augusti 11, 2025|2:49 e m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi hjälper företag och organisationer att möta de nya kraven när nis2-direktivet höjer ribban för informationssäkerhet och cybersäkerhet. Direktivet ersätter det tidigare nis-direktivet och ställer tydligare krav på riskanalyser, styrning och ledningens ansvar.
I Sverige pågår införandet av ny lagstiftning och MSB förbereder gemensamma föreskrifter. Vi översätter regelverket till praktiska policies, processer och tekniska lösningar som passar er verksamhet.
Våra tjänster stödjer er i att minska riskexponering, öka regelefterlevnad och stärka förtroendet hos kunder och tillsynsmyndigheter. Vi arbetar nära ledningen för att förankra ansvar och resurser i hela organisationen.
Införandet av ny cybersäkerhetslag innebär konkreta förändringar för företag och organisationer redan nu.
Beslutet i december 2022 utvidgar vilka verksamheter som omfattas. Fler sektorer och leverantörsled inkluderas jämfört med det tidigare nis-direktivet.
Direktivet ställer skarpare krav på riskanalyser, tekniska och organisatoriska kontroller och ledningens ansvar. MSB samordnar nationellt medan sektorsvisa myndigheter utför tillsyn.
”Tidig anpassning minskar risken för sanktioner och spar tid vid incidenthantering.”
En statlig utredning (SOU 2024:18) ligger till grund. Regeringen lämnade en lagrådsremiss i juni 2025 och proposition väntas hösten 2025.
Vi hjälper er att tolka reglerna, göra gap-analyser och ta fram implementeringsplaner anpassade till de kommande föreskrifterna.
| Aspekt | Vad förändras | Vad ni bör göra |
|---|---|---|
| Omfång | Fler sektorer och leveranskedjor | Kartlägg leverantörer och kritiska tjänster |
| Krav | Skärpt riskhantering och ledningsansvar | Genomför riskanalyser och styresrutiner |
| Tillsyn | Hårdare kontroll och högre sanktioner | Förbered rapportering och efterlevnad |
Fler branscher och leverantörer omfattas nu, vilket kräver ökad beredskap i många verksamheter. Vi kartlägger vilka sektorer som påverkas och visar vad som förändras för offentliga aktörer och företag.
De flesta statliga myndigheter, regioner och kommuner ingår när trösklar uppnås. Digital infrastruktur och tjänster som datacenter och molnleverantörer får förstärkt tillsyn.
Energi, transporter och dricksvatten omfattas med fokus på driftssäkerhet. Avfallshantering kräver bättre övervakning för att säkerställa kontinuitet i leveranser.
Hälso- och sjukvård samt tillverkare av medicinteknik får skärpta krav. Incidenter i dessa sektorer kan ge allvarliga konsekvenser och kräver snabba rutiner.
Produktion och distribution inom livsmedel, kemikalier och tillverkning inkluderas, även leverantörer i kedjan. Vi hjälper företag att avgöra om de omfattas och vilka åtgärder som behövs.
Väsentliga vs viktiga sektorer
Regelverket skiljer mellan väsentliga och viktiga sektorer. Det påverkar tillsynens intensitet och rapporteringskrav. Vi förtydligar skillnaden och hjälper er anpassa rutiner.
| Sektor | Exempel på verksamheter | Primärt fokus |
|---|---|---|
| Offentlig förvaltning | Myndigheter, kommuner, regioner | Styrning och rapportering |
| Digital infrastruktur | Datacenter, molntjänster, nätoperatörer | Tillgänglighet och redundans |
| Energi & transporter | Elnät, flyg, järnväg | Driftsäkerhet och leverans |
| Hälsa & läkemedel | Sjukhus, läkemedelstillverkare | Patientsäkerhet och incidenthantering |
| Produktion & distribution | Livsmedel, kemikalier, tillverkning | Resiliens i leveranskedjan |
Att systematisera informationssäkerheten är avgörande för att möta nya krav och tillsyn. Verksamhetsutövare måste identifiera om de omfattas, anmäla sig och etablera ett ledningssystem för säkerhet.
Vi konkretiserar kraven på riskhantering och hur ledningen ska ta ett uttalat ansvar. Ledningen måste godkänna policyer, resurser och beslut för informationssäkerhet.
Vi rekommenderar regelbundna riskanalyser, ansvarsfördelning och utbildning som en del av styrningen.
Tekniska åtgärder inkluderar segmentering, övervakning och incidentdetektion. Organisatoriska åtgärder innebär rutiner, roller och övningar.
Genom att kombinera teknik och processer minskar ni risken för störningar i era tjänster och stärker cybersäkerheten.
Vid allvarliga incidenter ska ni rapportera incidenter utan dröjsmål. Där det krävs lämnas en första rapport inom 24 timmar med relevant fakta.
