augusti 13, 2025|10:08 f m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi hjälper företag och organisationer i Sverige att möta de nya kraven när regelverket skärper krav på riskhantering, tekniska och organisatoriska kontroller samt incidenthantering.
Direktivet blir en svensk lag under 2025 och berör fler branscher och delar av leveranskedjan. Vi beskriver vilka tjänster och processer som omfattas och hur ni omsätter kraven till konkreta förbättringar.
Vår metod är riskbaserad och affärsnära. Vi fokuserar på att skydda verksamhet och infrastruktur, samtidigt som vi skapar tydliga styrmodeller och operativa kontroller.
Genom bedömning, gap-analys, programdesign och implementering ger vi stöd i varje steg. Målet är att göra efterlevnad till en konkurrensfördel och öka er motståndskraft.
Det europeiska direktivet har förnyats för att möta dagens hot mot kritiska system och tjänster. Vi ser att ökad digitalisering och fler cyberhot kräver en skarpare ram för ansvar och rapportering.
Originalet från 2016 uppdaterades för att omfatta fler sektorer och leverantörer. nis2-direktivet ställer högre krav på riskhantering, utbildning och incidentrapportering.
Vi förklarar varför lagen behövs: fler attacker ger större påverkan på verksamhet och säkerhet. Sektorer som energi och digital infrastruktur omfattas nu bredare.
EU satte deadline 18 oktober 2024 för införlivande. I Sverige förväntas lagstiftning tidigast träda kraft 2025 enligt SOU 2024:18. Det ger organisationer tid att bygga kunskap och rutiner innan tillsynen intensifieras.
| Aspekt | Vad ändras | Praktisk betydelse |
|---|---|---|
| Omfattning | Fler sektorer och leveranskedjor | Kartlägg kritiska tjänster och beroenden |
| Kraven | Riskhantering, utbildning, rapportering | Prioritera åtgärder och resurser |
| Sanktioner | Harmoniserade böter, upp till miljoner i euro | Investeringsplan för minskad total kostnad |
Svenska organisationer får snart ökade förpliktelser kring riskstyrning, tekniska åtgärder och rapportering. Vi bryter ner vad det betyder för er verksamhet och hur tillsynen blir differentierad nästa år.
Vi rekommenderar en riskbaserad styrning med dokumenterade processer. Det innebär policyer, utbildning och kontinuerlig förbättring inom informationssäkerhet.
Tekniska åtgärder bör omfatta åtkomstkontroll, segmentering och loggning. Ägarskap för kontroller och mätetal gör det lättare vid revision och tillsyn.
Initial rapportering till behörig myndighet ska ske inom 24 timmar efter att en allvarlig incident upptäckts. Vi hjälper till att etablera end-to-end-processer för detektion, triage, rapport och uppföljning.
”Snabb rapportering och realistiska övningar minskar återkommande incidenter och förbättrar beredskapen.”
Sanktioner kan nå upp till 10 miljoner euro eller en andel av global omsättning. Därför bör ledningen förankra efterlevnad i styrningen och koppla kraven till affärsmål.
För att läsa mer om regelverket och svenska förutsättningar, se vår guide på MSB:s sammanställning.
Lagförändringen berör ett brett spektrum av aktörer. Vi beskriver vilka sektorer som blir träffade och hur tröskelvärden avgör om en verksamhet omfattas nis2.
Väsentliga enheter inkluderar bland annat energi, transport, bank och finans, hälso- och sjukvård, vatten, digital infrastruktur, rymd och offentlig förvaltning.
Viktiga enheter täcker post- och budtjänster, avfallshantering, kemikalier, livsmedel, tillverkning och vissa digitala leverantörer.
Grundregeln är tröskeln 50 anställda och 10 miljoner euro i årsomsättning eller balans. Vi rekommenderar att företag och organisationer kontrollerar både anställda och omsättning mot dessa värden.
Vissa digitala aktörer kan dock omfattas oavsett storlek, och myndigheter, regioner och kommuner påverkas ofta oavsett storlek.
