augusti 11, 2025|2:41 e m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi hjälper verksamhetsutövare i Sverige att förstå hur den nya regleringen påverkar cybersäkerhet och dagligt arbete.
MSB samordnar nationellt och på EU-nivå, medan sektorsmyndigheter tar fram föreskrifter och utövar tillsyn. Vi förklarar vad detta betyder för er verksamhet och vilka krav som gäller.
Vårt fokus är praktiskt: vi visar hur verksamhetsutövare identifierar om de omfattas, bygger upp systematiskt informationssäkerhetsarbete och utbildar ledning och personal.
Vi pekar också på hur ni prioriterar åtgärder för att uppnå hög beredskap och hur rapportering till MSB ska hanteras. Regeringens lagrådsremiss (juni 2025) och EU:s förordning från november 2024 påverkar tidplan och krav.
För svenska verksamheter betyder den nya ramen ökade krav på styrning, riskhantering och rapportering. Vi förklarar kort hur övergången ser ut och vad ni behöver förbereda.
EU beslutade om nis2-direktivet i december 2022. I Sverige har en statlig utredning (SOU 2024:18) lämnat förslag och regeringen presenterade en lagrådsremiss i juni 2025.
En proposition väntas hösten 2025 och en ny cybersäkerhetslag planeras att ersätta befintlig lag när den träder kraft. Läs mer i det här är nis2-direktivet.
Kort sagt så nis2 innebär att fler sektorer omfattas och att tillsynsmyndigheten får större roll. PTS föreslås ansvara för fem sektorer, bland annat digital infrastruktur och digitala leverantörer.
Regelverket nis2 ställer tydliga krav på ledningens deltagande och formell kontroll. Kraven påverkar styrdokument, riskbedömningar och återrapportering.
Vi förklarar vilka trösklar som avgör när en incident blir betydande för er verksamhet.
En betydande incident är en händelse som orsakat eller kan orsaka allvarlig driftsstörning för de erbjudna tjänsterna eller ekonomisk skada för verksamhetsutövaren. Den kan även påverka andra personer genom materiell eller immateriell skada.
Typiska effekter är driftsstopp och större störningar i leverans. Förseningar i tillhandahållandet av tjänster påverkar kundrelationer och avtal.
Ekonomisk förlust, varumärkesskada och konsekvenser för tredje part bör värderas i er riskbild.
nätverks- informationssystem och närliggande informationssystem som stödjer drift och kommunikation omfattas. Vi hjälper er kartlägga beroenden och identifiera kritiska tillgångar.
| Kategori | Exempelindikator | Tröskelvärde |
|---|---|---|
| Drift | Systemnedtid | > 4 timmar för kritisk tjänst |
| Ekonomi | Direkt intäktsbortfall | > 100 000 SEK per incident |
| Konsekvens för tredje part | Antal påverkade kunder | > 1 000 användare |
Fler sektorer pekas ut och många organisationer måste nu bedöma om de ska omfattas av lagstiftningen. Vi hjälper er avgöra roll och ansvar när regelverket når fler branscher.
Det finns nu 18 sektorer där verksamhetsutövare kan omfattas. Detta innebär att aktörer som tidigare låg utanför nu kan få nya krav.
MSB har ett nationellt samordningsansvar, samtidigt får varje sektor en eller flera tillsynsmyndigheter som kan utfärda föreskrifter.
PTS föreslås ha ansvar för fem sektorer, däribland digital infrastruktur och digitala leverantörer.
PTS har tagit fram e‑tjänsten ”Omfattas vi av CSL?” för att stödja er bedömning av omfattning, jurisdiktion och anmälningsväg.
Verksamhetsutövaren måste skapa ett systematiskt ramverk för informationssäkerhet som täcker roller, processer och uppföljning. Vi hjälper er översätta regulatoriska krav till ett praktiskt ledningssystem med tydliga styrdokument.
Ledningen bär formellt ansvar för riktlinjer och beslut. Vi beskriver hur ni inför mätbara mål, KPI:er och regelbundna övningar för att förankra säkerhet i daglig styrning.