Följ upp med analys, åtgärdslista och dokumentation som underlättar revision och lärande.
Tillsyn sker sektorsvis och föreskrifter preciserar vad som krävs. Sanktionsnivån har höjts, vilket ökar behovet av spårbarhet och efterlevnad.
Våra tjänster stödjer er med kravtolkning, rollfördelning, utbildning och rutiner för att leva upp till direktivet och undvika höga avgifter.
Vi omvandlar regelverk till praktiskt arbete som stärker era rutiner och minskar risk. Vår metod är stegvis och anpassad efter er mognadsnivå.
Vi börjar med att avgöra om er verksamhet omfattas utifrån sektor, storlek och erbjudna tjänster.
Därefter gör vi en strukturerad gap-analys mot kraven i direktivet. Resultatet visar exakt vilka luckor som behöver åtgärdas.
Vi designar ett ramverk för informationssäkerhet som integrerar riskhantering, kontroller och mätning på rätt nivå.
Vi ser detta som en möjlighet att höja er motståndskraft oavsett nuvarande mognad, i linje med rekommendationer från branschen.
Vi prioriterar åtgärder utifrån risk och regelefterlevnad och implementerar styrning, tekniska kontroller och utbildning.
Vidare etablerar vi övervakning, larm och rapporteringsrutiner så att ni snabbt kan upptäcka och hantera incidenter.
Företag måste säkra att externa tjänster och leverantörer uppfyller nya säkerhetsstandarder.
Vi hjälper er skapa avtal som ställer minimikrav på säkerhet, loggning och patchning.
Avtal bör ange revisionstider, SLA och sanktioner vid avvikelser.
Vi visar hur leverantörers mognad bedöms och hur tredjepartsrisker kontrolleras i upphandlingar.
För produktion distribution kemikalier krävs spårbarhet, åtkomstkontroll och kontinuitetsplaner.
Vi klassar produkter och tillverkning efter beroenden och skapar tekniska kontroller.
| Område | Exempelkrav | Åtgärd |
|---|---|---|
| Leverantörer | Säkerhetsklausuler, revision | Uppföljning och årlig revision |
| Distribution | Spårbarhet, kontinuitet | SLA, redundansplaner |
| Produktion & kemikalier | Åtkomstkontroll, spårbarhet | Klassning, riskbedömning och tester |
CER-direktivet stärker den fysiska resiliensen i samhällsviktiga tjänster och ställer nya krav på operativ beredskap. Direktivet antogs 14 december 2022 för att öka motståndskraften i viktiga leveranser.
Verksamheter måste göra strukturerade riskbedömningar och införa tekniska, säkerhetsmässiga och organisatoriska åtgärder. Bakgrundskontroller och dokumentation är ett centralt krav.
Vi hjälper er att skapa tydliga rutiner för bedömning, prioritering och uppföljning.
Tillsynsmyndigheter identifierar utövare utifrån tre kriterier: samhällsviktig tjänst, svensk relevans och risk för betydande störning.
Vi samordnar kraven från båda regelverken i en styrmodell som minskar dubbelarbete och klargör ansvar i förvaltning och drift.
Nu krävs ett helhetsgrepp över leverantörskedjor, produktion och digitala tjänster för att säkra verksamheten.
Decisions från december 2022 och pågående svensk process (SOU 2024:18, lagrådsremiss juni 2025, proposition hösten 2025) betyder att många företag och organisationer måste agera. Sektorer som sjukvård, avfallshantering, tillverkning och digital infrastruktur påverkas.
Kraven spänner över policy, teknik och processer. Det handlar om riskhantering, åtgärder, ledningsansvar och hur ni ska rapportera incidenter snabbt — CER kräver tidig rapportering.
Vi erbjuder tjänster som kartlägger om ni omfattas nis2, prioriterar åtgärder och implementerar hållbar säkerhet. Läs mer om hur vi hjälper er — kontakta oss för en snabb bedömning och läs mer om nästa steg.
Vi behöver förstå det utvidgade omfånget och de skärpta kraven som följer av det nya direktivet. Det innebär högre ansvarsnivåer för ledning, fler typer av tjänster och starkare tillsyn från myndigheter. Vi hjälper er kartlägga vilka delar av er verksamhet som omfattas och vilka åtgärder som krävs för att möta moderna säkerhetskrav.
Nya regler täcker fler aktörer, ställer högre krav på incidentrapportering och ställer tydligare krav på leverantörshantering. Vi genomför gap-analyser för att visa var era rutiner behöver förbättras och hur ni bäst prioriterar åtgärder.
Sverige arbetar aktivt med att anpassa lagstiftningen, bland annat via uppdateringar i cybersäkerhetslagen. Vi följer processen löpande och kan ge råd om hur ni anpassar era rutiner i väntan på slutlig nationell lagstiftning.
