augusti 13, 2025|10:12 f m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi beskriver kort vad NIS2 förordning betyder för er verksamhet i Sverige just nu.
Direktivet ersatte tidigare regler efter oktober 2024 och påverkar både samhällsviktiga och digitala tjänster. Vi förklarar vilka regler som gäller här och nu och vilken roll svenska myndigheter har i införandet.
Vårt mål är att ge praktisk information om hur ni prioriterar arbete och vilka nivåer av styrning som krävs. Vi visar också hur vi kan ge konkret hjälp från tolkning till löpande stöd i ert systematiska informationssäkerhetsarbete.
För en mer detaljerad genomgång och bakgrund hänvisar vi till vår guide om implementering och tolkning av kraven: läs vår fullständiga guide.
EU:s nya regler höjer ribban för skyddet av kritisk digital infrastruktur i hela unionen. Det påverkar hur vi arbetar med risker, leverantörskedjor och rapportering av allvarliga incidenter.
Syfte, omfattning och vilka som berörs i Sverige
Direktivet utvidgar vilka sektorer och tjänster som omfattas. Fler privata och offentliga aktörer måste nu skydda sina nätverk och informationssystem.
MSB samordnar nationellt och sektorsvisa tillsynsmyndigheter ger praktisk vägledning och föreskrifter.
Huvudkraven fokuserar på riskhantering, proportionella säkerhetsåtgärder och kontinuitet. Rapportering av betydande incidenter krävs för att möjliggöra snabb samordnad respons.
Tillsynen skärps och sanktionerna kan bli högre för dem som inte följer lagstiftningens krav. Vi rekommenderar att ni kartlägger era informationssystem och prioriterar åtgärder i rätt ordning.
Europa har stärkt regelverket för cybersäkerhet och lagt större ansvar på ledningen i berörda organisationer. Det reviderade ramverket ersätter den tidigare NIS1 och ställer högre krav på styrning, rapportering och leverantörskedjor.
nis2-direktivet trädde i kraft i januari 2023. Det breddar omfattningen till fler sektorer, skärper regler och betonar ledningens ansvar för informationssäkerhet.
Medlemsstater hade till 17 oktober 2024 att införliva direktivet i nationell rätt. NIS1 upphävdes 18 oktober 2024. I Sverige föreslog SOU 2024:18 genomförande och regeringen lämnade en lagrådsremiss i juni 2025 om en ny lagstiftning som väntas bli proposition hösten 2025.
Direktivet stärker nätverk av CSIRT-enheter för snabb hantering av incidenter och informationsdelning. EU-CyCLONe koordinerar svar vid storskaliga kriser och Samarbetsgruppen främjar strategiskt samarbete mellan medlemsstater, kommissionen och ENISA.
Förvaltning och myndigheter förväntas samverka om vägledning så att krav på informationssystem och leveranskedjor tillämpas enhetligt i Sverige.
Fler sektorer måste nu bedöma om deras verksamhet omfattas och anmäla sig enligt nya krav.
Utökade sektorer inkluderar bland annat energi, transport, sjukvård, vatten, digital infrastruktur, offentlig förvaltning och rymd. Dessutom tas leverantörer av offentlig elektronisk kommunikation, sociala plattformar, avfall, tillverkning av kritiska produkter samt post- och budtjänster med i tillämpningen.
Beslutet bygger på storlek (medelstora och stora entiteter), typ av tjänster och beroenden i era informationssystem. Om en verksamhetsdel är kritisk för samhällstjänster så kan den omfattas nis2 även om resten av organisationen är mindre.
Utökningen påverkar hela ekosystemet. Tillverkning av kritiska produkter och drift av dataplatser kan göra leverantörer föremål för reglerna. Kontroll av leverantörskedjor blir därför centralt för cybersäkerhet och informationssäkerhet.
MSB har nationellt samordningsansvar medan sektorsvisa myndigheter utfärdar föreskrifter och bedriver tillsyn. Vi rekommenderar att ni kartlägger verksamhetsgrenar mot sektordefinitioner och prioriterar anmälan och gap-analyser tidigt.
Dokumenterade analyser och proportionerliga åtgärder skapar ramen för säkert arbete med kritiska tjänster och infrastruktur.
