augusti 13, 2025|10:29 f m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi hjälper er att tolka och omsätta de nya reglerna som EU beslutade i december 2022. Direktivet ersatte tidigare bestämmelser och ställer nu högre krav på riskanalyser och ledningens engagemang.
Vårt arbete kombinerar juridisk förståelse med tekniskt genomförande för att höja er cybersäkerhet. Vi kartlägger vilka verksamheter som omfattas och skapar praktiska tjänster för att stärka informationssäkerhet och rapportering.
Vi hjälper er att etablera ett systematiskt informationssäkerhetsarbete. Det innefattar policyer, processer, utbildning och att prioritera åtgärder utifrån risk och påverkan. Målet är att nå rätt nivå av styrning och kontroll, anpassat efter er mognad och bransch.
Vi tar fram handfasta tjänster som gör informationssäkerheten mätbar och spårbar. Vi börjar med en strukturerad gap‑analys för att kartlägga policyer, processer och tekniska kontroller i era informationssystem.
Vi jämför era rutiner med föreslagna svenska krav och identifierar brister per sektor. Resultatet blir en prioriterad lista med konkreta åtgärder och tidsramar.
Vi designar och installerar lösningar för loggning, övervakning, åtkomststyrning och backup. Vi ställer krav på leverantörer och produkter för att säkra hela leveranskedjan.
Vi erbjuder utbildning för personer i ledning och styrelse så att ansvar och beslutspunkter blir tydliga. Vi hjälper även offentlig förvaltning att bygga styrmodeller för ändringsledning och uppföljning.
I Sverige pågår arbetet med att omvandla direktivet till nationell lagstiftning. SOU 2024:18 har lämnat förslag och en remissrunda har genomförts. I juni 2025 presenterade regeringen en lagrådsremiss om cybersäkerhetslagen, och Lagrådet ska yttra sig innan en proposition väntas hösten 2025.
Vi beskriver hur detta påverkar er planering och vilka datum som är viktiga. MSB har nationellt samordningsansvar och fungerar som kontaktpunkt mot EU. Myndigheter får olika roller när sektorsvis tillsyn och föreskrifter införs.
Följande är centralt för verksamheter under 2024–2025:
”MSB har publicerat presentationer och hållit webbinarier 2024–2025 för att stödja förberedelser.”
| Milstolpe | Tidpunkt | Påverkan |
|---|---|---|
| SOU‑förslag | 2024 | Grund för svensk reglering |
| Lagrådsremiss | Juni 2025 | Förberedelse inför proposition |
| Proposition | Hösten 2025 | Lagstiftning förväntas beslutas |
Har ni frågor om hur reglerna får kraft i er verksamhet? Kontakta oss för att läs mer och få praktisk vägledning.
Vi summerar här de centrala kraven som verksamheter måste möta för att stärka sin informationssäkerhet.
Verksamhetsutövare ska först avgöra om de omfattas och anmäla sig till ansvarig myndighet.
Sen behövs ett systematiskt säkerhetsarbete: riskbedömning av informationssystem, dokumenterade kontroller och verifierbar styrning av tillgångar och processer.
| Fokus | Praktiskt krav | Effekt |
|---|---|---|
| Riskanalys | Bedöm informationssystem och dokumentera resultat | Spårbarhet från risk till åtgärd |
| Incidenter | Rapportera enligt tidsfrister och innehåll | Snabbare återhämtning och tydlig tillsyn |
| Ledning | Formell ansvarsfördelning och utbildning | Beslutsförmåga och resurssättning på rätt nivå |
Vi hjälper er översätta direktivet till praktiska rutiner och visar hur ni når rätt nivå för era åtgärder och efterlever kraven.
Vi arbetar enligt en tydlig metod för att hantera risker, genomföra åtgärder och driva kontinuerlig förbättring.
Vi utför riskbedömningar som kvantifierar affärspåverkan och kopplar risk till prioriterade åtgärder.
Penetrationstest och sårbarhetsskanning genomförs i både IT- och OT-miljöer följt av återtest.
Övervakning och logghantering byggs med use cases, larmtrösklar och playbooks för snabb upptäckt.
Vi inför säkerhetsåtgärder i processer som förändringshantering och i teknik såsom MFA, segmentering och EDR.
Vidare ställer vi krav på leverantörer och produkter genom due diligence och tydliga SLA‑krav.
Vår incidenthantering definierar roller, eskaleringsvägar, bevisinsamling och kommunikation till återställning.
Vi integrerar rapporteringsflöden för myndighetsrapportering och kundkommunikation och dokumenterar kontrollmiljön för att visa efterlevnad av direktivet.
Vill ni veta mer om vår metod och praktiska steg? Läs mer på vår sida om cybersäkerhetslagen.
Vi förklarar vilka sektorer som nu omfattas och vad det betyder för er styrning och riskbild.
Regelverket täcker fler områden än tidigare. Det inkluderar bland annat energi, transport, bank och sjukvård, dricksvatten, samt digital infrastruktur.
Klassning som väsentlig eller viktig påverkar tillsyn och prioritering. Väsentliga aktörer får ofta striktare krav och tätare uppföljning.
Central och regional offentlig förvaltning kan bli inkluderad, ofta med extra krav på redovisning och transparens.
Vi hjälper er bedöma om ni omfattas nis2 utifrån omsättning, storlek och bransch. Vi svarar också på vanliga frågor om gränsfall och hur leverantörer påverkas.
För mer bakgrund och lista över sektorer, se det här är nis2‑direktivet.
Under direktivet skiljer man mellan proaktiv och reaktiv tillsyn. Väsentliga aktörer får proaktiv granskning. Viktiga aktörer möter oftare reaktiv tillsyn.
