August 13, 2025|9:31 AM
Whether it’s IT operations, cloud migration, or AI-driven innovation – let’s explore how we can support your success.
Vi hjälper företag och offentlig förvaltning att möta nya krav och skapa en stabil grund för säkerhet och drift. Från nulägesanalys till verifierade kontroller står vi vid er sida.
Direktivet utvidgar omfånget till fler sektorer och ställer tuffare krav på ledningens ansvar och incidentrapportering. Vi anpassar era processer så att varning, anmälan och slutrapport fungerar enligt tidsramarna.
Vår metodik kombinerar styrning, riskhantering och tekniska kontroller. Det gör det enklare att nå en framtida certifiering utan onödiga luckor.
Vill ni läs mer om praktisk tillämpning och utbildning så visar vi vägen vidare och hjälper till att prioritera rätt för att undvika sanktionsrisker.
För svenska organisationer innebär det nya regelverket större ansvar för informationssäkerhet och incidentrapportering. Det påverkar hur ledning, IT och verksamhet samverkar för att skydda kritiska flöden.
EU beslutade ramverket i december 2022 och det ska införas i svensk rätt under 2025. Det ersätter det tidigare nis-direktivet från 2018:1174 och breddar vilka sektorer som omfattas.
MSB lyfter tre huvuduppgifter för verksamhetsutövare: identifiera om ni omfattas och anmäla er, upprätthålla ett systematiskt informationsarbete med lämpliga säkerhetsåtgärder, samt utbilda ledning och personal.
Vi följer hur arbetet fortskrider i Sverige: lagrådsremissen publicerades i juni 2025 och en proposition väntas hösten 2025. Det här är nis2-direktivet summerar MSB:s roll som nationell samordnare och ger vägledning inför detaljföreskrifterna.
Att avgöra om ni berörs av regelverket kräver en snabb genomgång av verksamhetens kritiska funktioner och beroenden. Vi hjälper er att göra en tydlig första bedömning och dokumentera beslutet.
Vi stödjer er att identifiera omfattas och avgöra om ni klassas som väsentlig eller viktig verksamhet.
Regelverket omfattar bland annat offentlig förvaltning, hälso- och sjukvård, energi, transporter, digital infrastruktur och tillverkning.
Verksamheter ska anmäla sig till rätt tillsynsmyndighet. Förslag i SOU 2024:18 pekar på myndigheter som Energimyndigheten, Transportstyrelsen, Finansinspektionen, IVO/Läkemedelsverket, PTS och länsstyrelser.
MSB har en nationell samordningsroll och stödjer samverkan mellan tillsynsmyndigheter.
I praktiken handlar efterlevnad om att strukturera säkerhetsarbetet så att det blir tydligt och mätbart.
Systematiskt informationssäkerhetsarbete kräver att processer för nätverks- informationssystem och kritiska information systems dokumenteras och ägs av tydliga roller.
Vi genomför och dokumenterar riskanalyser och kopplar dem till proportionerliga tekniska och organisatoriska åtgärder.
Kontinuitetsplaner och återställningsscenarier testas regelbundet så att bolagets återstart blir mätbar.
“Ledningen måste äga strategin, sätta KPI:er och säkerställa att personalen tränas i praktiska scenarier.”
Vi hjälper ledningen att skapa styrningsmodeller, utbildningsplaner och återkommande uppföljning.
Leverantörer och IKT-beroenden inkluderas i riskramverket. Vi ställer krav i avtal och följer upp kontroller för produkter och tjänster.
Genom att etablera ett ISMS-liknande arbetssätt knyter vi era policyer till operativa rutiner.
Det underlättar harmonisering mot iso 27001 och ger en tydlig färdplan för företag som vill visa efterlevnad vid tillsyn.
När en allvarlig incident upptäcks agerar vi snabbt för att begränsa skada och dokumentera händelsen. Vi hjälper er att definiera vad som är en betydande incident i er verksamhet och hur ni triagerar för att minska störningar.
Vi definierar kriterier som fångar påverkan på tjänster, kunder och säkerhet. Vid upptäckt aktiveras ansvariga, bevis samlas och första varning skickas.
Varning ska lämnas inom 24 timmar. En full incidentanmälan följer inom 72 timmar. Slutrapport ska levereras inom en månad efter att incidenten är hanterad. Om incidenten pågår längre lämnas lägesrapporter.
| Moment | Tidsfrist | Ansvar |
|---|---|---|
| Varning | 24 timmar | Incidentägare |
| Anmälan | 72 timmar | Säkerhetschef |
| Lägesrapport | Varannan månad vid behov | Operativt team |
| Slutrapport | 1 månad efter avslut | Ledning |
CERT-SE ger tekniskt stöd och MSB vidarebefordrar rapporter till berörd tillsynsmyndighet. Vi integrerar detta stöd i er playbook så att ni uppfyller kraven och kan återställa funktion snabbt.
Vi hjälper er omvandla krav till mätbara åtgärder och roller. Först genomför vi en gap-analys som visar var er organisation står i förhållande till kraven. Den ger en tydlig startpunkt för prioritering.
Vi kartlägger era processer mot både regelverk och iso 27001.
