August 12, 2025|2:18 PM
Whether it’s IT operations, cloud migration, or AI-driven innovation – let’s explore how we can support your success.
Vi guidar er från nuläge till full efterlevnad när direktivet blir svensk lag. Under 2025 kommer reglerna att kräva skarpare riskhantering, bättre övervakning och tydliga incidentrutiner.
Vi förklarar hur nya krav påverkar verksamhetsstyrning, teknik och processer. Vårt angreppssätt är holistiskt — från policy och styrning till operativ förmåga och tekniska kontroller.
Vi visar hur olika företag och organisationer påverkas, både de som levererar samhällskritiska tjänster och de som ingår i leveranskedjor. Vi hjälper er prioritera ledningsbeslut för att undvika brådska och minimera risk för sanktioner.
Genom praktiska program och tydliga mätetal bygger vi en hållbar compliance-resa. Vi pekar också ut vilka kompetenser som behövs internt och vad ni kan köpa in externt för snabbare resultat.
Direktivet moderniserar reglerna för digital motståndskraft och riktar sig mot fler kritiska sektorer.
nis2-direktivet bygger vidare på nis-direktivet från 2016/2018. Omfattningen utökas så att fler tjänster och leverantörer omfattas. Kraven skärps för ledningsförankrad riskhantering, kontinuerlig övervakning och snabb incidenthantering.
Enligt förslag införs reglerna som en ny lag i Sverige tidigast 2025. Organisationer måste vara redo för incidentrapportering inom 24 timmar, stärkt informationshantering och tydliga roller.
| Område | Ny nivå | Praktisk effekt |
|---|---|---|
| Omfattning | Fler sektorer | Fler företag påverkas, även i produktion och leveranskedjor |
| Rapportering | 24 timmar | Formell incidentrapportering till myndighet krävs |
| Sanktioner | Upp till 10 miljoner euro | Böter eller procent av global omsättning kan bli aktuell |
Många företag och myndigheter måste nu räkna med nya krav beroende på sektor, storlek och typen av tjänster ni levererar. Vi hjälper er bedöma om ni omfattas nis2 utifrån dessa kriterier.
Trösklarna ligger normalt på fler än 49 anställda eller över 10 miljoner euro i omsättning eller balans. Statliga myndigheter, regioner och kommuner berörs ofta.
Post- och budtjänster, avfallshantering, kemikalier, livsmedel och tillverkning tas också upp. Produktion och distribution i leveranskedjor kan göra att företag klassas som kritisk infrastruktur.
Vi kartlägger era risker, sektorstillhörighet och vilka åtgärder som krävs för efterlevnad.
Vi beskriver konkreta krav och praktiska åtgärder som gör er verksamhet mer motståndskraftig.
Vi etablerar ett riskbaserat program som kopplar krav och åtgärder till affärsvärde. Programmet täcker informationssäkerhet, säkerhet och kontinuerlig övervakning.
Säkerhetsåtgärder kan inkludera policies, identitets- och åtkomsthantering (IAM), nätverkssegmentering och patchhantering.
Vi inför utbildningsplaner och regelbundna övningar för att stärka säkerhetskulturen.
Målet är att hela organisationen agerar rätt vid incidenter och att arbetet blir en del av vardagen.
Övervakning, penetrationstestning och sårbarhetsskanning prioriteras utifrån risknivå.
Speciellt för tillverkning och OT gör vi nivåanpassade tester och åtgärder för kritiska tjänster.
Vi definierar end-to-end incidenthantering: triage, kommunikation och återställning.
Formalia för incidentrapportering stämmer med kravet på rapportering inom 24 timmar.
Vi inför mätetal och dashboards för att följa control effectiveness och riskreducering över tid.
Roller och ansvar förankras i styrdokument och kontinuitetsplaner testas regelbundet tillsammans med leverantörer.
| Område | Åtgärd | Effekt |
|---|---|---|
| Riskprogram | Riskbaserad prioritering | Fokus på affärskritiska tjänster |
| Säkerhetskontroller | IAM, segmentering, patchar | Minskad angreppsyta |
| Tester | Penetration och OT-skanning | Upptäckt av kritiska sårbarheter |
| Incidentprocess | Triage, rapportering inom 24 timmar | Snabb återställning och efterlevnad |
| Uppföljning | Mätetal och dashboards | Kontinuerlig förbättring |
Tydliga beslutslinjer och resurstilldelning är avgörande för att möta framtida krav. Vi hjälper er skapa styrmodell som gör ledning och styrelse ansvariga för strategi, budget och uppföljning enligt ny lag.