Reglerna berör bland annat offentlig förvaltning, digitala tjänster, energi, transporter, vatten, avfallshantering, vård, läkemedel, tillverkning, livsmedelsproduktion och distribution av kemikalier. Vi kan hjälpa er identifiera exakt om ni omfattas och vilka delar av er leverantörskedja som kräver särskild uppmärksamhet.
Offentliga aktörer får stärkta krav på risktillsyn, driftssäkerhet och incidentrapportering. För digital infrastruktur handlar det om högre motståndskraft och kontinuitetsplaner. Vi erbjuder stöd i att bygga robusta rutiner och tekniska lösningar för att säkra drift.
Dessa sektorer måste förbättra riskhantering, redundans och beredskap för störningar. Det innebär både tekniska investeringar och organisatoriska förändringar. Vi utformar handlingsplaner som balanserar kostnad och säkerhet.
Vi ser krav på starkare skydd för patientdata, säkrare leveranskedjor och snabb incidentrapportering. Vi hjälper till med skydd av medicintekniska system, utbildning av personal och rutiner för spårbarhet i leveranser.
Företag inom produktion och distribution måste genomföra riskbedömningar, säkra processkontroller och hantera leverantörsrisker. Vi stödjer implementering av tekniska skydd, beredskapsplaner och dokumentation för efterlevnad.
Ledningen måste aktivt styra informationssäkerhet, fastställa policyer och säkerställa resurser för efterlevnad. Vi erbjuder styrelser och chefer skräddarsydda rådgivningspaket för att integrera riskhantering i verksamhetsstyrningen.
Vi rekommenderar flerfaktorsautentisering, segmentering, kontinuerlig övervakning, backup och återställningsrutiner samt utbildning av personal. Organisatoriskt behövs roller, incidentplaner och leverantörsavtal som speglar risknivån.
Rapporteringskraven ställer tidslinjer för att anmäla allvarliga incidenter och detaljer om påverkan. Vi hjälper er utforma interna processer för snabb upptäckt, rapportskrivning och uppföljning mot ansvariga myndigheter.
Myndigheter får större befogenheter att granska och vidta åtgärder vid brister, inklusive vite. Vi hjälper er förbereda dokumentation och processer för att visa efterlevnad och minska risken för sanktioner.
Vi inleder med en snabb kartläggning och omfattande gap-analys mot regelverket. Det ger ett tydligt beslutsunderlag för vilka åtgärder som krävs och i vilken ordning de bör genomföras.
Ett ramverk innehåller policyer, roller, tekniska kontroller, incidenthantering och kontinuitetsplaner. Vi skräddarsyr ramverk som passar er verksamhets storlek och riskbild.
Vi genomför projekt för teknisk implementation, etablerar övervakningsprocesser och tränar personal i incidenthantering. Vi kan också leverera löpande övervakningstjänster och rapportera status till ledningen.
Leverantörer måste uppfylla säkerhetskrav i avtal, visar riskbedömningar och kan behöva transparent rapportering. Vi hjälper till att utforma leverantörsavtal och kontrollprogram för att minska kedjerisker.
Vi rekommenderar att ni kartlägger kritiska processer, inför tekniska skydd och beredskapsplaner samt testar återhämtning regelbundet. Det minskar sårbarhet i produktion och leveranskedjor.
CER riktar sig mot fysisk motståndskraft och kompletterar cybersäkerhetsregler genom att kräva riskbedömningar, bakgrundskontroller och fysiska skyddsåtgärder. Vi integrerar båda regelverken i era risk- och beredskapsplaner.
Vi genomför systematiska riskbedömningar, identifierar kritiska funktioner och rekommenderar bakgrundskontroller för nyckelpersoner. Detta ökar verksamhetens fysiska och organisatoriska motståndskraft.
Både CER och cybersäkerhetsregler kräver snabb, tydlig rapportering med relevanta fakta och åtgärder. Vi tar fram mallar och övar rapportflöden för att säkerställa att ni levererar korrekt information i tid.
Vi erbjuder kartläggning, gap-analyser, ramverksdesign, teknisk implementation, övervakning och kontinuerlig rådgivning. Vårt mål är att göra efterlevnad hanterbart och kostnadseffektivt för er organisation.
Tiden varierar med verksamhetens storlek och komplexitet; vissa insatser kan ge resultat på veckor medan full implementering kan ta flera månader. Vi levererar realistiska tidsplaner och prioriteringslistor för att skapa snabb nytta.
Förutom CER och cybersäkerhetslagen bör ni beakta GDPR, branschspecifika regler och internationella standarder som ISO 27001. Vi hjälper er att samordna kraven för effektiv styrning och kontroll.