Produktion och distribution påverkas när leverantörer av kritisk utrustning ingår. Exempel är tillverkare av vindkraftskomponenter, laddstationsoperatörer och andra som levererar produkter eller tjänster med hög påverkan.
Vi hjälper till att verifiera om er leveranskedja träffas av kraven och hur ni dokumenterar bedömningen.
Vi börjar med konkreta steg som snabbt visar var era största risker finns och vad som måste prioriteras.
Vi utför en gap-analys mot kraven och bedömer mognad i informationssäkerhet. Resultaten ger en prioriterad handlingsplan med snabba vinster och långsiktiga initiativ.
Fokus ligger på identitets- och åtkomstkontroll (MFA/PAM), nätverkssegmentering för IT/OT, loggning och kontinuerlig övervakning.
Regelbunden sårbarhetshantering och penetrationstestning av kritiska system stärker upptäckt och återställning.
Vi hjälper till att ta fram styrdokument, utbildningar, övningar och tydliga roller. Ledningens engagemang säkerställer mandat och resurser.
Effektiva processer för upptäckt, triage och rapportering kopplas till myndighetsflöden och lärande av incidenter.
Vi etablerar också ett ramverk för leverantörer med riskklassning, avtal och uppföljning för produkter och tjänster.
| Del | Snabbt genomförbart | Medellång sikt | Långsiktigt mål |
|---|---|---|---|
| Patchning & härdning | Uppdatera kritiska servrar | Automatisera patchning | Kontinuerlig compliance |
| Identitet & åtkomst | Inför MFA | PAM för admin | Full IAM-implementation |
| Leverantörer | Riskklassificera | Säkerhetskrav i avtal | Kontinuerlig revision |
| Övervakning | Central loggning | SIEM & alerting | Proaktiv hotjakt |
”Snabba, strukturerade åtgärder minskar störningsrisken i drift och distribution.”
Vi erbjuder stöd genom mallar, verktyg och coachning så att ert företag kan snabba upp genomförandet med bibehållen kvalitet.
Ledningens beslut avgör hur snabbt och effektivt säkerhetskrav införlivas i verksamheten. Vi arbetar med att placera ansvar i styrmodellen så att strategi, budget och uppföljning blir tydliga.
Ledningens uppgift är att sätta riktning, godkänna resurser och definiera hur nis2-kraven ska ingå i förvaltning och styrning. Vi levererar mallar för risk- och kontrollrapporter som underlättar tillsyn och styrelsens uppföljning.
IT- och säkerhetsfunktioner inför tekniska och organisatoriska kontroller. De ansvarar för övervakning, beredskap och incidenthantering samt för att anpassa rapportering till myndigheters krav.
Leverantörer måste möta säkerhetskrav i avtal, erbjuda evidens och följa fastställda incidentflöden. Vi hjälper organisationer att utforma avtalstexter och revisionsrätt samt att kontrollera externa parter löpande.
För vägledning om vilka verksamheter som berörs och praktiska steg, se vår sammanställning hos MSB:s sida om berörda verksamheter.
Parallella regelverk kräver att vi samordnar digitala och fysiska skyddsinsatser för kritisk infrastruktur.
nis2-direktivet fokuserar på skydd av digitala system och tjänster. CER-direktivet riktar sig mot fysisk motståndskraft i sektorer som energi, transport och dricksvatten.
Båda behövs för robust infrastruktur. Produktion och distribution måste skyddas mot både cyberhot och fysiska angrepp.
MSB och sektorsvisa myndigheter samverkar kring identifiering, krav och incidenter.
Rapporter om allvarliga incidenter ska lämnas till MSB inom 24 timmar. Föreslagna sanktionsnivåer speglar nationell lagstiftning och varierar beroende på verksamhetens betydelse.
Kommuner och regioner kan identifieras som kritiska verksamhetsutövare och omfattas då av båda regelverken.
Det kräver tydlig förvaltning, samordnade leverantörskrav och harmoniserade processer för att undvika dubbelarbete.
