NIS2 roadmap: Vår väg mot bättre cybersäkerhet

Vi tar ansvar för att möta det nya direktivet och gör det praktiskt för vår verksamhet i Sverige. Direktivet höjer kraven på information security, incidentrapportering och ledningsansvar.

Från nu arbetar vi målinriktat med compliance, management och tekniska measures för att skydda våra systems och services. Vi förklarar vad nis2 directive innebär för oss, hur det påverkar nätverk och serviceberoenden, och vilka krav på incident response och reporting som gäller.

Vår approach kopplar riskhantering till beprövade framework och tydlig governance. Vi visar hur vi balanserar kostnad och proportionalitet för att skapa robust cybersecurity innan tillsyn och eventuell svensk law träder i kraft.

Viktiga punkter

• Vi förklarar varför direktivet är affärskritiskt och vad det kräver.
• Praktiska steg för compliance och tidplan fram till svensk lag.
• Ledningens ansvar och dokumentation för granskning.
• Riskstyrning, kontroller och incidentrapportering enligt framework.
• Hur våra systems, network och externa services integreras i styrningen.

Varför NIS 2 är affärskritiskt för oss just nu

Det förändrade hotlandskapet tvingar oss att omdefiniera hur vi hanterar cybersäkerhet i hela verksamheten. Hoten är fler och mer riktade. Det påverkar våra systems, serviceleveranser och kunders förtroende.

Ett förändrat hotlandskap och ökade konsekvenser

Vi ser att cybersecurity risk inte längre är en ren IT-fråga. Angrepp kan snabbt slå ut service eller nätverk och orsaka affärsavbrott.

Direktivet kräver snabba processer för incident reporting och att vi kan report incidents inom 24 timmar.

Från IT-fråga till ledningsansvar

Ledningen måste anta ansvar enligt artikel 20. Vi behöver klara krav på risk, measures och rapportering till tillsyn.

• Scope nis breddas till sektorer som energy och offentliga tjänster.
• Företag över tröskelvärden (anställda och omsättning) omfattas ofta.
• Snabb incident response och tydlig reporting krävs för att undvika sanktioner.

Område	Ny kravbild	Affärskonsekvens
Sektor (energy, vård, offentlig)	Utökat scope och tröskelvärden	Fler companies omfattas; ökat ansvar för ledning
Incidenthantering	Report incidents inom 24 timmar	Minskad tid för beslut; krav på snabba response
Information & systems	Högre requirements för risk och measures	Bättre kontroller minskar långsiktiga risks och kostnader

Vi måste besluta snabbt om resurser, processer och rapportering för att säkra våra service och minska risken för sanktioner och förtroendeförlust.

Vilka omfattas? Utökad scope enligt NIS 2 och svensk rätt

Nu definierar vi vilka av våra systems och network som räknas som kritisk digital infrastructure enligt det nya direktivet. Detta påverkar både offentliga aktörer och privata companies som når trösklar för storlek eller omsättning.

Essential och important entities: sektor, storlek och omsättning

Essential och important kategorier bestäms utifrån sector och företagets storlek. Typiska gränsvärden är ≥50 anställda och >10 miljoner euro i omsättning.

Digital infrastruktur och tjänstekategorier i fokus

Implementing Regulation (EU) 2024/2690 listar specifika tjänster som moln, datacenter, CDN, managed services, DNS och sociala nätverk.

• Vi kartlägger systems och service så att vi kan klassificera ansvar och reportingvägar.
• Avtal och due diligence med leverantörer uppdateras för att möta krav och tekniska measures.
• Vid gränsfall dokumenterar vi motiv och roller för att snabbt visa tillämplighet vid tillsyn.

NIS2 roadmap

Vi lägger upp ett styrt program för att stegvis möta nya direktivkrav i hela vår organisation.

Arbetet organiseras i korta iterationer. Vi börjar med kartläggning av tillgångar och services för att snabbt se vilka systems och network som omfattas.

Risk- och gap-analys ger grund för prioriterade security measures. Policyuppdatering och ledningsförankring säkrar att management tar ansvar för implementering.

“En effektiv plan kräver tydliga milstolpar, spårbar rapportering och leverantörskrav.”

— Per Gustavsson, CISO Stratsys

• Detaljerade leverabler för compliance och operativ säkerhet.
• Specifika spår för leverantörer och kontraktskrav.
• Resursplanering kopplad till lagstiftning och förestående law.