Proaktiv tillsyn innebär regelbundna revisioner och krav på dokumentation av åtgärder. Reaktiv tillsyn startar vid rapporterade fel eller incidenter.
Sanktioner blir strängare än tidigare. I vissa fall kan avgifter kopplas till global omsättning. För offentliga kritiska verksamheter föreslås nivåer från 5 000 till 10 000 000 kronor.
CER kräver snabb initial rapportering. En första rapport ska lämnas inom 24 timmar till MSB.
Rapporten behöver kärninformation om påverkan, berörd infrastruktur och åtgärder. Myndigheter kan föreskriva mer detaljerat innehåll och uppföljning.
| Ämne | Praktiskt krav | Effekt |
|---|---|---|
| Tillsynstyp | Proaktiv eller reaktiv beroende på sektor | Tydligare revision och beviskrav |
| Sanktionsnivå | 5 000–10 000 000 kr eller omsättningskoppling | Incitament för riskbaserad styrning |
| Incidentrapport | Initialt inom 24 timmar, följdinfo senare | Snabbare åtgärd och bättre uppföljning |
Vi hjälper förvaltning och privata aktörer att skapa informationsflöden, dokumentation och tjänster för att möta de nya regler och den föreslagna lagstiftning som kan träda i kraft, till exempel i oktober enligt tidplaner.
Kort sagt innebär nis2-direktivet att krav på cybersäkerhet höjs och att fler sektorer som energi, sjukvård och annan infrastruktur behöver bygga ökad motståndskraft. Direktivet ställer större krav på riskhantering, styrning och rapportering.
Det är viktigt att tidigt avgöra om ni omfattas nis2 och starta ett program som levererar både efterlevnad och affärsnytta. Ett riskbaserat arbetssätt hjälper er prioritera rätt investeringar och förbättra styrning samt rapportflöden.
Våra tjänster tar er från gap‑analys till implementering, övning och kontinuerlig förbättring. Kontakta oss för en kostnadsfri genomgång och en konkret plan för genomförande.
Vi kartlägger er verksamhet mot direktivet och svensk cybersäkerhetslag för att avgöra om ni räknas som en väsentlig eller viktig aktör inom exempelvis energi, sjukvård, vatten eller digital infrastruktur. Kartläggningen inkluderar tjänster, leverantörskedja och informationssystem för att snabbt avgöra om rapporterings- och säkerhetskrav gäller er.
Vi rekommenderar en riskbedömning följt av implementering av organisatoriska och tekniska åtgärder: säkra processer, åtkomstkontroll, övervakning, patchhantering, penetrationstestning och leverantörsrevisioner. Dessutom behöver ni dokumentera rutiner för incidenthantering, rapportering och återställning.
Rapporteringsfrister varierar beroende på incidentens allvar, men tidig notifikation till tillsynsmyndighet krävs. En komplett rapport bör innehålla incidentens påverkan, berörda system, åtgärder som vidtagits och plan för återställning. Vi hjälper er att ta fram mallar och rutiner för detta.
Sektorer som energi, sjukvård, vatten, transport och digital infrastruktur omfattas i hög grad. Leverantörer till dessa sektorer kan också bli omfattade om de tillhandahåller kritiska tjänster. Vi analyserar ert beroende av infrastruktur och leverantörer för att bedöma om ytterligare krav gäller.
Tillsyn kan vara både reaktiv och proaktiv, med granskningar och krav på åtgärder. Sanktioner varierar beroende på överträdelsens allvar och kan omfatta böter eller andra rättsliga åtgärder. Vi stöder er i förberedelser inför tillsyn och i dialog med myndigheter.
Vi genomför en strukturerad genomgång av era styrdokument, tekniska kontroller och rutiner, jämför mot kraven i direktivet och svensk cybersäkerhetslag samt prioriterar åtgärder efter risk och kostnadseffektivitet. Resultatet blir en handlingsplan med tidplan och ansvarsfördelning.
Ja. Vi erbjuder ledningsutbildning, workshoppar och stöd för att etablera styrning, policys och roller. Målet är att förbättra förståelsen i ledningen och bygga en kultur för informationssäkerhet som inkluderar kontinuerlig förbättring.
Vi rekommenderar leverantörsbedömningar, säkerhetskrav i avtal och kontinuerlig övervakning. Genom leverantörsrevisioner och krav på incidentrapportering säkerställer vi att ert beroende av tredje part inte skapar oacceptabla risker.
En robust process omfattar upptäckt, initial bedömning, isolering, åtgärd, återställning och lärande. Vi hjälper er att skriva rutiner, träna team med tabletop-övningar och implementera tekniska verktyg för snabb återhämtning.
Vi kartlägger era processer och system för att föreslå konkreta förbättringar: segmentering, kryptering, incidentövervakning och automatiserade patchprocesser. Förslagen anpassas efter er verksamhets kritikalitet och resurser.
Myndigheter som MSB har en samordnande och rådgivande roll, samt kan utfärda föreskrifter och delta i tillsyn. Vi hjälper er förstå vilka myndighetskrav som påverkar er och hur ni införlivar dem i er styrning.
Vi bistår i tillsynsärenden, förbereder underlag, svarar på frågor och företräder er i dialog med myndigheter. Vårt stöd minskar risk för sanktioner och hjälper er förbättra efterlevnaden snabbt.
Vi implementerar cykler för riskhantering, regelbundna tester, revisioner och uppdateringar av policyer. Kontinuerlig övervakning och rapportering ger oss insikter för prioriterade förbättringar över tid.
