augusti 13, 2025|9:42 f m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi beskriver nis2-direktivet och varför direktivet höjer ribban för informationssäkerhet i svenska verksamheter. Beskrivningen visar hur beslutet från EU i december 2022 nu implementeras genom SOU 2024:18 och en lagrådsremiss inför den kommande cybersäkerhetslagen.
Vi förklarar vilka delar av er verksamhet och vilka verksamhetsutövare som påverkas. Fokus ligger på ledningens ansvar, riskanalyser och operativ samverkan med leverantörer.
Vårt angreppssätt visar hur vi omsätter lagstiftningen och nya krav i praktiskt arbete. MSB:s roll som nationell samordnare påverkar tillsyn, rapportering och hur föreskrifter konkretiseras.
Vi svarar på vanliga frågor och erbjuder en metodik som integrerar governance, risk och compliance. Målet är tydligare ansvar, bättre motståndskraft i samhällsviktiga tjänster och en enhetligare nivå för informationssäkerhet.
Direktivet förändrar spelreglerna för säkerhetsarbete i svenska verksamheter. Det ställer tydligare förväntningar på ledningens deltagande och på hur riskanalyser genomförs.
Fler sektorer omfattas än tidigare, vilket innebär fler tillsynsmyndigheter och högre sanktionsavgifter vid brister. Exakta kriterier och undantag fastställs först när svensk lag och föreskrifter är på plats.
Vi rekommenderar att verksamheter redan nu kartlägger kritiska tjänster, beroenden och leverantörer. Att starta arbetet tidigt minskar risken för stora gap när tillsynen intensifieras.
På vår sida samlar vi uppdateringar från MSB och omvandlar dem till praktiska åtgärdslistor och mallar. Vi ger också svar på vanliga frågor om resurser, prioritering och hur detta arbete integreras i ledningssystem.
Sverige står i en övergångsfas där EU-beslutet från december 2022 nu får konkret nationell utformning.
EU-beslut, svensk lagprocess och kommande cybersäkerhetslagen
EU antog nis2-direktivet i december 2022. I Sverige föreslås regleringen via SOU 2024:18 och regeringen skickade en lagrådsremiss i juni 2025.
Propositionen för den kommande cybersäkerhetslagen väntas hösten 2025. Det ger verksamheter tid att förbereda sig, men frågor kvarstår kring detaljer i föreskrifter.
Det blir två kategorier av aktörer: väsentliga och viktiga. Kraven är ofta likartade, men tillsyn och sanktioner kan skilja.
Väsentliga aktörer får i regel strängare tillsyn och högre sanktionsrisk. Viktiga aktörer omfattas också, men med en något annorlunda tillsynsprofil.
MSB agerar nationell samordnare och EU-kontaktpunkt. Myndigheten tar fram gemensamma föreskrifter och vägledning.
Sektorsvisa tillsynsmyndigheter utövar tillsyn i sina respektive sektorer och kan komplettera med egna sektorsföreskrifter.
Att bygga riskanalyser som speglar verksamhetens verkliga hotbild är avgörande för hållbar informationssäkerhet. Vi hjälper er att koppla affärsmål till säkerhetsmål och omsätta tydligare krav till mätbara kontroller.
Riskprocesser bör vara praktiska och upprepbara. Vi utformar analyser som prioriterar tjänster och identifierar leverantörer i värdekedjan.
Ledningen måste få mandat, resurser och regelbunden uppföljning. Vi stöttar styrelse och ledning så att arbete blir mätbart och spårbart.
Vi utformar utbildningar och incidenthanteringsrutiner för att lära av händelser och förebygga nya. Genom revisioner och KPI:er görs förbättringar löpande.
Vi förbereder er också på kommande föreskrifter från direktivet, så att verksamhetsutövaren kan visa efterlevnad vid tillsyn.
Vi hjälper er att avgöra om er verksamhet faller inom de 18 sektorer som reglerna berör. Det påverkar hur ni kartlägger samhällsviktiga tjänster och vilka rapporteringsvägar ni använder.
De listade sektorerna täcker bland annat energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten, avloppsvatten och digital infrastruktur.
Ytterligare områden är offentlig förvaltning, förvaltning av IKT‑tjänster, rymden, post- och budtjänster, avfallshantering, kemikaliedistribution, livsmedelsproduktion, tillverkning, digitala leverantörer och forskning.
Vi går igenom hur ni validerar att ni ska omfattas och vilken tillsynsmyndighet ni ska anmäla er till.