Ledningen måste fastställa mandat, riskaptit och mätetal som länkar till affärens mål och era tjänster.
Vi stödjer styrelse och VD med tydliga rapportpaket så att beslut kan tas snabbt och dokumenteras korrekt.
Den operativa organisationen organiserar implementering och samverkar med förvaltning och verksamhet.
Vi visar hur ni bygger rutiner för lägesbild, eskalering och återkoppling till ledning så att arbetet inte stannar när frågor blir skarpa.
Väsentliga enheter får proaktiv tillsyn medan viktiga enheter kan få reaktiv tillsyn. Tillsynen varierar mellan sektorer och kräver olika dokumentation.
Sanktioner kan uppgå till 10 miljoner euro eller 2 % av global omsättning. Vi hjälper er minimera risk genom internrevision och förbättringscykler.
Tredjepartsrelationer kräver tydliga krav och löpande övervakning. Vi hjälper er klassificera leverantörer efter hur mycket de påverkar era kritiska tjänster och produkter.
Vi inför kontraktsklara krav: säkerhetsbilagor, rätt till revision och villkor för incidentrapportering. Det gör det enkelt att visa efterlevnad gentemot myndigheter och kunder.
“Tydliga avtal och testade processer minskar risken för störningar i distribution och produktion.”
Våra åtgärder innefattar due diligence, tredjepartsgranskningar och attest av kontroller. Vi sätter upp kontinuerlig övervakning och kopplar leverantörers säkerhet till era KPI:er.
| Aktivitet | Syfte | Resultat |
|---|---|---|
| Leverantörsklassning | Prioritera insatser | Tydliga åtgärder per riskklass |
| Kontraktskrav | Säkerställ efterlevnad | Revision och incidentrapportering |
| Due diligence | Verifiera kontroller | Minskad leverantörsriskspridning |
| Onboarding/övning | Samverkan vid tjänster | Snabb respons vid incidenter |
Vi integrerar leverantörsledet i era BCM- och DR-planer så att organisationer och tillverkning kan återhämta sig snabbare vid avbrott.
Vi visar hur två parallella regelverk skapar en samlad kravbild för både digitala och fysiska risker. Genom att samordna arbete minskar ni dubbelarbete och höjer motståndskraften i hela leveranskedjan.
nis2-direktivet fokuserar på informationssäkerhet och kontinuerlig övervakning av digital infrastruktur. Parallellt kräver CER tekniska och organisatoriska åtgärder för att säkerställa fysisk drift av kritisk infrastruktur.
CER omfattar sektorer såsom energi, transport, vård och offentlig förvaltning. Svenska förslag pekar på en ny lag om motståndskraft från 2025 med tillsyn och sanktionsramar som samordnas med det kommande cybersäkerhetsdirektivet.
Vi utformar integrerade riskbedömningar som kopplar informationssäkerhet, fysisk säkerhet och bakgrundskontroller för känsliga roller.
Vi etablerar enhetliga processer för incidentrapportering som uppfyller tidsfrister och tillsynskrav för båda regelverken. Det gör det enklare att visa efterlevnad och skydda era produkter, tjänster och verksamheter.
Avslutningsvis visar vi vilka praktiska steg som ger snabbast effekt för säkerhet och efterlevnad. Genom ett fokuserat program kan företag snabbt prioritera åtgärder för riskhantering, övervakning och incidenthantering.
Om ni omfattas nis2 behöver styrning, roller och säkerhetsåtgärder vara på plats. Vi integrerar leverantörer och produkter så att produktion och tillverkning håller en jämn nivå.
Tillsyn och möjliga sanktioner (upp till 10 miljoner euro) gör dokumentation och spårbarhet avgörande för förvaltning och rapportering i sektorerna som vård, energi och post-.