Fas	Huvudaktivitet	Resultat
1. Kartläggning	Inventera systems och services	Scope nis-analys och ansvarskarta
2. Analys	Risk- och gap-analys	Prioriterad backlogg för measures
3. Implementering	Policy, kontroller och träning	Operativ compliance och incident response

Notera: Sanktionsrisker kan nå upp till 10 miljoner euro eller 2 % av global omsättning, vilket gör snabb handling nödvändig för companies och organizations.

Styrning och ansvar: så tar vi ledningen i informationssäkerhet

Vi etablerar en styrmodell som gör säkerhet till en del av varje beslut i organisationen. Ledningen godkänner och övervakar våra åtgärder enligt artikel 20 och kan hållas ansvarig vid överträdelser.

Artikel 20: ledningens ansvar, utbildning och möjlig ansvarsskyldighet

Medlemmar i ledningsorganet genomgår regelbunden utbildning för att förstå information security, systems och krav. Vi inför ett skräddarsytt program för styrelse och ledning.

Från policy till praktisk styrning och spårbar rapportering

Vi översätter policies till konkreta controls, ägarskap och mätetal. Det ger spårbar reporting och möjliggör revision.

• Formell godkännandeprocess där management signerar measures och följer upp resultat.
• Attestflöden och beslutsloggar som bevisar faktisk tillsyn.
• Access- och behörighetsstyrning med regelbundna granskningar och separation of duties.
• Fastställda mötes- och rapportcykler som kopplar risk, åtgärdsstatus och incidenter till en ledningsrapport.

Vi binder governance, lagstiftning och internkontroll så att prioriteringar speglar både compliance och verksamhetens behov. På så sätt gör vi cybersäkerhet till en naturlig del av vår management.

Vår praktiska väg: fem steg till efterlevnad

Vi tar ett praktiskt grepp med fem konkreta steg för att skapa efterlevnad i vår dagliga verksamhet. Stegen binder ihop kartläggning, riskbedömning och operativt arbete så att vi kan hantera cybersecurity risk på ett styrt sätt.

Kartlägg tillgångar, system och tjänster

Vi inventerar systems, services och informationstillgångar tillsammans med verksamheten. Det visar vad som är affärskritiskt och vart våra resurser ska riktas.

Riskbedömning och gap-analys mot tio säkerhetsåtgärder

Vi utför risk assessment och en gap-analys mot de tio områdena. Resultatet blir en prioriterad åtgärdslista med ägare och deadlines.

Uppdatera policies, processer och kontroller

Policies och processer uppdateras för att möta nya requirements. Det inkluderar incident response, leverantörskontroller och kontinuitetsplaner.

Förankra i ledningen och fördela roller och ansvar

Management beslutar om riskacceptanser och investeringar. Vi fördelar ansvar från styrelse till operativa roller för tydlig governance.

Kontinuerlig övervakning, uppföljning och förbättring

Vi inför automation, dashboards och GRC-stöd för att övervaka åtgärder och rapportera status. Kontinuerlig testning säkerställer att measures fungerar i praktiken.

“En tydlig femstegsmodell gör säkerhet mätbar och möjlig att följa över tid.”

Steg	Huvudfokus	Resultat
1	Kartläggning	Lista över kritiska system och service
2	Risk assessment & gap	Prioriterad backlogg med owners
3	Policy & kontroller	Uppdaterade processer och incident response
4	Ledningsförankring	Beslut om resurser och ansvar
5	Övervakning	Dashboards, rapporter och förbättringscykler

Incidenthantering och rapportering inom 24 timmar

Vi förbereder oss för snabba beslut och tydlig rapportering när en incident påverkar vår drift. Ett tydligt förlopp gör det möjligt att agera inom 24 timmar enligt det nya directive och de tekniska requirements som gäller.

Incident response: förberedelser, roller och kommunikation

Vi etablerar incident response-planer med tydliga roller, kommunikationsvägar och beslutsmandat. Det ger oss förmågan att lämna en initial notification inom det första dygnet.

Vi övar regelbundet genom bordsspel och tekniska tester. Det minskar både MTTD och MTTR.

Vad som gör en incident betydande enligt genomförandeförordningen

Implementing Regulation (EU) 2024/2690 specificerar när en incident bedöms som betydande för vissa tjänstekategorier. Vi använder kriterier för påverkan på service, antal drabbade användare och påverkan på systems och network.

Från initial anmälan till slutrapport: vår rapporteringskedja

Vår kedja innehåller tidig varning, initial anmälan, löpande statusuppdateringar och slutrapport med rotorsak och lärdomar.