Vi hjälper er att kartlägga tjänster, beroenden och distribution så att alla relevanta aktörer får korrekt ansvarsfördelning.
| Sektor | Exempel på tjänster | Anmälan till |
|---|---|---|
| Energi | Elproduktion, nätförvaltning | Tillsynsmyndighet för energi |
| Hälso- och sjukvård | Patientjournaler, vårdinformation | Hälso‑ och sjukvårdens tillsyn |
| Digital infrastruktur & rymden | Nät, satellittjänster | Relevant sektorsmyndighet |
Vi upprättar rutiner för gränsfall, koncernfrågor och omvärldsbevakning. Det gör att ni snabbt kan anpassa styrdokument när föreskrifterna preciseras.
Snabb och korrekt rapportering är avgörande för att begränsa påverkan av större driftstörningar. Vi beskriver hur rapporteringsfönstren fungerar och hur ni kan organisera er för att möta dem.
Verksamhetsutövare ska lämna en varning inom 24 timmar efter upptäckt.
En inledande anmälan ska skickas inom 72 timmar och en slutrapport inom en månad.
Om en incident pågår ska en lägesrapport lämnas varje månad tills avslut, därefter en slutrapport en månad efter att situationen är löst.
Kriterier för betydande incident fastställs i kommande föreskrifter. Tills dess hjälper vi er att anpassa bedömningar till era tjänster och riskprofil.
Vi etablerar tydliga bedömningsnivåer så att verksamhetsutövare snabbt kan avgöra när en händelse måste eskaleras.
CERT-SE ger teknisk rådgivning, hjälper till med avgränsning och stödjer återställning. Vi bygger in deras kontaktvägar i era playbooks.
Tillsynens roll är att kombinera kontroll med stöd för att stärka motståndskraft i varje sektor. Vi beskriver hur sektorsvisa myndigheter agerar och vad verksamheter kan förvänta sig vid en granskning.
Varje sektors ansvar ligger hos sin tillsynsmyndighet. De genomför granskningar och kan begära dokumentation, intervjuer eller tillträde till lokaler.
Syftet är både att bedöma efterlevnad och att ge vägledning för förbättringar.
Vid allvarliga brister kan myndigheten förelägga eller ta ut sanktionsavgift enligt lagen. Vi förklarar nivåerna i praktiska termer.
| Typ | Sanktionsnivå | Kommentar |
|---|---|---|
| Väsentliga verksamhetsutövare | Högst det största av 2% global omsättning eller 10 000 000 EUR | Strängare tillsyn och högre finansiell exponering |
| Viktiga verksamhetsutövare | Högst det största av 1,4% global omsättning eller 7 000 000 EUR | Lägre nivåer jämfört med väsentliga aktörer |
| Offentliga verksamheter | Upp till 10 000 000 SEK | Särskilda regler kan gälla för myndigheter och kommuner |
Regelverket och direktivet förespråkar proportionell tillsyn. Det betyder anpassad granskning efter verksamhetens storlek och riskbild.
Vi stödjer verksamheter i att tolka reglerna och att prioritera åtgärder så att tillsyn blir ett verktyg för utveckling, inte bara kontroll.
Vi omsätter regler och riktlinjer till praktiska arbetssteg som ni kan börja genomföra redan idag.
Vi startar med en nulägesanalys som jämför er verksamhet mot relevanta mål. Resultatet blir en konkret backlog med prioriterade åtgärder.
Åtgärder prioriteras efter risk och påverkan på era tjänster. Vi synkar planen med föreskrifter för att minimera omarbete.
Styrning formaliseras genom policyer, roller och kommittéer. Det säkrar ansvar i hela verksamheten och hos leverantörer.
Vi designar utbildningar för ledning, nyckelpersoner och teknikteam. Träning innehåller praktiska övningar och koppling till affärsplanen.
Kommunikationspaket och Q&A hjälper till att hantera frågor internt och mot sidan från myndigheter.
| Fas | Huvudaktiviteter | Leverabler |
|---|---|---|
| Nuläge | Analys, gap‑bedömning | Backlogg, prioriteringslista |
| Implementering | Policy, processer, åtgärder | Roller, rutiner, tekniska kontroller |
| Utvärdera | Mätetal, övningar, rapportering | KPI:er, revisionsplan, utbildningslogg |
Vi visar hur två regelverk tillsammans stärker både digital och fysisk motståndskraft i tjänster som är viktiga för samhället. Detta är centralt för sektorer som energi, transport, bank och hälso‑ och sjukvård.
nis2-direktivet fokuserar på informationssäkerhet och digital infrastruktur. CER förstärker operativ och fysisk säkerhet genom krav på riskbedömning, tekniska och organisatoriska åtgärder samt bakgrundskontroller.