Detta inkluderar att identifiera om ni omfattas och att dokumentera tolkningar så att besluten är spårbara.
Vi prioriterar åtgärder utifrån risk och affärspåverkan. Investeringar planeras för att ni kostnadseffektivt uppfyller kraven.
Ledningen får utbildning och vi genomför regelbundna övningar för att stärka informationssäkerhet i hela arbetet.
För att möta direktivet måste ni först identifiera omfattas och dokumentera beslut för både företag och offentlig förvaltning.
Vi rekommenderar ett program som kopplar krav till praktiska säkerhetsåtgärder, utbildning av personal och regelbundna övningar. Det minskar risken för störningar i produktion och distribution.
Ha robusta processer för att rapportera incidenter inom rätt tidsramar — från första timmar till slutrapport inom en månad — och säkerställ leverantörskontroller och infrastruktur.
Genom att harmonisera mot iso 27001 och beprövade ramverk för information systems bygger ni en hållbar grund för cybersäkerhet och certifiering. Läs mer i MSB:s material och börja omvandla direktivet till praktiskt arbete idag.
Direktivet ställer krav på skydd av nätverks- och informationssystem som används i vår verksamhet. Vi måste genomföra riskanalyser, införa proportionerliga säkerhetsåtgärder och säkerställa kontinuitet i kritiska funktioner. Detta påverkar processer, personalutbildning, leverantörsavtal och teknisk drift för att minska driftstörningar inom produktion, distribution och offentlig förvaltning.
Vi identifierar om vi omfattas genom att kartlägga om vi är väsentlig eller viktig verksamhetsutövare inom sektorer som hälso- och sjukvård, energi, transport, digital infrastruktur, produktion eller distribution av kemikalier. Tillsynsmyndigheten, med samordning från MSB, ger vägledning om gränsdragning och storlekskriterier.
Offentlig förvaltning, hälso- och sjukvård, energiföretag, transportsystem, digital infrastruktur samt tillverkning och distribution är exempel på sektorer som omfattas. Roller med ansvar för drift, informationssäkerhet, ledningssystem och leverantörshantering blir centrala för att uppfylla kraven.
Vi måste införa systematiskt informationssäkerhetsarbete: regelbundna riskanalyser, incidenthantering, åtkomstkontroller, övervakning, sårbarhetshantering och kontinuitetsplaner. Åtgärderna ska vara proportionerliga mot riskbilden och dokumenteras i ledningens styrning.
Kraven harmoniserar väl med ISO 27001. Vi använder standarden som ramverk för styrning, riskbedömning och kontinuerliga förbättringar. Det underlättar efterlevnad genom att ge beprövade processer för informationssäkerhet och ledningens ansvar.
Ledningen ansvarar för styrning, resurser, policyer och uppföljning. Vi måste säkerställa utbildning för personal, tydliga roller vid incidenter och regelbundna övningar. Kultur och ansvarstagande är avgörande för att åtgärder ska fungera i vardagen.
Vi ställer säkerhetskrav i avtal, genomför leverantörsbedömningar och följer upp leverantörers efterlevnad. Särskild uppmärksamhet ges till tredjepartsberoenden som påverkar drift av kritisk infrastruktur och informationssystem.
En betydande incident är en händelse som orsakar allvarliga störningar i drift, påverkar tillgång till hälso- eller säkerhetstjänster, produktion eller distribution. Vi måste agera snabbt och rapportera enligt fastställda tidsfrister till tillsynsmyndigheten.
Vi lämnar en första varning inom 24 timmar efter att en incident upptäckts, en mer detaljerad anmälan inom 72 timmar och en slutrapport senast en månad efter insatsen. Tiderna kräver att vi har processer för snabb upptäckt och intern kommunikation.
Vi kan få stöd från CERT-SE samt vår tillsynsmyndighet. Det är viktigt att upprätthålla kontaktkanaler och samverkan mellan tekniska team, ledning och externa aktörer vid större händelser.
Vi börjar med en gap-analys mot kraven, prioriterar åtgärder utifrån risk och kritikalitet, bygger rutiner och utbildar personal. Därefter inför vi tekniska kontroller, dokumenterar processer och planerar för kontinuerlig uppföljning och revision.
Genomför regelbundna riskanalyser, skapa tydliga roller i ledningen, investera i utbildning och övningar, säkra leverantörskedjan och använd ISO 27001 som kompletterande ramverk. Testa återhämtningsplaner för att minimera avbrott i produktion och distribution.
Tidsramen beror på vår riskprofil och tillsynsmyndighetens bedömning, men vi bör prioritera kritiska åtgärder omgående och visa mätbar förbättring inom månader genom dokumentation, incidenthantering och tekniska åtgärder.
Ja, vi rekommenderar att använda erfarna cybersäkerhetsrådgivare, jurister och revisorer som kan genomföra gap-analyser, implementera styrsystem och förbereda organisationen inför tillsyn och revision.
Vi hänvisar till MSB, relevanta tillsynsmyndigheter och CERT-SE för aktuell vägledning. Dessa aktörer ger detaljerade rekommendationer om rapportering, sektorspecifika krav och samverkan.
