augusti 13, 2025|9:38 f m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi hjälper er att förstå hur reglerna påverkar verksamheten när den nya svenska lagen (CSL) ersätter NIS-lagen och ställer nya krav fram till 2025.
Myndigheter som MSB och PTS får tydliga roller för tillsyn och sektorsansvar. Verksamhetsutövare måste registrera sig, införa riskhantering och rapportera större incidenter till MSB. EU:s genomförandeförordning för utpekade leverantörer trädde i kraft 7 november 2024 och specificerar både åtgärder och rapportering.
Vi beskriver konkreta förändringar för verksamhetsutövare och hur ni bygger ett systematiskt arbete för bättre säkerhet. Det handlar om hur information ska flöda internt och externt, vilka tjänster som pekas ut och vilket stöd som finns för att avgöra om ni omfattas.
Den här introduktionen ger en tydlig startpunkt så att ni kan prioritera investeringar i styrning, processer och teknik inför införandet.
Från 2025 får svenska verksamheter nya skyldigheter för riskhantering och incidentrapportering. Vi förklarar kort vad som ändras och vilka praktiska konsekvenser det får för er förvaltning.
Direktivet (2022/2555) ersatte NIS1 eftersom hotbilden och beroendena av digitala tjänster har ökat. Den nya lagstiftningen skärper krav för verksamhetsutövare och breddar vilka sektorer som omfattas.
I Sverige föreslås genomförandet ske via cybersäkerhetslagen (CSL) och lagen beräknas träder kraft 2025. Under övergången bör ni förbereda policies, skydd för informationssystem och rapporteringsrutiner.
MSB föreslås vara övergripande tillsynsmyndigheten medan PTS får sektorsansvar för digital infrastruktur, förvaltning av IKT-tjänster, rymd och post- budtjänster.
”Det blir tydligare ansvar för ledningen och strängare tillsyn vid brister.”
Vi hjälper er avgöra om er organisation räknas som en berörd verksamhetsutövare under de nya reglerna. Först kartlägger vi vilka sektorer som träffas och vilka delar av er verksamhet som räknas.
Storleksbedömningen baseras på hela verksamhetsutövarens storlek, inte bara enskilda affärsenheter. Det innebär att koncernkopplingar och partnerföretag enligt EU:s SMF-definition ska räknas in.
Vid gränsöverskridande tjänster avgör jurisdiktion var ni ska rapportera en incident. En händelse som påverkar flera länder kan kräva rapportering i mer än en jurisdiktion.
”En tydlig kartläggning av dataflöden och tredjepartsberoenden avgör var rapporteringsplikten ligger.”
Vi följer nis2-direktivet när vi pekar ut sektorer som offentlig förvaltning, post- budtjänster och digital infrastruktur. Vi visar också när aktörer räknas som leverantörer av digitala tjänster.
Viktiga praktiska punkter: interna, egenutvecklade moln som inte erbjuds externt räknas inte som molntjänster. Nätverks- informationssystem och tredjepartsberoenden påverkar omfattningen och bedömningen gentemot tillsynsmyndigheten.
Ett robust ramverk kräver att riskhantering och informationssäkerhet byggs in i vardagliga processer. Vi beskriver konkreta, praktiska åtgärder som ska integreras i styrning, processer och teknik.
Riskhanteringsåtgärder i praktiken: Vi etablerar ett systematiskt, riskbaserat arbete med riskregister, kontinuitetsplaner och kontrollbibliotek. Ledningen behöver tydliga rapporter och KPI:er för att följa upp risker och besluta om acceptansnivåer.
Vi operationaliserar leverantörsgranskning från due diligence till krav i avtal. Patchprocesser och sårbarhetsscanningar ska vara återkommande och spårbara.
Ledningen hålls ansvarig för brister. Styrelse och VD ska få sammanställda rapporter om kontroller, incidenter och förbättringsplaner.
Vi skyddar informationssystem och nätverks- informationssystem utifrån tillgänglighet, autenticitet, riktighet och konfidentialitet. Prioriterade åtgärder säkrar tjänster i hela livscykeln.
Vi inför regelbundna utbildningar och övningar som mäter effekt. CSIRT-samarbete och underrättelser om cyberhot omvandlas till tekniska och organisatoriska åtgärder.
”Ett systematiskt arbete ger både spårbarhet och snabbare beslut vid incident.”
Vi prioriterar processer som säkerställer att betydande händelser fångas upp och rapporteras i tid.
En betydande incident är en händelse som orsakat eller kan orsaka allvarlig driftstörning, ekonomisk skada eller väsentlig skada för tredje part. Vi bedömer påverkan på tjänst, kunder och tredjepersoner för att avgöra om rapportering krävs.