Vi pekar på praktiska samordningspunkter: gemensam incidentprocess, tydliga roller hos tillsynsmyndighet och snabba rapporter.
| Aspekt | Digital (nis2-direktivet) | Operativ/fysisk (CER) |
|---|---|---|
| Fokus | Informationssäkerhet samhällsviktiga digitala system | Motståndskraft i anläggningar och personal |
| Rapportering | Incidenter, snabba notifieringar | Omedelbar rapportering inom 24 timmar |
| Tillsyn | Tillsynsmyndighet per sektor | Kriterier för kritiska verksamhetsutövare och bakgrundskontroller |
För att bli efterlevnadsklara rekommenderar vi att ni läser vägledning från MSB om nis2-direktivet och anpassar en gemensam styrmodell för både digital infrastruktur och förvaltning.
strong, I korthet: verksamhetsutövare måste koppla styrning, riskhantering och leverantörskedjan till praktiska åtgärder.
Vi rekommenderar att ni kartlägger om ni ska omfattas genom att jämföra er verksamhet mot sektorer och gällande föreskrifter. Det minskar osäkerhet när lagen konkretiseras.
Prioritera att rapportera incidenter inom angivna tidsramar och definiera incidenter så att mätning och uppföljning blir konsekvent. Det skyddar tjänster och minskar störningar i samhällsviktiga digitala system.
Vi stödjer verksamhetsutövaren i att skapa en roadmap, involvera leverantörer och förbereda dialog med tillsynsmyndigheten. På så sätt blir arbetet uthålligt inför kommande cybersäkerhetslagen.
De nya reglerna ställer tydligare krav på vårt systematiska arbete med informationssäkerhet. Vi måste göra riskanalyser, införa tekniska och organisatoriska åtgärder, hantera leverantörskedjan och dokumentera ledningens ansvar. Målet är att skydda samhällsviktiga tjänster och minska störningar i digital infrastruktur.
Vi identifierar om vi ingår i någon av de 18 sektorerna, som energi, hälso- och sjukvård, transport och rymd. Därefter kontrollerar vi om vår verksamhet uppfyller kriterier för väsentlig eller viktig aktör enligt föreskrifterna och anmäler oss till rätt tillsynsmyndighet.
Vi ska notifiera tillsynsmyndigheten inom 24 timmar efter att vi upptäckt en incident, lämna en inledande rapport inom 72 timmar och en slutrapport inom en månad. Dessa tidslinjer gäller för incidenter som bedöms ha betydande påverkan på tjänster eller säkerhet.
En betydande incident påverkar drift, konfidentialitet, integritet eller tillgänglighet på ett sätt som hotar samhällsviktiga funktioner eller stora grupper användare. Definitionen preciseras i kommande föreskrifter och bedöms utifrån påverkan, omfattning och varaktighet.
MSB samordnar nationell tillämpning och föreskrifter samt stödjer tillsynsmyndigheter. CERT-SE erbjuder rådgivning, incidenthantering och teknisk samordning vid större cyberhändelser. Vi samarbetar med båda för att stärka vår förmåga att förebygga och hantera incidenter.
Väsentliga aktörer har ofta större påverkan på samhällsviktiga tjänster och möter strängare tillsyn och högre sanktionsnivåer. Viktiga aktörer har betydande funktioner men bedöms ha mindre samhällspåverkan. Skillnaden avgörs av kriterier i föreskrifterna.
Ledningen måste visa ansvar genom att godkänna säkerhetspolicyer, avsätta resurser, delta i riskbedömningar och säkerställa utbildning. Vi behöver dokumentera beslut och löpande följa upp förbättringar och kontroller.
Vi prioriterar åtgärder som patchhantering, segmentering av nätverk, åtkomstkontroller, loggning och incidentresponsteam. Organisationellt bör vi stärka leverantörskontroller, utbildning och styrande processer för kontinuerlig förbättring.
Vi måste bedöma risker i leverantörskedjan, ställa säkerhetskrav i avtal och följa upp efterlevnad. Leverantörer som påverkar våra samhällsviktiga funktioner kan krävas att rapportera incidenter och visa säkerhetsåtgärder.
Tillsynsmyndigheten kan kräva åtgärder, genomföra revisioner och besluta om sanktionsavgifter vid brister. Avgiftsnivåerna varierar mellan väsentliga och viktiga aktörer och ska vara proportionerliga utifrån påverkan och allvar.
Vi startar med en nulägesanalys, genomför riskanalyser, skapar en åtgärdsplan och etablerar styrning, processer och kontroller. Parallellt utbildar vi ledning och nyckelpersoner för att säkerställa genomförande och ansvarsförankring.
Genom att implementera strukturerade säkerhetsåtgärder, förbättrad incidentrapportering och samspel med CER och andra regelverk stärker vi både digital och fysisk motståndskraft. Vi minskar risken för avbrott och ökar vår förmåga att återhämta oss snabbt.
Ja. Vi kan använda vägledningar från MSB, rådgivning från CERT-SE och branschspecifika rekommendationer. Vi hjälper också till att översätta regler till praktiska åtgärder och checklistor anpassade till er verksamhet.
