NIS2 efterlevnad: Vi guidar er genom processen med vår expertis

Vi hjälper er att möta nya krav i cybersäkerhetslagen inför ikraftträdandet 15 januari 2026.

Det här är en praktisk introduktion till vad som krävs för att ert företag eller organisation ska vara redo. Vi förklarar hur nis2-direktivet implementeras i Sverige och vilka dokument, registreringar och rapportflöden som måste finnas på plats.

Vår vägledning sträcker sig från nulägesanalys till driftsatt styrning. Vi visar hur ledningen tar ägarskap, hur personal utbildas och hur incidenter rapporteras till CERT-SE inom angivna tidsramar.

Konsekvenserna vid bristande efterlevnad kan vara allvarliga. Sanktioner kan nå upp till 2 % av global omsättning och för väsentliga aktörer kan ledningsförbud bli aktuellt. Vi lägger fokus på proportionerliga åtgärder som skyddar era tjänster och affärskritiska beroenden.

Nyckelinsikter

• Så påverkar cybersäkerhetslagen era processer och krav.
• Vad ledningen måste göra för att ta aktivt ansvar.
• Viktiga tidpunkter före 15 januari 2026.
• Hur vi etablerar mätbara och reviderbara kontroller.
• Prioritering av affärskritiska beroenden och tjänster.

Introduktion: NIS2 i Sverige och vad Cybersäkerhetslagen betyder för er verksamhet

I denna del sammanfattar vi den nationella implementeringen och vad ni måste prioritera nu.

Beslutet från EU 2022 kräver att medlemsstater inför nya regler som i Sverige föreslås genom en uppdaterad cybersäkerhetslag. Lagrådets förslag pekar på ikraftträdande den 15 januari 2026. MSB får en central roll för nationell samordning och föreskrifter.

Nu-läget i Sverige och tidslinjen fram till ikraftträdandet

Under 2025 väntar föreskrifter, registrering och successiv implementering. Vi rekommenderar kvartalsvis planering för att undvika sista-minuten-åtgärder.

Varför fler sektorer och högre sanktioner förändrar spelplanen

Direktivet breddar vilka sektorer som omfattas och ökar antalet tillsynsmyndigheter. Det innebär att fler aktörer får formella skyldigheter.

Praktiska effekter:

• Skärpta krav på ledningens ansvar och riskanalyser.
• Hårdare sanktioner vid brister, inklusive avgifter upp till 2 % av global omsättning.
• Fokus på network and information systems i både regelverk och teknisk arkitektur.

Period	Viktig aktivitet	Ansvarig	Resultat
Q3–Q4 2024	Förberedande kartläggning	Ledning & IT	Identifierade kritiska system
Q1–Q2 2025	Implementera kontroller	Säkerhetsteam	Åtgärdsplan och dokumentation
Q3 2025–Q1 2026	Registrering & revision	Management & Myndigheter	Kontroller verifierade
Från 15/1/2026	Driftsatt styrning	Hel verksamheten	Löpande tillsyn och rapportering

För detaljer om direktivet och nationell vägledning, se MSB:s sammanfattning.

NIS2 efterlevnad

Vi sätter ett konkret mål: att era system och processer uppfyller lagens krav och står emot angrepp och driftstörningar.

Den svenska lagen kräver att verksamhetsutövare etablerar lämpliga tekniska och organisatoriska åtgärder. Ledningen ska utbildas och processer för incidentrapportering måste fungera inom 24/72 timmar.

Vårt mål och arbetsmodell

• Uppfylla nis2-kraven samtidigt som vi höjer organisationens motståndskraft mot avbrott och attacker.
• Bygga säkerhet som säkrar leverans under störningar, inte bara för att klara en revision.
• Sätta mätbara mål för säkerhet och cybersäkerhet: upptäcktstid, återställningstid och kostnadsoptimering.
• Utforma proportionerliga åtgärder prioriterade efter affärspåverkan och regulatoriska krav.
• Etablera beslutsforum så att krav blir förankrade, finansierade och följda upp.

Vi levererar praktiskt stöd genom en färdplan där styrning, teknik, processer och människor hänger ihop. På så sätt minskar vi risker, snabbar upp införandet och hjälper er att hantera tillsyn och dokumentation från dag ett.

Så avgör vi om ni omfattas och hur ni klassas som verksamhetsutövare

Vi hjälper er att snabbt avgöra om er verksamhet omfattas och vilken klassning som gäller. Först kartlägger vi era tjänster och beroenden mot de 18 sektorer som listas i bilagorna.

