augusti 13, 2025|10:39 f m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi ger klarhet och praktisk vägledning kring de nya kraven som EU fattade i december 2022 och som ersatte tidigare ramverk i oktober 2024. Här förklarar vi vad som gäller nu, vad som väntar och vilka beslut ni behöver ta för att skydda er verksamhet.
Vi sammanfattar aktuell information från MSB och EU och visar hur ni organiserar arbetet med informationssäkerhet. Vårt fokus är att göra komplexa krav begripliga och ge konkreta steg för styrning, riskanalyser, incidentrapportering och ledningens ansvar.
Vi beskriver också vilka tjänster och stöd vi erbjuder — från snabba förstudier till full implementering — samt hur ni avgör om er verksamhet omfattas. Målet är att ni ska få tydlig information, snabb hjälp vid frågor och en plan som håller i praktiken.
Vi förklarar kort varför det nya direktivet förändrar spelplanen för många verksamheter. Dokumentet breddar tillämpningen till fler sektorer och höjer kraven på riskhantering och rapportering.
Direktivet trädde i kraft januari 2023 och NIS1 upphävdes i oktober 2024. Det innebär en högre nivå för efterlevnad och större ansvar för ledningen.
MSB samordnar nationellt, ger vägledning och tar fram gemensamma föreskrifter. I Sverige finns ett förslaget i SOU 2024:18 och en lagrådsremiss från juni 2025. En proposition väntas under hösten 2025.
| Ämne | Vad förändras | Hur ni påverkas |
|---|---|---|
| Sektorer | Bredare tillämpning | Fler verksamheter ska omfattas |
| Ledning | Ökat ansvar | Styrelse och ledning måste agera |
| Incidentrapportering | Strikta tidskrav | Snabbare interna processer krävs |
Nu beskriver vi vilka verksamhetsutövare som räknas som väsentliga eller viktiga och vad det betyder i praktiken.
Väsentliga aktörer får striktare tillsyn och högre krav på dokumentation. Viktiga aktörer har liknande krav, men kontrollfrekvens och sanktioner kan skilja.
Kategoriseringen påverkar omfattningen av granskningar, rapportkrav och uppföljning. Vi rekommenderar en tidig självvärdering för att avgöra var ni hamnar.
Direktivet täcker 18 sektorer, bland annat energi, transport, digital infrastruktur, forskning och offentlig förvaltning. Vi hjälper er att tolka gränsdragningar när verksamhet spänner över flera sektorer.
Post- och budtjänster samt digitala leverantörer har särskilda beroenden i distribution och infrastruktur. Kartlägg leverantörskedjan för att täcka hela riskbilden.
Verksamhetsutövare måste själva avgöra om de ska omfattas och anmäla sig till rätt tillsynsmyndigheten. Förbered underlag om verksamhetens informationssystem, leverantörer och kritiska processer redan nu.
| Fråga | Vad ni kontrollerar | Praktiskt stöd |
|---|---|---|
| Kategori | Väsentlig eller viktig | Självvärdering och dokumentation |
| Sektor | Vilken sektor verksamheten tillhör | Kartläggning av tjänster och distribution |
| Anmälan | Tillsynsmyndigheten | Samla informationssystem och leverantörsdata |
Styrning, riskanalyser och konkreta åtgärder utgör grunden i ett hållbart säkerhetsarbete. Vi hjälper verksamhetsutövare att etablera ett systematiskt arbete för informationssäkerhet som är praktiskt och mätbart.
Vi bygger ett ledningssystem som klargör policy, roller och processer. Det ger tydliga beslutsvägar och underlättar kontinuerlig förbättring.
Fördelar: bättre spårbarhet, enklare tillsyn och dokumentation för verksamhetsutövare.
Riskanalyser styr vilka åtgärder som prioriteras. Vi inför patchprocesser, sårbarhetsscanning och krav på leverantörer.
Avtal, granskningar och övervakning gör leverantörskedjan mer robust och minskar tredje parts-risker.
Vi utbildar ledning och styrelse så att de kan fatta rätt prioriteringar. Regelbundna rapporter kopplar risker till affärsmål.
En kompetensplan för personer i nyckelroller säkerställer beredskap och återkommande övningar.
Effektiva processer för incidenthantering säkerställer att ni möter myndigheternas tidskrav utan onödiga avbrott. Vi hjälper verksamhetsutövaren att definiera vilka incidenter som är betydande utifrån påverkan på tillgänglighet, konfidentialitet och integritet i era informationssystem.
En betydande incident bedöms utifrån avbrottens omfattning och konsekvenser för kritiska tjänster. Vi operationaliserar nivåerna så att ansvar och eskalering blir tydlig.