Prioritera tekniska och organisatoriska åtgärder utifrån risk: identitets- och åtkomsthantering, sårbarhetshantering, kontinuitet, leverantörskontroller och övervakning.
EU-kommissionens genomförandeförordning som trädde i kraft 7 november 2024 har tagit fram specifika regler för leverantörer av DNS, moln, CDN, sociala nätverk och andra digitala tjänster.
Praktisk incidentrapportering kräver tydliga tidpunkter, ansvar och mallar för att agera korrekt under press. Vi beskriver steg som gör att verksamhetsutövare snabbt kan avgöra när och hur rapportering sker.
Klockan börjar ticka när verksamhetsutövaren får kännedom om en incident. Det innebär första interna bekräftelsen, inte när full utredning är klar.
Dokumentera tidpunkt och vem som nåddes först. Det säkrar regelefterlevnad och visar att ni agerat inom angivna frister.
Incidentrapportering ska ske till MSB. En rapport bör innehålla en kort beskrivning av incidenten, påverkan på tjänster och personer, vidtagna initiala åtgärder och planerade nästa steg.
Vi rekommenderar ett internt ”rapid reporting”-flöde med mallar och tydliga kontaktvägar till tillsynsmyndigheten för att minimera ledtider.
För multinationella aktörer styrs rapporteringsplikt av var er huvudsakliga etableringsställe ligger, eller om ni tillhandahåller tjänster i andra länder. Vi hjälper er tolka dessa regler och undvika dubbla påföljder.
Dokumentera alltid er bedömning av betydande incidenter och rapportera proaktivt om osäkerhet råder. Det underlättar vidare utredning, forensik och kommunikation med berörda parter.
Myndigheternas roller bestämmer hur krav implementeras i olika sektorer och vilka påföljder som kan följa vid brister. Vi beskriver hur ramverk, nationell lagstiftning och sektorsvisa föreskrifter samverkar.
MSB har ett nationellt och EU-relaterat samordningsansvar och kan meddela gemensamma föreskrifter som stödjer en likformig tillämpning. Varje sektor får därefter en eller flera tillsynsmyndigheter som utfärdar sektorsspecifika krav och genomför tillsyn.
Vi rekommenderar att verksamhetsutövaren använder MSB:s vägledning och sektorsmyndigheters tolkningar för att anpassa interna styrdokument och bevisning inför granskningar.
Lagen skärper sanktionsnivåerna jämfört med tidigare regelverk. Det innebär högre avgifter för allvarliga överträdelser, särskilt för offentliga och kritiska aktörer.
Principen mot dubbelbestraffning gäller: samma överträdelse bör inte leda till två straff för samma rättsgrund. Vid flernationell verksamhet behöver ni dokumentera beslut om ansvar och koordinera dialog med relevanta myndigheter.
För en detaljerad vägledning om vilka verksamheter som omfattas och praktiska råd, se vår sida om omfattning och krav. Vi hjälper er att förbereda dokumentation och dialog med tillsynsmyndighet så att ni kan visa på kontinuerlig förbättring och regelefterlevnad.
CER‑direktivet kompletterar andra regelverk för att stärka samhällsresiliens i sektorer med hög kritikalitet. Vi ger en överblick över hur direktivet påverkar riskarbete, personalkrav och rapportering i praktiken.
Kritiska verksamhetsutövare måste göra regelbundna riskbedömningar och införa tekniska och organisatoriska åtgärder.
Incidenter som hotar tillhandahållandet ska utan dröjsmål rapporteras till MSB. En första rapport ska lämnas inom 24 timmar med grundläggande fakta om påverkan, berörda system och vidtagna åtgärder.
Tillsynsmyndigheter identifierar aktörer utifrån tre kriterier och kan föreskriva ytterligare krav. Kommuner och regioner som pekas ut omfattas också av lagen.
Bakgrundskontroller ska kopplas till befattningsanalys och omfatta nyckelpersoner för att skydda fortsatt drift. Vi hjälper er att strukturera kontrollen så att er verksamhet uppnår hög gemensam nivå utan dubbelarbete.