Väsentliga och viktiga aktörer

Direktivet delar in aktörer i väsentliga och viktiga. Vi bedömer om ni är väsentlig verksamhet utifrån storlek, sektor och samhällspåverkan.

Väsentliga får proaktiv tillsyn och högre krav enligt cybersäkerhetslagen. Viktiga får händelsestyrd tillsyn och förenklade rapportkrav.

Små leverantörer och leveranskedjan

Små företag omfattas oftast inte direkt. De kan ändå påverkas via kundkrav i leveranskedjan.

Vi tar fram mallar för avtal, intyg och information till leverantörer. På så vis säkerställer vi att krav blir tydliga och rimliga.

• Kartläggning mot 18 sektorer och kritiska sektorer enligt bilagor.
• Klassning som väsentlig eller viktig enligt cybersäkerhetslagen.
• Underlag för registrering och val av tillsynsmyndighet.
• Dokumentation med roller, kriterier och löpande uppdatering.
• Vägledning och mallar för leveranskedjan och informationsinsamling.

Vi stödjer er med workshops, checklistor och spårbar dokumentation så att anmälan blir korrekt och försvarbar.

Ledningens ansvar och utbildning enligt direktivet och Cybersäkerhetslagen

Ledningens roll är central när krav och ansvar ska omvandlas till konkreta beslut och resurser.

Cybersäkerhetslagen kräver att ledningen utbildas i säkerhetsåtgärder och tar ansvar för att risker hanteras.

Vi upprättar en tydlig agenda för ledningen där budget, prioriteringar och acceptabla risknivåer dokumenteras.

Vi genomför riktade utbildningar för ledningen om kravbild, tillsynsprocess och praktisk styrning. Utbildningen återkommer årligen och uppdateras efter hotbild och teknik.

”Ledningen måste godkänna och övervaka åtgärdsprogram så att information och beslut är spårbara.”

• Vi säkrar att information om risker och incidentstatus når styrelse och VD med definierade KPI:er.
• Vi beskriver hur ansvar formellt dokumenteras och verifieras i protokoll.
• Vi klargör personligt ansvar och vilka sanktioner som kan bli aktuella.

Vi hjälper er att koppla organisationens mål för säkerhet till incitament, budget och återkommande uppföljning.

Riskbedömning av kritiska tillgångar och preliminär kontextanalys

Vi inleder med en kort kontextanalys för att klargöra vilka tillgångar som är mest affärskritiska. Vi kartlägger data, processer, hårdvara, personal och platser. Detta ger en bild av var risker samlas och hur beslut bör prioriteras.

Identifiera tillgångar, hot, sannolikhet och konsekvens

Vi bedömer hot utifrån sannolikhet och konsekvens och prioriterar åtgärder riskbaserat. Analysen knyts till ledningens strategiska inriktning så att beslut och budget stöds. Lagen kräver proportionerliga tekniska och organisatoriska åtgärder för att skydda både nätverks- och fysiska miljöer.

• Inventering: Koppla tillgångar till affärsprocesser och system för att hitta koncentrationer av risker.
• Prioritering: Sannolikhet och konsekvens styr snabbinsatser och långsiktiga initiativ.
• Styrning: Definiera riskacceptans och eskaleringsvägar till ledningen.

Tillgång	Vanligt hot	Sannolikhet	Konsekvens	Föreslagen åtgärd
Kunddata	Dataintrång	Hög	Hög	Kryptering & åtkomstkontroll
Produktionssystem	Driftstörning	Medel	Hög	Redundans & övervakning
Fysisk plats	Obehörig åtkomst	Medel	Medel	Fysisk säkerhet & rutiner

Vi dokumenterar antaganden och skapar en initial åtgärdsplan med quick wins och mätetal.

Gapanalys mot NIS2-kraven och handlingsplan som styr införandet

Efter riskbedömningen genomför vi en gapanalys där vi identifierar kraven och jämför dem med era befintliga kontroller. Vi kartlägger policyer, tekniska skydd och rutiner för att hitta precisa gap.

Kartläggning av befintliga kontroller och prioritering av brister

Vi bryter ned krav i konkreta checkpoints och bedömer varje kontrolls effektivitet. Bristerna prioriteras efter risk, regulatorisk påverkan och genomförbarhet.

• Åtgärder tidsätts med ansvariga, budget och beroenden för beslut i ledningen.
• Vi identifierar vilka säkerhetsåtgärder som kan återanvändas och vad som måste förstärkas.
• Process för spårbar statusuppföljning införs för styrgrupp och styrelse.