Vi rekommenderar att ni bygger en riskbaserad styrning där krav konkretiseras över teknik, process och människor. Genom kartläggning identifierar ni tillgångar i era informationssystem och prioriterar skyddsåtgärder.
Gör regelbundna riskanalyser och ange proportionella åtgärder för leverantörer. Kontroll av tredjepartsleveranser minskar sårbarheter i leveranskedjan.
Ledningen måste visa aktivt ansvar för cybersäkerhet. Vi föreslår utbildning, mätetal och regelbunden uppföljning som en del av verksamhetsstyrningen.
Definiera nivåer för incidenter och sätt rutiner för upptäckt och rapportering. Rapportera händelser som kan orsaka betydande störningar inom de tidsfrister som gäller.
Koppla informationssäkerhet till arkitektur, konfiguration och härdning av era informationssystem. Dokumentera kontroller och bevis för att underlätta tillsyn.
Vi hjälper er att omsätta kraven i praktiska aktiviteter som ger mätbar effekt. Vår startpunkt är en snabb nulägesanalys som identifierar vilka delar av er verksamhet och förvaltning som omfattas.
Åtgärdsplan: från nulägesanalys till kontinuerligt arbete
Vi tar fram en prioriterad plan med tydligt ägarskap, tidplan och mätbara mål. Åtgärder integreras i ert löpande arbete med informationssäkerhet och säkerhet i livscykeln för tjänster och projekt.
Våra tjänster omfattar riskarbete, tekniska härdningar, organisatoriska åtgärder samt incidentberedskap och övningar. Vi hjälper också med leverantörskontroll, avtal och due diligence.
”Vi prioriterar åtgärder som ger störst skydd per insatt resurs och gör efterlevnad förutsägbar.”
| Steg | Huvudaktivitet | Resultat |
|---|---|---|
| 1. Kartläggning | Nulägesanalys och sektormappning | Identifierade tillgångar och ansvar |
| 2. Plan | Prioriterad åtgärdsplan | Tydligt ägarskap och tidslinje |
| 3. Genomförande | Tekniska och organisatoriska åtgärder | Minskad risk och förbättrad säkerhet |
| 4. Drift | Kontinuerlig uppföljning och rapportering | Bevis för tillsyn och bättre beslutsunderlag |
Vi ser att CER kompletterar digital lagstiftning genom tydliga krav på fysisk motståndskraft. Tillsammans med cybersäkerhetslagen kräver detta samordnade tekniska och organisatoriska åtgärder.
CER pekar ut specifika sektorer som energi, transport, hälso- och sjukvård och offentlig förvaltning.
Identifierade verksamheter måste göra riskbedömning och beskriva hur deras tjänster och produkter skyddas.
Personer i säkerhetskritiska roller ska genomgå bakgrundskontroller och incidenter ska rapporteras snabbt—första rapport inom 24 timmar.
Tillsyn får makt att identifiera kritiska aktörer och besluta om förelägganden eller avgifter.
Föreslagna sanktionsnivåer för offentliga aktörer sträcker sig från 5 000 till 10 000 000 kronor.
”Integrera krav i en gemensam styrmodell för att skapa dubbel nytta mellan fysisk och digital säkerhet.”
Sammanfattningsvis gör det nya regelverket tydligt att vi måste agera nu för att stärka vår cybersäkerhet och operativa kraft.
Direktivet och nis2-direktivet höjer ribban för riskhantering, ledningsansvar och incidentrapportering. Fler sektorer, från energi till sjukvård, behöver en konkret plan för informationssäkerhet.
Vi rekommenderar att ni snabbt kartlägger om ni omfattas nis2, prioriterar kritiska tjänster och verifierar leverantörskedjor. Planera för tillsyn och mätbara förbättringar i era tjänster.
Har ni frågor? Vi erbjuder ett komplett stödpaket för att börja arbetet, anpassat efter er sektor och den kommande cybersäkerhetslagen.
Den nya lagen utökar skyddet till fler sektorer än tidigare, bland annat energi, transport, hälso- och sjukvård, vatten, digital infrastruktur och offentlig förvaltning. Vi granskar om ni klassas som ett medelstort eller stort företag eller som kritisk aktör. Om så är fallet måste ni införa formella rutiner för informationssäkerhet, riskhantering och incidentrapportering.