Tidsfristerna startar när verksamhetsutövaren får kännedom om incidenten. Vi etablerar larmkriterier, eskaleringsvägar och dokumenterade rutiner så att initial rapport, mellanliggande uppdateringar och slutlig rotorsaksanalys levereras enligt krav.
All formell incidentrapportering sker till MSB oavsett sektor. Vi beskriver vilka uppgifter som bör ingå och hur vi kvalitetssäkrar information innan inskick.
Vid gränsöverskridande påverkan kan verksamhetsutövare behöva rapportera i fler jurisdiktioner. Vi utformar processer för att avgöra när och var ni ska rapportera incidenter.
Tillsynsmyndigheten kan begära kompletterande uppgifter och bevis. Sanktioner gäller vid brister i processer och efterlevnad, inte enbart för att en incident inträffat.
”Endast betydande incidenter ska rapporteras — rätt bedömning skyddar både verksamheten och allmänheten.”
| Steg | Ansvar | Tidsfrist |
|---|---|---|
| Upptäckt och initial bedömning | Driftteam / ledning | Omedelbart vid kännedom |
| Initial rapport | Verksamhetsutövaren | Enligt rapporteringsregler |
| Mellanliggande uppdatering | Incidentägare | Löpande vid ny väsentlig info |
| Slutlig rapport och rotorsaksanalys | Säkerhetsteam / ledning | Efter åtgärd och analys |
Vi sammanfattar vilka aktörer som nu måste anpassa sina rutiner och dokumentation när EU:s genomförandeförordning preciserar reglerna under övergångsperioden.
Förordningen pekar ut ett brett spektrum av leverantörer: DNS-operatörer, registreringsenheter för toppdomäner, molnleverantörer, datacenter, CDN, hanterade tjänster, hanterade säkerhetstjänster, marknadsplatser online, sökmotorer och plattformar för sociala nätverk.
Det betyder att många av de digitala tjänster som infrastrukturen bygger på nu får explicita krav på riskhantering och incidentrapportering.
Direktivet fastställer att specifikationerna som trädde i kraft den 7 november 2024 ska tillämpas av berörda aktörer under övergångsperioden.
Vi rekommenderar att ni dokumenterar vilka nätverk och komponenter i era informationssystem som påverkas. Det förenklar både intern styrning och dialog med tillsynsmyndigheten.
Kommissionen kommer att publicera detaljerade genomförandeakter för kvalificerade betrodda tjänster. Vi förbereder er genom att kartlägga tjänster, mappa interna kontroller mot krav och dokumentera beslut och undantag.
”Under övergångsperioden är tydlig dokumentation och spårbarhet avgörande för att möta kraven.”
Vi förklarar hur det nya direktivet samverkar med äldre regler och parallella ramverk, så att ledningen enkelt ser vilka praktiska förändringar som gäller för verksamhetsutövare och leverantörer.
Den tidigare lagen upphävdes den 18 oktober 2024 och ersattes av det nya direktivet. För ledningen betyder detta skärpta krav på riskstyrning, större transparens och tydligare rapporteringsvägar.
Nya element inkluderar bredare sektorsomfattning, högre krav på spårbarhet och konkreta ansvar för styrelse och VD.
Tillhandahållare av betrodda tjänster måste fortsatt rapportera enligt eIDAS2 parallellt med det nationella regelverket där det är tillämpligt.
Det innebär praktiskt att vi upprättar samordnade flöden för att undvika dubbelarbete och säkra korrekt incidentrapportering till rätt tillsynsmyndighet.
LEK-operatörer omfattas oberoende av storlek och måste registrera sig under CSL separat från LEK. Det ställer krav på administrativa rutiner och dokumentation för verksamhetsutövare.
Vi rekommenderar att LEK-ansvariga tydligt kartlägger rapporteringsvägar och integrerar dem i befintliga processer.
CER-direktivet stärker motståndskraften i samhällsviktiga tjänster såsom energi, transport, bank, vård, vatten, digital infrastruktur och offentlig förvaltning.
Kritiska verksamhetsutövare ska göra riskbedömningar, genomföra bakgrundskontroller och rapportera incidenter — ofta med första rapport inom 24 timmar.