Ambitionsnivå, resurser och styrning från ledningen

Handlingsplanen speglar organisationens riskprofil och kapacitet. Vi definierar ambitionsnivåer som är rimliga, verifierbara och anpassade till verksamheten.

Vi stödjer förändringsledning och kompetenslyft så att rutiner verkligen efterlevs i vardagen. Dokumentation utformas för att visa efterlevnad vid tillsyn.

”En återkommande gapanalys säkerställer att åtgärder följer förändrad riskbild.”

Integrera NIS2 i befintligt efterlevnadsarbete och ramverk

Vi visar hur ni smidigt kan föra in nya regulatoriska krav i befintliga ramverk utan att skapa dubbelarbete.

Strategin bygger på att kartlägga era nuvarande styrsystem, rutiner och processer. Många organisationer har redan iso 27001, GDPR-processer eller CIS Controls. Vi identifierar överlapp där krav sammanfaller och var särskilda tillägg krävs.

Synergier med ISO 27001, GDPR och CIS Controls

Vi använder iso 27001 som ryggrad för styrning, riskbedömning, kontroller och mätning. Då kopplar vi på specifika krav från nis2 cybersäkerhetslagen utan att rita om hela systemet.

Agilt, systematiskt och riskbaserat arbetssätt

Vårt arbetssätt är agilt och riskbaserat. Processer förbättras iterativt utifrån revisioner, tester och förändrad hotbild.

• Kartlägga ramverk för att undvika dubbelarbete.
• Harmonisera incidentrutiner så GDPR och NIS2 hanteras gemensamt.
• Formaliserade rutiner för leverantörsstyrning och sårbarhetshantering.
• Utbildning och medvetenhet för att förankra informationssäkerhet i vardagen.
• Etablera mätetal och ledningsrapporter för tydlig styrning.

”Ett samordnat ramverk ger både effektiv drift och spårbar dokumentation vid tillsyn.”

Vi tar fram vägledning och mallar för internrevision och kontrolltester så att era policies, bevis och rapporter är kompletta och spårbara i hela organisationen.

Säkerhetsåtgärder vi inför enligt lagens krav

Vi beskriver konkreta säkerhetsåtgärder som gör era tjänster robusta mot både driftstörningar och angrepp. Åtgärderna anpassas efter risk och påverkan på verksamheten.

Incidenthantering, kontinuitet och krishantering

Vi etablerar operativa rutiner för incidenthantering med tydliga roller, larmnivåer och eskalering. Kontinuitetsplaner innehåller återställningsmål och regelbundna testcykler.

Säkerhet i leveranskedjan och vid systemutveckling

Vi inför krav i leveranskedjan med säkerhetsbilagor, tredjepartsbedömningar och kontinuerlig övervakning. Vid utveckling använder vi policies för säker utveckling och “shift-left”-tester.

Kryptografi, åtkomstkontroll, autentisering och säkrade kommunikationer

Vi tar fram en kryptografipolicy med nyckelhantering och stark autentisering. Kommunikationsflöden skyddas med säkrade kanaler och nödkommunikation där det behövs.

Utbildning, cyberhygien och uppföljning av åtgärdernas effektivitet

Vi genomför utbildning och cyberhygienprogram som mäter beteendeförändring. Effekt mäts med KPI:er, interna revisioner och loggning som visar spårbarhet.

• Definiera roller, kommunikation och bevis för incidenter.
• Kontinuitetsplaner kopplade till tjänsteberoenden och återställningsmål.
• Säkerhet leveranskedjan genom avtal och övervakning.
• Kryptering, åtkomstkontroll och regelbundna recertifieringar.
• Utbildning, mätning av åtgärder och regelbundna kontroller.

”Alla åtgärder är proportionerliga och prioriteras efter risk och verksamhetspåverkan.”

Vi hjälper er att införa säkerhetsåtgärder som uppfyller cybersäkerhetslagen och skapar tydlig dokumentation för både drift och tillsyn.

Incidenthantering och rapportering inom 24/72 timmar

Att hantera incidenter rätt från första minut minskar skadan på tjänster och kunder. Vi bygger en tydlig struktur som säkerställer att varning till CERT‑SE lämnas inom 24 timmar och rapport inom 72 timmar.

Process, roller och underlag till CSIRT/CERT‑SE

Vi designar en enkel process för incidenthantering som möter de lagstadgade kraven. Roller, ansvar och mandat definieras så att korrekt information samlas och kvalitetssäkras snabbt.