Den uppdaterade regeln har bredare tillämpning och striktare krav på ledningsansvar, leverantörskedjan och tillsyn. I Sverige har myndigheter påbörjat anpassning till EU-direktivet, med viktiga milstolpar som lagrådsremisser och förberedelser inför en kommande cybersäkerhetslag. Vi följer tidplanen för införande och stödjer er vid nödvändiga lagändringar.
Ledningen måste ta ett tydligt ansvar för informationssäkerhet, säkerställa resurser och genomföra regelbundna riskanalyser. Det innebär att införa styrdokument, utbildning för personal, incidentberedskap samt kontinuerliga tekniska och organisatoriska åtgärder. Vi hjälper er att definiera roller, ansvar och rapporteringsvägar.
Rapporteringskraven är hierarkiska: betydande incidenter måste rapporteras snabbt till ansvarig tillsynsmyndighet och i vissa fall till samarbetande enheter som CSIRT. Det finns fasta tidsfrister för första anmälan och följdrapporter. Vi kan etablera era processer för att säkerställa snabb, korrekt rapportering och dokumentation.
Ni måste kartlägga leverantörer och ställa krav på säkerhet i avtal. Leverantörsrisker ska ingå i riskanalyser och åtgärdsplaner. Vi stödjer arbetet med leverantörsbedömningar, avtalsklausuler och uppföljning för att minska beroenden och sårbarheter.
Tillsyn ligger på utpekade myndigheter som MSB och andra sektoransvariga. Sanktionerna kan omfatta böter och krav på åtgärder vid brister i säkerheten eller rapporteringen. Vi hjälper er att möta tillsynskrav, förbereda dokumentation och ta fram bevis på efterlevnad.
Vi rekommenderar en nulägesanalys för att kartlägga system, tjänster och informationsflöden. Därefter prioriterar vi risker, utformar en åtgärdsplan och implementerar tekniska och organisatoriska kontroller. Våra tjänster inkluderar gap‑analys, policyutveckling, teknisk hårdning och utbildning.
Effektiva åtgärder innefattar nätverkssegmentering, åtkomstkontroll, säkerhetsövervakning, patchhantering och kontinuerlig incidentövning. Organisatoriskt krävs incidentplaner, roller, utbildningar och kontinuerlig uppföljning. Vi levererar balanserade åtgärdsplaner anpassade efter er verksamhetsstorlek.
Offentlig förvaltning och vård omfattas ofta av de skärpta kraven eftersom de hanterar kritisk infrastruktur och känsliga data. De måste visa god informationssäkerhet, bakgrundskontroller där det krävs samt robust incidenthantering. Vi erbjuder stöd specifikt riktat mot offentlig sektor och sjukvård.
Vi kan bygga kontaktvägar, utforma rutiner för informationsdelning och hjälpa er att integrera krav från nationella och EU‑baserade samarbeten som CSIRT och EU‑CyCLONe. Det förenklar incidentrapportering, informationsutbyte och samordnade försvarsinsatser.
Riskbedömningar bör göras på strategisk, taktisk och operativ nivå samt uppdateras regelbundet eller vid förändringar i verksamheten. Vi implementerar processer för återkommande bedömningar, testning och rapportering för att säkerställa att ni håller rätt skyddsnivå.
Reglerna riktar sig framför allt mot medelstora och stora enheter samt kritiska verksamhetsutövare. Mindre företag kan bli leverantörer till sådana aktörer och då omfattas indirekt genom avtal och krav. Vi hjälper små och medelstora företag att bli kompatibla och konkurrenskraftiga i leverantörskedjor.
Vanliga dokument är riskanalyser, policyer, incidentrapporter, utbildningsloggar, leverantörsavtal och tekniska journaler över åtgärder. Vi hjälper er strukturera och lagra dokumentationen så att den uppfyller tillsynens krav och kan uppvisas vid granskning.
Vi följer löpande myndighetsbeslut, remisser och branschrekommendationer. Vi erbjuder löpande rådgivning, uppdateringsbrev och utbildningar för att säkerställa att era rutiner ligger i linje med aktuella krav och rekommendationer.
