten samt produktion, bearbetning och distribution av livsmedel.
Denna sida beskriver hur Livsmedelsverket bedriver sin tillsyn av cybersäkerhet inom dessa sektorer.

Tillsyn enligt cybersäkerhetslagen, som genomför NIS2-direktivet, kan genomföras på olika sätt. Inför en tillsyn gör Livsmedelsverket en bedömning av vilken metod som är bäst lämpad för det område som ska granskas. Det kan ske genom förbokade besök där verksamhetsutövaren redogör och visar hur olika bestämmelser efterlevs, men även på andra sätt. 
Med den nya cybersäkerhetslagen kommer tillsynen att vara både proaktiv och planerad samt reaktiv om tillsynsmyndigheten har anledning att anta att det finns överträdelser. Tillsynen kan avgränsas till särskilda kravområden och riktas mot ett urval av verksamhetsutövare.

Rapportering och uppföljning efter tillsyn

Efter tillsynen gör Livsmedelsverket en bedömning av hur väl verksamhetsutövaren lever upp till kraven inom de områden som tillsynen avsett. Observationer och eventuella avvikelser dokumenteras i en tillsynsrapport eller i ett protokoll. Verksamhetsutövaren ges vanligtvis möjlighet att granska och ge kommentarer till dokumentationen innan den fastställs.

I dokumentationen ska också framgå vilken konsekvens en avvikelse i regelefterlevnad får för verksamhetsutövaren. I vissa fall uppmärksammar Livsmedelsverket mindre brister eller avvikelser för att ge verksamhetsutövaren möjlighet att redovisa åtgärder vid en uppföljning.

Livsmedelsverkets målsättning är att verksamhetsutövaren ska ha tid och möjlighet att införa verkningsfulla åtgärder. Därför kan tiden innan en uppföljning genomförs variera. En uppföljning innebär oftast att verksamhetsutövaren inkommer med en skriftlig redogörelse för de åtgärder som vidtagits, men kan även ske på andra sätt.

Föreläggande och sanktioner

Vissa brister medför enligt lag att Livsmedelsverket måste besluta om sanktion i form av åtgärdsföreläggande eller sanktionsavgift. I dessa fall dokumenteras i tillsynsrapport att bristen har observerats och att den kommer att medföra en sanktion. Beslut om sanktion hanteras som ett eget ärende och meddelas verksamhetsutövaren med rekommenderat brev. Beslut om sanktion är möjliga att överklaga, men om sanktionsgrundande brister observerats felaktigt bör verksamhetsutövaren påpeka detta redan när dokumentation från tillsynen granskas.

Anmälningstillsyn

Verksamhetsutövare som omfattas av cybersäkerhetslagen ska anmäla sin verksamhet. För att säkerställa att lagen tillämpas korrekt kan Livsmedelsverket följa upp om verksamheter som omfattas också har gjort en anmälan. Mer information om detta finns under omfattning och anmälan.

Om det finns indikationer på att en verksamhet kan omfattas av lagen utan att vara anmäld, kan Livsmedelsverket inleda en så kallad anmälningstillsyn. Anmälningstillsyn innebär en fördjupad prövning av om verksamheten omfattas av cybersäkerhetslagen och därmed av anmälningsplikt.

Omfattning och anmälan

För frågor om livsmedelsverkets tillsyn går det bra att ta kontakt via e-post till nistillsyn@slv.se.

Senast granskad 2026-01-15