”Tillsynsprocessen kan leda till sanktionsavgifter upp till 000 000 kronor för offentliga kritiska aktörer.”
| Regelverk | Vem påverkas | Nyckelkrav |
|---|---|---|
| Direktivet (ersättaren) | Verksamhetsutövare, leverantörer | Utökad sektorsomfattning, riskhantering, ledningsansvar |
| eIDAS2 | Betrodda tjänster | Parallell incidentrapportering, tjänstespecifika krav |
| CER-direktivet | Kritiska verksamhetsutövare | Motståndskraft, 24h-rapportering, bakgrundskontroller |
| LEK/CSL | LEK-operatörer | Obligatorisk registrering, separata anmälningar |
För att minimera dubbelarbete harmoniserar vi kontroller och rapporteringsmallar så att samma insats täcker flera regelverk. För vägledning om direktivet och nationell tolkning, se det här sammanfattande materialet.
Att komma i ordning med registrering och förvaltning är ett konkret första steg mot efterlevnad. Vi beskriver en praktisk plan som gör det lättare för er att agera snabbt och korrekt.
Verksamhetsutövare ska registrera verksamheten hos rätt tillsynsmyndigheten. Detta gäller även om ni redan är anmälda enligt LEK.
PTS erbjuder e‑tjänsten ”Omfattas vi av CSL?” som ett stöd för att bedöma sektortillhörighet och jurisdiktion. Använd den för att avgöra när ni bör agera och var ni kan läs mer.
Vi rekommenderar en kortsiktig 90‑dagarsplan som prioriterar riskhanteringsåtgärder och mätbara mål för cybersäkerhet. Samla tidigt information om tjänster, leverantörer och kritiska processer.
”Registrering och dokumentation underlättar både intern styrning och dialog med tillsynsmyndigheten.”
| Steg | Vad | Ansvar |
|---|---|---|
| Registrering | Anmäl hos rätt tillsynsmyndigheten; använd PTS e‑tjänst | Ledning / juridik |
| Gap‑analys | Identifiera policy‑ och kontrollbrister | Säkerhetsteam |
| 90‑dagarsplan | Prioritera riskhanteringsåtgärder och utbildning | Förvaltning / drift |
| Löpande förvaltning | Internrevision, rapportering till ledning och förbättring | Förvaltning |
Vi erbjuder mallar och checklistor som stöd och visar var ni kan läs mer för fördjupning. Med en tydlig styrmodell blir arbetet mer förutsägbart och hållbar för verksamheten.
Vi avslutar med en tydlig handlingsplan som hjälper er prioritera rätt investeringar i infrastruktur och nätverk för bättre cybersäkerhet och säkerhet i era tjänster.
Som verksamhetsutövare behöver ni kombinera tekniska åtgärder, tydlig styrning och samarbete internt, med leverantörer och i unionen via CSIRT‑nätverk och EU‑CyCLONe för snabb informationsdelning.
Reglerna träder kraft 2025. Förberedelser minskar risken för dyra sanktioner, upp till 10 000 000 kronor, och snabba krav vid incidenter.
Vill ni gå vidare? Vi rekommenderar att ni kvalitetssäkrar processer och prioriterar samhällsviktiga tjänster och post‑ budtjänster. Kontakta oss för stöd och läs mer om hur ni kan arbeta praktiskt enligt nis2-direktivet och informationssäkerhet samhällsviktiga — läs mer.
Förslaget kräver att vi inför ett systematiskt, riskbaserat arbete för informationssäkerhet som omfattar både tekniska och organisatoriska åtgärder. Ledningen måste ta ansvar för styrning och rapportering, vi ska hantera leverantörsrisker, uppdatera incidentprocesser och dokumentera kontinuerliga förbättringar för att uppfylla lagens krav.
Direktivet skärper krav på flera sektorer, ökar ansvar för ledningen och utökar tillsynen. CSL inför nationella regler som förenar EU-kraven med svensk praxis, inklusive tydligare rapporteringsvägar och sanktioner vid brister. Vi får också mer vägledning kring sektorsspecifika skyldigheter.
Den nya ramen breddar tillämpligheten, ställer högre krav på riskhantering och ansvarstagande samt inför mer detaljerade rapporterings- och tillsynsregler. Skillnaden är att fler aktörer och leverantörer omfattas och att kraven är mer operativa och mätbara.
CSL väntas genomföras nationellt i samband med att EU-kraven ska omsättas i svensk lagstiftning, med planerat ikraftträdande under 2025. Under tiden gäller genomförandeförordningen och nationella förberedelser som påverkar registrering och rapportering.
MSB får ett övergripande ansvar för cybersäkerhet och samordning, medan PTS har sektorsansvar för telekommunikation och vissa digitala infrastrukturtjänster. Vi rapporterar incidenter enligt angivna kanaler och följer myndigheternas vägledning för tillsyn och åtgärder.