• Vad vi rapporterar: beskrivning, påverkan på service, tidslinjer och åtgärder.
• Vi säkerställer loggning, forensik och spårbarhet så att reporting håller hög kvalitet.
• Vi koordinerar med leverantörer och kunder för att begränsa spridningseffekter.

“Snabb rapportering och tydliga roller är avgörande för att minimera påverkan och uppfylla regulatoriska requirements.”

Leverantörer och leveranskedja: risker, krav och kontroller

Våra leverantörer utgör en förlängd del av vår säkerhetsyta och måste bedömas utifrån samma krav som vi ställer internt.

Due diligence, avtal och uppföljning av managed service providers

Vi arbetar riskbaserat med leverantörsklassning och due diligence. Det innebär krav på SLA, säkerhetsbilagor och rätt till tredjepartsrevision.

Vi kräver access-kontroller och loggdelning för att kunna verifiera att kontrollerna fungerar i våra systems och network.

Bevis på efterlevnad: vad vi ber leverantörer visa

Vi begär konkreta artefakter: certifieringar som ISO/IEC 27001, sårbarhetshantering, testresultat och kontinuitetsplaner.

Vi säkerställer mekanismer för koordinering vid incident och snabb reporting i kedjan. Implementing Regulation (EU) 2024/2690 används där det är tillämpligt.

• Regelbundna möten, KPI:er och revisonsspårr för uppföljning.
• Tydliga exit-planer eller riskacceptans om leverantör inte möter våra requirements.
• Balans mellan affärsnytta och security när vi väljer service-partners.

“Krav, bevis och uppföljning gör leverantörsstyrningen mätbar och trygg.”

Tekniska, organisatoriska och operativa säkerhetsåtgärder

Vi inför en samlad modell för tekniska och organisatoriska åtgärder som adresserar både kända och okända hot. Modellen utgår från artikel 21:s krav om en all-hazards approach och proportionella lösningar som bygger på state-of-the-art.

All-hazards approach och state-of-the-art åtgärder

Vi operationaliserar artikel 21 genom att definiera security measures per kontrollområde. Det sträcker sig från policy till teknisk implementation och uppföljning.

• Genomför återkommande risk assessment och tekniska tester med tydliga KPI:er.
• Segmentering i network, kryptering av information och säkra kommunikationskanaler.
• MFA och starka access-kontroller för användare och administratörer.

Från MFA och kryptering till kontinuitet och krishantering

Vi inför robust backup och disaster recovery för att säkra service och digital infrastructure, inklusive energy-beroenden.

Leveranskedjan stärks med krav på sårbarhetshantering, SBOM och tredjepartstester. Vi säkerställer centraliserad loggning och övervakning för att stödja incident response och kunna report incidents snabbt.

“Praktiska, mätbara åtgärder är nyckeln till att minska cybersecurity risk och visa compliance vid tillsyn.”

Systemstöd som accelererar vår compliance

Vi inför ett systemstöd för att få full kontroll över krav, bevis och åtgärder i realtid. En modern GRC-plattform samlar dokument, policies och evidens så att ledningen får tydlig överblick.

GRC-plattformar: risk, rapportering och visualisering för ledning

Vi använder plattformen för att integrera risk, åtgärdsplaner och incident response-flöden. Det gör kopplingen mellan risk och kontroll mätbar och spårbar.

Automatisering ger oss påminnelser, attestflöden och statusrapporter som säkrar att requirements och tidsfrister följs.

Dashboards visualiserar nyckeltal för åtgärdsstatus, incidents och testresultat. Det underlättar management-beslut och tillsynskommunikation.

Funktion	Vad vi får	Nytta för oss
Central dokumentation	Policies, bevis, loggar	Spårbarhet vid revision
Integrerade flöden	Risk → åtgärd → incident response	Minskad handläggningstid
Integrationer	SIEM, ärendehantering, leverantörsdata	End-to-end-spårbarhet
Access management	Rollbaserad åtkomst	Skydd av känslig information

“Ett digitalt GRC-stöd gör compliance hanterbart och ger oss snabbt underlag för beslut.”

Regelverkslandskapet: NIS 2, Cyber Solidarity Act, DORA och CRA

När hoten blir gränsöverskridande måste vi balansera intern styrning med EU:s krisverktyg och sektorsspecifika regler.

Lex specialis vs lex generalis: när vilket regelverk gäller

Vi kartlägger vilka regelverk som styr i varje scenario. En generell förordning ger ramverk för organisationens management och policies.