I korthet behöver verksamhetsutövare omsätta de nya kraven i praktisk styrning. Vi rekommenderar prioriterade åtgärder: riskanalys, tekniska och organisatoriska kontroller, leverantörsstyrning samt regelbundna övningar för att stärka cybersäkerhet. Incidenter ska bedömas mot klara trösklar och incidentrapportering ske till MSB enligt gällande tidsfrister.
nis2-direktivet och CER skapar ett modernt ramverk som påverkar informationssystem och nätverks- informationssystem. Planera för vad som träder kraft i CSL, använd PTS e‑tjänst och läs mer via MSB och EU‑förordningen för digitala leverantörer. Vi hjälper er att omsätta krav i dokumenterade rutiner så att verksamheten uppnår hög gemensam nivå.
Vi måste rapportera allvarliga driftstörningar och säkerhetshändelser som påverkar tillgänglighet, konfidentialitet eller integritet i våra nätverks- och informationssystem. Lagen kräver tydliga rutiner, snabba bedömningar och rapporter till MSB samt att ledningen visar ansvar för informationssäkerheten.
Omfattningen är bred och täcker bland annat energiförsörjning, hälso- och sjukvård, transport, finans och digitala tjänster. Vi bör kontrollera om vår verksamhet ingår i någon av de 18 sektorerna eller om vi klassificeras som leverantör av samhällsviktiga digitala tjänster.
Klockan startar när vi upptäcker att en händelse kan vara betydande. Vi måste göra en första anmälan utan onödigt dröjsmål och lämna kompletterande information enligt fasta tidsramar. Exakta frister och krav beskrivs i myndighetsföreskrifter och e-tjänster.
En händelse blir betydande om den orsakar omfattande störningar i tillhandahållandet av tjänster, allvarlig ekonomisk skada, materiell eller immateriell påverkan eller risk för allmän säkerhet. Bedömningen kräver snabb konsekvensanalys och dokumentation.
Rapporten ska beskriva händelsens natur, påverkade system, omfattning, tidpunkt, vidtagna åtgärder och förväntade följder. Vi ska också ange kontaktuppgifter för fortsatt dialog och uppdatera rapporten vid ny information.
Vi måste samordna rapporteringen om våra tjänster påverkar flera länder. Det innebär att informera ansvariga myndigheter i respektive stat och följa gemensamma regler för gränsöverskridande incidenter samt dokumentera kommunikation och beslut.
Ledningen ansvarar för att implementera systematiskt säkerhetsarbete, fatta beslut om riskhantering, avsätta resurser och säkerställa att incidenthantering och rapporteringsrutiner fungerar i praktiken.
Tillsynsmyndigheter kan utfärda sanktioner, förelägganden och i vissa fall böter. Vi måste också vara beredda på sektorsspecifika föreskrifter och möjlig dubbelbestraffning om nationell lagstiftning tillämpas parallellt.
Ja. Post- och telestyrelsen (PTS) och Myndigheten för samhällsskydd och beredskap (MSB) erbjuder vägledningar och e-tjänster för att avgöra om en verksamhet omfattas. Vi rekommenderar att använda dessa verktyg och konsultera jurister vid osäkerhet.
Vi bör etablera ett incidentteam, tydliga processer för upptäckt, prioritering och rapportering, regelbundna övningar samt tekniska och organisatoriska åtgärder för att minska påverkan. Dokumentation och ledningsstöd är avgörande.
Vi behöver ställa krav på underleverantörer, genomföra leverantörsbedömningar och säkerställa att kritiska tjänsteleverantörer uppfyller samma säkerhetsnivå. Avtal bör reglera informationsdelning och incidenthantering.
Reglerna kompletterar bredare EU-initiativ för drift- och cybersäkerhet, med fokus på gemensamma krav, incidentrapportering och ökad motståndskraft för kritiska aktörer. Vi måste därför anpassa våra processer i linje med både nationella och europeiska krav.