• Rapportmallar för CERT‑SE med allvarlighetsbedömning och indikatorer.
• Playbooks för vanliga scenarier med tydliga triggers och eskalering.
• Spårbara loggar och beviskedjor som stöd för utredning och tillsyn.

Kommunikation till kunder och del-/slutrapporter

Vi planerar kundkommunikation vid incidenter som sannolikt påverkar leverans av tjänster. Mottagare får åtgärdsråd vid betydande cyberhot och fortlöpande lägesrapporter om incidenten pågår.

• Kalender för delrapporter och krav på slutrapport inom en månad.
• Kriterier för när en incident bedöms som betydande och vilka åtgärder som ska prioriteras.
• Koppling till kontinuitets- och krishanteringsplaner för att minimera påverkan.

”Snabb rapportering och tydlig kundkommunikation minskar både skada och osäkerhet.”

Genom vår lösning säkerställer vi att arbetet stödjer cybersäkerhetslagen och ger ledningen mätbara indikatorer för ständig förbättring.

Tillsyn, dokumentation och bevis på efterlevnad

Myndigheternas rätt att granska ställer höga krav på hur vi organiserar bevis och information. Tydlig dokumentation visar att era tjänster och processer lever upp till cybersäkerhetslagen.

Vi förbereder er för inspektioner, begäran om handlingar och tillträde till lokaler. Förelägganden kan förenas med vite och Kronofogden kan användas för handräckning.

Proaktiv övervakning, revisioner och säkerhetsskanningar

• Dokumentationsstruktur: Vi skapar mallar som visar hur krav implementerats och verifierats.
• Revisionsberedskap: Checklistor, evidenspaket och tränade talespersoner för snabba svar.
• Test och skanning: Interna revisioner och simulerade säkerhetsskanningar för att hitta brister före tillsyn.
• Process för förelägganden: Åtgärder, tidsramar och rapportering för att minimera risk för sanktioner.

Ämne	Vad myndigheten kan begära	Vår leverans	Nytta för organisationen
Dokument	Policys, loggar, revisioner	Evidenspaket och versionskontroll	Snabb respons och minskad risk
Inspektion	Tillträde till lokaler (ej bostäder)	Färdiga rutiner och kontaktperson	Smidig kontroll och färre avbrott
Teknisk granskning	Säkerhetsskanningar och tester	Simulerade skanningar och åtgärdsplan	Upptäckt av svagheter före revision

Vi kopplar kontroller till affärskritiska tjänster och inför årlig policy- och evidensöversyn. För mer detaljer om hur vi arbetar med regler och registrering, se vår sida om cybersäkerhetslagen.

Vägen till compliance före 15 januari 2026

Vi tar fram en tydlig, tidsatt väg som leder från registrering till driftsatt styrning inför lagens start. Planen knyter ihop analys, tekniska åtgärder och verifiering i praktiska steg.

Praktisk roadmap från registrering till driftsatt styrning

Stegvis planering: Vi levererar en roadmap med milstolpar för registrering, gapanalys, införande och verifiering.

Prioritering och styrning: Vi prioriterar åtgärder som ger störst riskreduktion tidigt. Ledningen får utbildning och beslutsunderlag så att mål och resurser fastställs.

• Inför registrering kartlägger vi om verksamheten omfattas och vilka tjänster som är kritiska.
• Vi etablerar processer och rutiner för incidentrapportering, leverantörsstyrning och sårbarhetshantering.
• ISO 27001 används som struktur för policyer, risk, kontroller och internrevision.

”Ett tidsatt projekt som bygger evidens från dag ett minskar risken vid tillsyn och ger driftsatt styrning i linjen.”

Fas	Nyckelaktivitet	Resultat
Förberedelse (Q3–Q4)	Identifiera omfattning, registrera och utbilda ledningen	Beslut om ambitioner och startbudget
Implementering (Q1–Q2)	Införa kontroller, dokumentera rutiner, bygga evidensbibliotek	Verifierbara kontroller och mätetal
Verifiering (Q3–Q4)	Tester, övningar och internrevisioner	Driftsatt styrning och överlämning till linjen

Vårt stöd: Vi hjälper med upphandlingar, teknikval och med att förankra förändring i organisationens kultur. Målet är att ni kan visa spårbar dokumentation när tillsyn sker.

Slutsats

Slutligen pekar vi på de insatser som mest effektivt skyddar era tjänster mot cyberhot. Kraven i nis2-direktivet och cybersäkerhetslagen innebär registrering, ledningsutbildning och tydlig dokumentation.