Verksamhetsutövare ska varna inom 24 timmar, lämna en inledande rapport inom 72 timmar och en slutrapport inom en månad. Pågående incidenter får en lägesrapport inom en månad och slutrapport en månad efter avslut.
Vi kopplar era processer till CERT-SE för snabbt stöd vid analys, containment och återställning. Vid större händelser samverkar CSIRT-nätverk, ENISA och EU-CyCLONe.
Tillsynen ställer nya krav på dokumentation, tillträde och uppföljning i alla berörda sektorer. Vi hjälper er att förstå vilka uppgifter tillsynsmyndigheten kommer att begära och hur ni förbereder underlag.
Enligt förslaget pekas flera myndigheter ut, bland annat Energimyndigheten, Transportstyrelsen och Finansinspektionen. Post- och telestyrelsen får ansvar för digital infrastruktur samt post- och budtjänster.
| Myndighet | Sektor | Befogenheter |
|---|---|---|
| Energimyndigheten | Energi | Inspektion, krav på rapportering |
| Transportstyrelsen | Transport | Kontroller, krav på tillträde |
| IVO / Läkemedelsverket | Hälso- och sjukvård | Granskning av medicinteknik och processer |
Väsentliga verksamhetsutövare möter löpande granskning och striktare åtgärder. Viktiga aktörer granskas oftare vid indikationer på brister och händelsedrivna inspektioner är vanligare.
Sanktionsramarna är tydliga: för väsentliga kan avgifter nå upp till högsta av 2 % av global årsomsättning eller 10 000 000 euro. För viktiga gäller lägre nivåer, och offentliga verksamheter har särskilda tak.
”Vid tillsyn ska verksamhetsutövaren ge tillträde och information till myndigheten.”
Vi erbjuder konkreta tjänster som hjälper er att snabbt bedöma och åtgärda brister inför kommande lagkrav. Basen i vårt arbete är MSB:s vägledning, SOU 2024:18 och den presenterade lagrådsremissen.
Vi levererar en snabb gap-analys mot nis2-direktivet och cybersäkerhetslagen. Analysen ger en prioriteringslista med ägarskap och tidsplan.
Vi jämför era rutiner med förväntade föreskrifter och identifierar konkreta åtgärder. Resultatet visar vad verksamhetsutövare måste göra för att möta sektorsspecifika krav.
Vi inför tekniska och organisatoriska åtgärder som stärker detektering och återställning i er infrastruktur. Incidentprocesser anpassas för rapportering till MSB/CERT-SE.
”Vi agerar rådgivande partner och svarar på era frågor löpande under hela införanderesan.”
Vi avslutar med en konkret färdplan för att minska risk och säkra era informationssystem. Direktivet formar redan arbete inom många sektorer och svensk lagstiftning väntas färdigställas snart.
Verksamhetsutövare måste identifiera sin omfattning, bygga systematiskt skydd och kunna rapportera incidenter enligt tidsfristerna.
De berörda tillsynsmyndigheterna kommer successivt höja förväntningarna. Vi rekommenderar riskbaserade förbättringar i informationssystem, leverantörsstyrning och utbildning av ledning för att skapa varaktig kraft i skyddet.
Följ en tydlig plan: bedöm om ni omfattas, etablera programstyrning, gör en gap-analys, implementera åtgärder och öva rapportering.
Det här direktivet påverkar er trygghet och konkurrenskraft — vi hjälper er genom hela resan mot efterlevnad och verifierad cybersäkerhet.
De nya bestämmelserna innebär att fler organisationer inom kritisk infrastruktur och digitala tjänster måste stärka sin cybersäkerhet. Vi behöver bedöma om vi omfattas som väsentlig eller viktig verksamhetsutövare, kartlägga informationssystem och införa systematiskt säkerhetsarbete för att uppfylla krav på riskhantering och incidentrapportering.
Jämfört med tidigare direktiv har kraven blivit bredare och mer detaljerade, med tydligare ansvar för ledning och leverantörskedjan. Lagstiftningen implementeras nationellt i etapper, och vi följer MSB:s föreskrifter samt kommande cybersäkerhetslag för att säkerställa att åtgärder införs i tid.
MSB ansvarar för nationell samordning, föreskrifter och tillsyn i vissa sektorer samt stöd till organisationer. Vi använder MSB:s vägledningar och rapporteringskanaler för att anpassa vår verksamhet till regelverket och för att få stöd vid incidenter och utbildning.