”Samordning minskar sårbarheter och skapar tydliga roller för myndigheter och leverantörer.”
Avslutningsvis är det dags att omsätta krav i praktiska åtgärder som skyddar verksamhet och tjänster.
Direktivet är en strategisk möjlighet: rätt åtgärder stärker vår förvaltning av risk, gör tjänster mer robusta och kan minska total kostnad över tid.
Vi uppmanar till ett trevågsprogram: omedelbara åtgärder som synlighet och logging, medellång sikt med IAM och leverantörsstyrning, samt långsiktigt fokus på styrning och kontinuerlig förbättring.
Ledningens engagemang är avgörande för finansiering, dokumentation och för att klara tillsyn. Sanktioner kan nå upp till 10 miljoner euro eller procent av global omsättning, vilket gör prioritering nödvändig.
Vi erbjuder stöd genom bedömning, gap‑analys och implementering. Läs mer i våra guider eller kontakta oss för en kostnadsfri orientering om ert utgångsläge.
Direktivet ställer högre krav på säkerhet i digital infrastruktur, riskhantering och incidentrapportering. Vi måste genomföra en gap-analys, införa tekniska kontroller som åtkomststyrning och segmentering samt dokumentera organisatoriska rutiner. Målet är att minska driftstörningar och stölder av data samt säkerställa samverkan med tillsynsmyndigheter.
Reglerna omfattar väsentliga och viktiga sektorer som energi, transport, bank och finans, hälsa, vatten, digital infrastruktur och offentlig förvaltning. Även leverantörer i leveranskedjan, inklusive tillverkare och distributörer av kritiska produkter och tjänster, kan omfattas beroende på storlek och betydelse.
Allvarliga incidenter ska rapporteras snabbt till ansvarig myndighet, ofta inom 24 timmar för initial avisering. Därefter ska vi lämna kompletterande information enligt tillsynens krav. Snabb rapportering underlättar samordnad hantering och minskar följdskador.
Vi rekommenderar att börja med robust åtkomstkontroll, nätverkssegmentering, loggning och kontinuerlig övervakning. Regelbundna penetrationstest och uppdaterad patchhantering minskar exponering. Dessa åtgärder bör kombineras med incidentdetektion och backup‑rutiner.
Ledningen måste sätta strategi, avsätta resurser och följa upp att krav efterlevs. Vi behöver beslut om risknivåer, godkännande av policyer och regelbunden rapportering från IT- och säkerhetsfunktioner. Ledningens engagemang är avgörande för att integrera säkerhet i affärsverksamheten.
Sanktioner kan vara betydande och inkludera stora böter, i vissa fall upp till flera miljoner euro eller procent av global omsättning. Dessutom kan vi drabbas av skadat förtroende, leveransstörningar och krav från kunder och partner på förbättrade säkerhetsåtgärder.
Leverantörer måste leva upp till avtalade säkerhetskrav och genomgå säkerhetsgranskningar. Vi behöver ställa tydliga krav i avtal, kräva leverantörsbedömningar och säkerhetsrapportering samt säkerställa att tredje part har incidentprocedurer som matchar våra.
Vi behöver etablera policyer, utbildningsprogram och roller för incidenthantering. Regelbundna övningar, sårbarhetsanalyser och rapporteringsrutiner stärker vår beredskap. Dokumentation och kontinuerlig uppföljning säkerställer spårbarhet och förbättring.
Vi ska rapportera incidenter och följa myndigheternas riktlinjer för information och åtgärder. Myndigheter som MSB och sektorsspecifika aktörer ansvarar för tillsyn och stöd. Vi rekommenderar att upprätthålla en nära dialog för att säkerställa korrekt och snabb hantering.
Reglerna införs enligt nationell tidslinje och kompletteras av svensk lagstiftning. Praktiskt innebär det att vi får ett införandefönster för att uppgradera tekniska system, utbilda personal och uppdatera avtal. Vi behöver planera för stegvis efterlevnad och prioritera kritiska åtgärder.