Organisationen måste införa säkerhetåtgärder i system och leveranskedjan. Vi rekommenderar iso 27001 som struktur för styrning och mätetal.

Incidenter ska rapporteras inom 24/72 timmar till CERT‑SE och bevis för åtgärder måste finnas vid tillsyn. Väsentliga enheter får särskild uppföljning och säkerhetsskanningar.

Vi hjälper er att prioritera rätt, bygga praktiska kontroller och visa att ledningen tar ansvar. På så vis minskar risken för sanktioner och ni stärker verksamhetens motståndskraft.

FAQ

Vad innebär det nya cybersäkerhetsramverket för vår verksamhet?

Det innebär att vi måste kartlägga våra nätverk, information och system, bedöma risker och införa tekniska och organisatoriska åtgärder. Vi ser över ledningens ansvar, incidenthantering, leveranskedjan och rapportering till CSIRT/CERT-SE. Målet är att stärka motståndskraften mot cyberhot och uppfylla lagens krav före införandedatum.

Hur avgör vi om vi omfattas som väsentlig eller viktig verksamhetsutövare?

Vi klassificerar er verksamhet genom att analysera sektor, tjänster, omsättning, kritikalitet och beroenden i leveranskedjan. För 18 sektorer finns särskilda kriterier; små leverantörer kan ändå påverkas indirekt. Vi utför en snabb kartläggning för att ge klarhet i er status.

Vilka säkerhetsåtgärder måste vi prioritera först?

Vi rekommenderar att börja med riskanalys, kritiska tillgångar, incidenthanteringsrutiner, åtkomstkontroll, autentisering och kryptering. Parallellt inför vi utbildning i cyberhygien och kontinuitetsplaner. Dessa åtgärder minskar omedelbara risker och förbereder för tillsyn.

Hur fungerar incidentrapporteringen — vad krävs inom 24 respektive 72 timmar?

Vi etablerar processer för att initialt rapportera allvarliga driftstörningar till CSIRT/CERT-SE inom 24 timmar och mer detaljerade incidentrapporter inom 72 timmar. Vi definierar roller, bevisunderlag och kommunikationsmallar för kunder, myndigheter och interna intressenter.

Hur kopplar vi detta ramverk till ISO 27001 och GDPR?

Vi identifierar överlappande krav och bygger synergier. ISO 27001 ger styrning och kontinuerligt förbättringsarbete medan GDPR hanterar personuppgifter. Genom att integrera kontroller och processer undviker vi dubbelarbete och skapar ett enhetligt informationssäkerhetsarbete.

Vad innebär tillsyn och vilka dokument måste vi kunna uppvisa?

Tillsyn omfattar revisioner, säkerhetsskanningar och krav på dokumentation som riskbedömningar, incidentrapporter, rutiner, utbildningsloggar och bevis på tekniska kontroller. Vi hjälper till att strukturera och arkivera underlag för att snabbt kunna visa efterlevnad.

Hur hanterar vi leveranskedjans säkerhet och tredjepartsrisker?

Vi kartlägger leverantörer, ställer krav i avtal, genomför leverantörsbedömningar och inför kontinuerlig uppföljning. Prioriterade leverantörer får säkerhetskrav, revisioner och rapporteringsrutiner för att minska kedjerelevanta sårbarheter.

Vilken roll har ledningen och vilken utbildning behövs?

Ledningen måste visa tydligt ansvar, godkänna policyer och säkerställa resurser. Vi levererar skräddarsydda utbildningar för styrelse, ledning och operativ personal med fokus på riskmedvetenhet, incidenthantering och ansvarsfördelning.

Hur tar vi fram en praktisk roadmap fram till januari 2026?

Vi tar fram en stegvis plan med registrering, gap-analys, prioriterade åtgärder, implementation och bevisning inför tillsyn. Roadmapen innehåller milstolpar, ansvar, resurser och tidplan för att nå operativ styrning före deadline.

Vad kostar det att genomföra en fullständig gap-analys och åtgärdsplan?

Kostnaden beror på verksamhetens storlek, komplexitet och befintliga kontroller. Vi erbjuder paket från snabbkartläggning till komplett implementation. Efter en första förstudie ger vi en transparent kostnadsbild och prioriterad handlingsplan.

Hur säkerställer vi att våra åtgärder fungerar över tid?

Vi inför mätbara indikatorer, regelbundna revisioner, säkerhetsskanningar och övningar. Fortlöpande uppföljning och agila förbättringscykler säkerställer att kontroller förblir effektiva mot förändrade cyberhot.