Lex specialis som Cyber Solidarity Act går före vid stora gränsöverskridande kriser. DORA för finanssektorn är också speciallagstiftning som styr sektorspecifika krav.

Operativ krishantering på EU-nivå vs organisations-compliance

Cyber Solidarity Act etablerar mekanismer för gemensam beredskap och response, till exempel en europeisk varningsstruktur och reservresurser.

Parallellt behåller vi interna rutiner för incidenthantering, reporting och tekniska measures som stödjer både nationell och EU-nivåinsats.

Sektorspecifikt och produktinriktat i relation till NIS 2

CRA fokuserar på produktkrav och security-by-design hos tillverkare. Det kompletterar vår driftssyn, som fokuserar på systems, service och network.

Praktiska konsekvenser för oss:

• Uppdatera policies för reporting och testing enligt olika requirements.
• Samverka med ENISA och använda peer reviews i vårt framework.
• Utse roller som bevakar ändringar i law och legislation.

“Klara rollbeskrivningar och kontaktvägar avgör hur vi agerar vid aktivering av EU-mekanismer.”

Tidslinje och nästa steg i Sverige

Tidslinjen kopplar EU‑krav till konkreta aktiviteter hos oss. Vi behöver ett precist schema för att styra resurser, uppdatera rutiner och leverera bevis för compliance.

EU‑deadlines 2024–2027 och svensk cybersäkerhetslag

Medlemsstater skulle transponera direktivet senast 17 oktober 2024 och tillämpa från 18 oktober 2024. Sverige planerar en ny cybersäkerhetslag tidigast i slutet av 2025.

Viktiga milstolpar som påverkar oss:

• Peer review‑metodik: 17 januari 2025.
• Listor över essential/important entities: 17 april 2025.
• Översyn av direktivet senast 17 oktober 2027.

Implementing Regulation (EU) 2024/2690 och ENISA:s vägledning

Implementing Regulation publicerades 7 november 2024 och trädde i kraft 20 dagar senare. Den påverkar vilka services och systems som omfattas och vilka requirements vi måste möta.

ENISA arbetar med implementeringsvägledning. Vi planerar att inkorporera deras slutliga guidance i vårt framework så snart den publiceras.

Vår nästa fas fokuserar på klassning, gap‑stängning, incident reporting‑förmåga och leverantörsstyrning.

Datum	Vad det innebär	Vårt fokus
17 okt 2024 / 18 okt 2024	Transposition och tillämpning i EU	Verifiera compliance och uppdatera management‑rutiner
17 jan 2025	Peer review metodik	Förbereda myndighetskontakt och dokumentation
17 apr 2025	Listor över berörda entities	Slutföra klassningsarbete och riskbedömning
Slutet av 2025 (SE)	Förväntad svensk lag	Allokera budget, stänga gap och stärka evidence

Nästa steg för oss är att: genomföra klassning, prioritera security measures, öva incident response och säkra att vi kan report incidents enligt krav. Vi ska också samordna insatser i koncernen så att companies och organizations harmoniserar åtgärder över gränser.

Slutsats

Avslutningsvis ser vi ett tydligt behov av prioriterade beslut för att skydda våra tjänster och information. Direktivet ställer krav på riskhantering, ledningsansvar, rapportering och leveranskedjan. Vi svarar genom ett styrt program som kopplar management till konkreta measures.

Framgång kräver tekniska, organisatoriska och operativa insatser som är proportionerliga mot risk. Vi prioriterar systems, network och service-resiliens samt snabb incident response inom 24 timmar.

Compliance är ett medel, inte ett mål. Vårt framework anpassas efter implementeringsakter och ENISA‑vägledningar. Vi rekommenderar att investeringsbeslut fattas nu för att stänga gap innan tillsyn trappas upp.

Nästa steg: besluta prioriterade kontroller, fatta styrningsbeslut och skala upp utbildning. Målet är att leverera trygga service till kunder och samhälle genom konsekvent efterlevnad och ständig förbättring.

FAQ

Vad omfattar den nya lagen och vilka organisationer berörs?

Den nya europeiska lagstiftningen utökar täckningen jämfört med tidigare regler och inkluderar fler sektorer, större delar av digital infrastruktur och både stora och medelstora företag beroende på sektor och omsättning. Vi måste kartlägga om vi kvalificerar som en “essential” eller “important” aktör enligt svensk implementering och se över leveranskedjan samt tjänstekategorier som molntjänster, datacenter och kritisk infrastruktur.

Varför är detta affärskritiskt för oss nu?