Vi rekommenderar en realistisk färdplan: gapanalys, plan och pilot. Kontakta oss så prioriterar vi första stegen i arbetet och skapar mätbara resultat.
Det nya direktivet skärper kraven på informationssäkerhet och incidentrapportering för fler sektorer och aktörer än tidigare. Vi ser tydligare ansvar för ledning och IT-organisation, striktare leverantörskrav och kortare tidsfrister för att rapportera allvarliga incidenter. Jämfört med det tidigare ramverket omfattas nu fler företag och offentliga verksamheter, och tillsynen blir mer omfattande.
Den svenska implementeringen planeras att börja gälla 2025. Vi rekommenderar att ni startar med en gap-analys mot de nya kraven, uppdaterar incidenthanteringsplaner, säkerställer leverantörsavtal och genomför utbildningar för ledning och personal. Tidig förberedelse minskar risken för sanktioner och driftstörningar.
Omfattningen beror på verksamhetens art och kritikalitet snarare än enbart storlek. Större företag och aktörer inom kärnsektorer som energi, finans, transport och vård omfattas oftare, liksom vissa leverantörer av digital infrastruktur. Vi hjälper er tolka kriterierna för omsättning, antal anställda och verksamhetskritiska funktioner.
Väsentliga sektorer inkluderar energi, bank/finans, transport, hälso- och sjukvård, vattenförsörjning och digital infrastruktur. Viktiga sektorer täcker bland annat post- och budtjänster, avfallshantering, kemikalier, livsmedel, tillverkning och vissa digitala leverantörer. Vi kan kartlägga om er verksamhet faller under väsentlig eller viktig kategori.
Offentlig förvaltning och leverantörer av DNS, moln, datacenter och hanterade säkerhetstjänster får ökade krav på kontinuerlig driftssäkerhet, rapportering och leverantörsstyrning. Dessa aktörer måste visa robust riskhantering och ovanpå det säkerställa att tredjepartsrelationer uppfyller krav på incidentrapportering och säkerhetskontroller.
Kraven täcker riskhantering, driftssäkerhet, åtkomstkontroller, nätverksskydd, kryptering och kontinuerlig övervakning. Organisatoriskt krävs policyer, roller och ansvar, incidentberedskap, utbildning och revisionsspår. Vi rekommenderar en nivåanpassad åtgärdsplan som inkluderar penetrationstestning och sårbarhetsskanning.
Allvarliga incidenter ska rapporteras mycket snabbt, ofta inom 24 timmar för initial anmälan, följt av kompletterande rapporter. I praktiken kräver detta färdiga rutiner för upptäckt, klassning och kommunikation samt tydliga ansvarsfördelningar så att vi kan reagera och rapportera enligt krav.
Ledningen ansvarar för strategi, resurser, riskbegränsning och efterlevnad. IT- och säkerhetsorganisationen ansvarar för implementering, tekniska kontroller, incidenthantering och daglig drift. Vi hjälper er tydliggöra roller och införa styrningsmodeller för att möta regelverkets krav.
Tillsynen blir både proaktiv och reaktiv med möjligheter till kontroller och revisioner. Vid allvarliga brister kan myndigheter utdela sanktioner, inklusive böter upp till 10 miljoner euro eller procentuella andelar av omsättningen. Därför är ett proaktivt arbete med efterlevnad avgörande.
Vi rekommenderar due diligence vid upphandling, tydliga avtal med säkerhetskrav och regelbunden uppföljning. Leverantörer måste kunna rapportera incidenter och visa tekniska och organisatoriska kontroller. Vi kan stödja utformning av avtal och granskningsrutiner.
Direktivet fokuserar på digital säkerhet medan CER stärker fysisk motståndskraft. I praktiken behöver organisationer en helhetssyn som kombinerar IT-skydd med fysisk säkerhet, bakgrundskontroller och kontinuitetsplaner. Vi hjälper till att skapa integrerade riskbedömningar och incidenthanteringsprocesser.
Börja med en risk- och gap-analys, etablera ledningsförankring, uppdatera incidentplaner och genomför utbildning för nyckelpersoner. Prioritera leverantörsgranskning och tekniska förbättringar som övervakning och sårbarhetshantering. Vi kan leda processen och leverera en åtgärdsplan anpassad för er verksamhet.