Vi bedömer omfattning utifrån sektor, tjänstetyp och storlekskriterier. Större företag och koncerner över angiven tröskel samt leverantörer av samhällsviktiga digitala tjänster inkluderas oftare. En snabb kartläggning av tjänster, användare och kritisk infrastruktur visar om vi omfattas.
Vi summerar medarbetare och omsättning enligt koncernredovisningens principer för att avgöra om tröskelvärden nås. Det är viktigt att inkludera dotterbolag när de levererar integrerade tjänster eller gemensam infrastruktur.
Om vi erbjuder tjänster över EU-gränser eller hanterar data för EU-kunder, kan vi omfattas av direktivet i flera länder. Reglerna kräver samordning mellan tillsynsmyndigheter och tydliga rapporteringsrutiner för gränsöverskridande incidenter.
Leverantörer av DNS-tjänster, molntjänster, datacenter, CDN, hanterade säkerhetstjänster och plattformar kan omfattas om de levererar kritiska eller samhällsviktiga digitala tjänster. Vi måste kartlägga kundbas och kritikalitet för att avgöra tillämplighet.
Vi inför systematiska processer: identifiera tillgångar, bedöma hot och sårbarheter, prioritera åtgärder och dokumentera beslut. Regelbundna tester, sårbarhetsskanningar och uppdaterade säkerhetspolicyer ingår i ett fungerande ramverk.
Vi ska bedöma leverantörers säkerhet, ställa säkerhetskrav i avtal, övervaka efterlevnad och ha beredskap för att snabbt byta eller åtgärda leverantörer vid incidenter. Transparens och kontinuerlig leverantörsbedömning är grundläggande.
Ledningen måste fastställa säkerhetspolicyer, avsätta resurser, godkänna riskacceptansnivåer och säkerställa rapportering av incidenter. Vi dokumenterar beslut och visar att åtgärder genomförs och följs upp regelbundet.
Fokus ligger på tillgänglighet, autenticitet, riktighet och konfidentialitet. Vi implementerar tekniska kontroller som segmentering, kryptering och identitetskontroller samt organisatoriska rutiner för drift och återställning.
Vi genomför regelbunden utbildning för ledning, IT-personal och slutanvändare, genomför phishingtester och kommunicerar rutiner. Medvetenhet stödjer snabb upptäckt och korrekt hantering av incidenter.
En betydande incident påverkar tjänsters kontinuitet, säkerhet eller stora användargrupper. Vi bedömer omfattning utifrån påverkan på tillgänglighet, ekonomi, integritet och offentliga funktioner med stöd av definerade kriterier.
Vi ska rapportera initial information snabbt efter att incidenten upptäcks och lämna kompletterande rapporter inom angivna tidsramar. Tiderna fokuserar på snabb situationbild och efterföljande detaljer för tillsynsmyndigheten.
MSB är central mottagare för rapporter om incidenter inom flera sektorer. För telekombaserade tjänster kan PTS ha särskilda rutiner. Vi följer de officiella kanalerna och använder myndigheternas e-tjänster vid inlämning.
Vid gränsöverskridande påverkan kan flera tillsynsmyndigheter bli involverade. Principen om icke-dubbel bestraffning innebär dock att vi ska undvika onödig dubbelrapportering genom samordnade processer och tydlig kommunikation.
Förordningen fastställer detaljerade krav för leverantörer tills CSL träder i kraft. Vi måste följa de aktuella bestämmelserna om säkerhet, rapportering och tillsynsrapportering redan under övergångsperioden.
Ja, ytterligare genomförandeakter planeras för att reglera särskilda krav på betrodda tjänster, inklusive e‑ID och betrodda plattformar. Vi följer kommande förordningar för att säkerställa kompatibilitet med eIDAS2 och nationella regler.
Reglerna samverkar men har olika fokus: eIDAS2 rör betrodda tjänster och identitet, LEK gäller kommunikationsoperatörer och CER-direktivet fokuserar motståndskraft i kritiska sektorer. Vi behöver anpassa processer för att möta flera parallella skyldigheter.
Genom tydliga interna rutiner och koordinerad kommunikation med tillsynsmyndigheter kan vi minimera överlapp. Vi kartlägger vilka regler som gäller för varje tjänst och ser till att ansvariga kontaktvägar är definierade.
Vi börjar med att registrera verksamheten hos relevant tillsynsmyndighet, genomför en gap-analys mot kraven, uppdaterar policies och incidentflöden och etablerar kontinuerlig förvaltning och revision. Det ger en tydlig väg mot full efterlevnad.
Vi rekommenderar att följa MSB och PTS vägledningar, använda branschspecifika checklistor och anlita certifierade rådgivare för gap-analyser och teknisk implementation. Myndigheternas e‑tjänster och publikationer ger aktuell information.