Hotlandskapet förändras snabbt och konsekvenserna av avbrott eller dataintrång är större än tidigare. Efterlevnad påverkar vår drift, ekonomi och förtroende hos kunder och myndigheter. Vi måste hantera risker som en affärsrisk, inte bara en IT-fråga, och skapa styrning i ledningen så att ansvar och resurser finns på plats.

Vilka säkerhetsåtgärder förväntas av oss?

Regelverket kräver proportionerliga tekniska, organisatoriska och operativa åtgärder. Det innefattar bland annat autentisering (MFA), kryptering, kontinuitetsplaner, incidenthantering, sårbarhetshantering, leverantörskontroller och regelbundna riskbedömningar. Vi ska tillämpa en all-hazards approach och sträva efter state-of-the-art-lösningar.

Hur snabbt måste vi rapportera säkerhetsincidenter?

Vi måste ha processer för snabb anmälan till ansvarig myndighet enligt genomförandeförordningen. Initial rapportering krävs inom 24 timmar för incidenter som kan vara betydande, följt av mer detaljerade uppföljningsrapporter och slutlig rapport när utredningen är klar.

Vad räknas som en betydande incident?

En betydande incident bedöms utifrån påverkan på konfidentialitet, integritet eller tillgänglighet, samt affärs- och samhällspåverkan. Faktorer inkluderar driftsstörningens omfattning, duration, antal drabbade användare och påverkan på leveranskedjan. Vi måste dokumentera bedömningen och rapportera enligt de kriterier som anges i genomförandeförordningen.

Hur förbereder vi oss praktiskt för efterlevnad?

Vi följer en femstegsmetod: kartlägg tillgångar och tjänster, genomför risk- och gap-analys mot centrala säkerhetsåtgärder, uppdatera policies och kontroller, förankra krav i ledningen och fördela ansvar samt etablera kontinuerlig övervakning och förbättring. Systemstöd som GRC-plattformar kan påskynda arbetet.

Vilka krav ställs på leverantörer och underleverantörer?

Vi måste införa due diligence, krav i avtal och löpande uppföljning av managed service providers och kritiska leverantörer. Bevis på efterlevnad kan inkludera revisioner, certifikat, rapporter om sårbarheter och avtalade säkerhetskontroller.

Hur påverkar detta vår ledningsstyrning och ansvar?

Ledningen får ett tydligare ansvar för informationssäkerhet, inklusive utbildning, riskacceptans och rapportering. Vi måste säkerställa att roller och ansvar är tydligt fördelade, att ledningen får relevant information och att det finns mekanismer för spårbar rapportering och eventuella sanktioner vid brister.

Hur relaterar denna lag till andra regelverk som DORA och CRA?

Regelverken kompletterar varandra. DORA fokuserar på finansiella sektorn och operativ motståndskraft, CRA på produktsäkerhet medan den nya lagen har en bred sektorsövergripande räckvidd. Vi behöver bedöma lex specialis-principen för att avgöra vilket regelverk som gäller vid överlappning och anpassa vår compliance-strategi därefter.

Vilka verktyg kan hjälpa oss att uppfylla kraven?

GRC-plattformar, sårbarhetsscanners, SIEM, SOAR och dokumentationsverktyg för leverantörsbedömning underlättar styrning, riskhantering och rapportering. Vi bör välja lösningar som stödjer visualisering för ledning, automatiserad incidenthantering och spårbarhet i hela leveranskedjan.

Vad ingår i en korrekt incidentrapport till myndighet?

En korrekt rapport innehåller en sammanfattning av incidenten, identifierade påverkanselement, tidpunkter för upptäckt och åtgärder, bedömning av betydelse, åtgärder som vidtagits samt plan för fortsatt hantering. Vi måste även följa upp med analyser och rekommendationer för att minska återfall.

Hur ska vi dokumentera vår riskbedömning och gap-analys?

Dokumentationen bör vara tydlig, spårbar och kopplad till konkreta åtgärder. Vi inkluderar tillgångslistor, hot- och sårbarhetsbedömningar, riskmatris, prioriterade åtgärder och tidplaner. Regelbundna uppdateringar och koppling till ledningens beslutsunderlag är avgörande.

Vad händer vid bristande efterlevnad?

Bristande efterlevnad kan leda till sanktioner, krav på åtgärder och skadat förtroende. Myndigheter kan utfärda förelägganden och i vissa fall administrativa påföljder. Vi måste därför prioritera investeringar i säkerhet och styrning för att undvika legala och affärsmässiga konsekvenser.