Omfattningen styrs av sektor, verksamhetens betydelse för samhällsviktiga funktioner och påverkan vid störning. Vi genomför en intern kartläggning av tjänster, leverantörer och kritiska beroenden för att avgöra vilken kategori vi tillhör och vilka krav som gäller för oss.
Direktivet omfattar ett brett spektrum, bland annat energi, transport, vård, offentlig förvaltning, post‑ och budtjänster, digital infrastruktur samt rymd. Post‑ och budtjänster lyfts särskilt eftersom störningar där kan påverka samhällskritiska leveranser.
Vi kartlägger leverantörer, analyserar beroenden och bedömer sårbarheter i leveranskedjan. Detta inkluderar tekniska leverantörer av informationssystem, molntjänster och tredjepartsservice. Resultatet styr vilka säkerhetskrav vi ställer i avtal och uppföljning.
Kraven omfattar bland annat regelbundna riskanalyser, sårbarhetshantering, segmentering, säkerhetskopiering och åtkomstkontroll. Vi rekommenderar att ledningen fastställer policyer och att åtgärder dokumenteras och testas löpande för att säkerställa efterlevnad.
Vi rekommenderar kontinuerliga riskbedömningar med formella uppdateringar minst årligen eller vid större förändringar. Sårbarhetsskanningar bör göras regelbundet och efter större uppdateringar, samt kombineras med penetrationstester för kritiska system.
Ledningen bär det övergripande ansvaret för att säkerhetsarbetet är integrerat i verksamheten, att resurser finns och att styrelsen får regelbunden rapportering om risker, incidenter och åtgärder. Vi hjälper till att skapa styrdokument och rapporteringsrutiner som möter kraven.
En betydande incident är en händelse som påverkar tillgång till eller integriteten hos tjänster med stor samhällspåverkan. Vi måste initialt lämna varning inom 24 timmar och en mer detaljerad rapport inom 72 timmar, följt av en slutlig analys inom en månad, enligt de föreslagna tidslinjerna.
Vi kan få tekniskt och samordnat stöd från CERT‑SE och nationella CSIRT‑grupper för analys och åtgärd. På EU‑nivå finns resurser via ENISA och samarbeten som EU‑CyCLONe för större händelser och informationsutbyte. Vi rekommenderar att etablera kontaktvägar i förväg.
Tillsynsmyndigheter har befogenheter att granska, kräva åtgärder och besluta om sanktionsavgifter vid brister. Sanktionernas nivå varierar beroende på om verksamheten klassas som väsentlig eller viktig. Vi kan hjälpa till med efterlevnadsprogram för att minimera risk för åtgärder.
Ja, tillsynen kan skilja sig mellan sektorer där vissa myndigheter har särskild kontroll inom till exempel energi, transport eller hälso‑ och sjukvård. Vi analyserar vilken tillsynsmyndighet som gäller för er sektor och anpassar åtgärder därefter.
Vi erbjuder gap‑analyser mot kommande föreskrifter, implementering av riskhanteringsåtgärder, utformning av incidentprocesser, utbildning av personal och ledning samt hjälp med leverantörsstyrning och dokumentation för tillsynsredovisning.
En gap‑analys börjar med kartläggning av system, processer och leverantörer. Vi jämför mot krav i föreskrifter, identifierar avvikelser och prioriterar åtgärder. Leveransen inkluderar en handlingsplan med tidplan, kostnadsuppskattning och stöd vid genomförande.
Vi erbjuder skräddarsydda utbildningar och workshops för styrelser och ledning med fokus på riskbedömning, beslutsunderlag och rapportering. Målet är att göra säkerhetsfrågor begripliga och handlingsbara för beslutsfattare.
Rapporteringen ska innehålla en beskrivning av incidenten, påverkan på tjänster, vidtagna åtgärder och plan för fortsatt hantering. Vi kan utforma mallar och rutiner för snabb och korrekt rapportering enligt myndigheternas krav.
Kostnaden varierar med omfattning och uppdragstyp. Vi kan ofta påbörja en initial bedömning inom några veckor och leverera en prioriterad åtgärdsplan efter en första kartläggning. Kontakta oss för en offert baserat på er situation.
Vi bevakar myndighetsbeslut, MSB‑publikationer och EU‑initiativ samt skickar regelbundna uppdateringar och rekommendationer till våra kunder. Vi rekommenderar också att ni utser en intern ansvarig för lag‑ och regelövervakning.
För mer information erbjuder vi vägledningar, checklistor och kontaktmöjligheter via vår webbplats. Vi hjälper er med en första riskkartläggning och rekommenderar alltid ett tidigt samarbete för att undvika onödiga störningar och sanktioner.
