augusti 12, 2025|2:06 e m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi hjälper företag och organisationer att tolka det nya direktivet och omsätta krav till praktiskt arbete. Vår rådgivning bygger på aktuell information från SOU 2024:18, lagrådsremissen juni 2025 och MSB:s vägledningar.
Vi arbetar nära er ledning för att skapa styrning, roller och beslutsvägar som fungerar i vardagen. Målet är att ni når efterlevnad utan att tappa affärstakt.
Vi levererar ett tydligt underlag för riskhantering, tekniska kontroller och incidentrapportering. Med en pragmatisk plan prioriterar vi investeringar som ger snabb nytta och maximal riskreduktion.
Kontakta oss för att läs mer om hur vi kan accelerera er resa mot bättre cybersäkerhet och regelefterlevnad.
Vi ger en klar och praktisk översikt över vad det nya direktivet innebär för er organisation. Målet är att ni snabbt förstår syfte, omfång och vilka första steg som ger mest effekt.
nis2-direktivet syftar till en hög gemensam nivå av cybersäkerhet inom EU och ersätter tidigare regelverk från 2018.
Huvudförändringarna omfattar skärpta riskhanteringskrav, tydligare ledningsansvar och bredare sektorsomfattning som påverkar både företag och offentliga organisationer.
Svensk process startade med SOU 2024:18 och följdes av en lagrådsremiss i juni 2025. En proposition väntas under oktober/hösten 2025.
MSB har samordningsansvar nationellt och mot EU, medan sektorsvisa tillsynsmyndigheter utövar kontroll. Verksamhetsutövare måste identifiera om de omfattas, anmäla sig och bygga systematiskt informationssäkerhetsarbete för att möta kraven.
”Planera för de no-regret-åtgärder som ger snabb nytta och skapa flexibilitet inför kommande föreskrifter.”
Vi hjälper er avgöra om er verksamhet omfattas nis2 genom en enkel, dokumenterad kartläggning av uppdrag, juridisk struktur och beroenden.
Först klassificerar vi om ni tillhör väsentliga eller viktiga verksamhetsutövare. Skillnaden påverkar tillsynsmetod och rapporteringskrav.
Väsentliga aktörer får proaktiv tillsyn, viktiga får reaktiv tillsyn. Vi visar konsekvenser för ert fokus och era resurser.
Storlek, omsättning och funktion i leveranskedjan avgör kategori. Exakta svenska kriterier fastställs i föreskrifter men vägledning finns i artikel 3 och bilagor.
Vi går igenom högkritiska sektorer: energi, transporter, bank, hälso- och sjukvård, dricksvatten, digital infrastruktur, IKT-förvaltning, offentlig förvaltning och rymden.
Andra områden som post- budtjänster, avfallshantering, kemikalier, livsmedel, tillverkning, digitala leverantörer, forskning och avloppsvatten kartläggs också.
Så identifierar och anmäler vi rätt tillsynsmyndighet
”Kartläggningen ska ge en snabb och beslutsduglig bild av er status och nästa steg.”
Vi konkretiserar krav från nis2-direktivet till praktiska åtgärder som passar ert företag. Arbetet bygger på tydlig styrning, kontinuerlig riskbedömning och mätbara kontroller.
Vi designar ett ramverk som förenar styrning, riskhantering och kontroll. Det inkluderar inventering, riskanalyser och prioriterad roadmap för snabba förbättringar.
Ledningen får konkreta mål, rapporteringsrutiner och utbildningspaket. Vi levererar rollbaserade kurser och styrelsematerial för uppföljning.
Policys och processer kopplas till tekniska kontroller: patchhantering, loggning, IAM/MFA, backup och penetrationstestning. Organisatoriskt kapslar vi in leverantörsstyrning, SSDLC och övningar.
Vi sätter rätt nivå för kontroller baserat på sektor, riskprofil och beroenden. Proportionalitet säkerställs genom riskbaserade val och bevisbar dokumentation inför föreskrifter.
”Ett tydligt, riskbaserat program gör både cybersäkerhet och tillsyn enklare.”
När en säkerhetshändelse inträffar krävs snabba beslut och tydliga rapporter för att minimera skada. Vi hjälper er bygga en enkel process som leder från upptäckt till lärande.
Vad räknas som betydande?
Vi definierar kriterier så ni snabbt kan avgöra om en händelse är betydande. Bedömningen handlar om påverkan på verksamhet, kunddata och sannolika störningar.
Varning ska skickas inom 24 timmar. En fullständig incidentanmälan lämnas inom 72 timmar med en inledande bedömning.
Slutrapport eller lägesrapport ska presenteras inom en månad enligt föreslagen praxis. Vi förbereder mallar som uppfyller kraven och minskar arbetsbördan.
Vi etablerar en rapporteringskedja till MSB och säkerställer att vidarebefordran till rätt tillsynsmyndighet sker enligt SOU-förslag. All information dokumenteras för spårbarhet.
Vid pågående incidenter koordinerar vi era åtgärder med CERT-SE. Prioriterade insatser är isolering, forensik, hotjakt och patchning för att begränsa skada.
”Snabb rapportering och tydlig dokumentation är avgörande för effektiv incidenthantering.”
Vi förklarar tillsynens arbetsflöde och hur ni bygger bevis för era säkerhetskontroller. Detta hjälper er att bli revisionsberedda och minska risken för krav eller förelägganden.
Proaktiv granskning riktas mot väsentliga aktörer och innebär regelbundna inspektioner och krav på rapportering. Reaktiv granskning gäller viktiga aktörer och utlöses ofta av incidenter eller anmälan.
Tillsyn utövas sektorsvis: Energimyndigheten (energi), Transportstyrelsen (transporter), Finansinspektionen (bank), IVO och Läkemedelsverket (vård), Livsmedelsverket (vatten och livsmedel), PTS (digital infrastruktur) samt länsstyrelser för vissa områden.
De förväntar sig dokumenterade processer, testbarhet och spårbara leverantörsavtal. Vi hjälper er mappa verksamheten mot rätt myndighet och skapa ett audit‑ready paket.
Påföljder varierar med kategori: väsentliga aktörer kan få böter upp till 2 % av global omsättning eller 10 000 000 euro. Viktiga aktörer kan få upp till 1,4 % eller 7 000 000 euro. Offentlig förvaltning kan drabbas av upp till 10 000 000 kr i sanktionsavgift.
| Kategori | Tillsyn | Max sanktionsnivå |
|---|---|---|
| Väsentliga aktörer | Proaktiv | 2 % global omsättning eller 10 000 000 € |
| Viktiga aktörer | Reaktiv | 1,4 % eller 7 000 000 € |
| Offentlig förvaltning | Varierande | Upp till 10 000 000 kr |
”Förbered dokumentation, testbarhet och leverantörskontroll för att minimera sanktionsrisken.”
Vi stödjer er med konkreta mallar, svarsträning mot granskare och en plan för uppgiftslämnande. Läs mer om det här direktivet för bakgrund och myndighetsroller.
Vi tar fram en klar kartläggning av er verksamhet. Vi identifierar juridiska enheter, beroenden och vilka sektorer ni hör till. Utifrån det förbereder vi underlag för anmälan till rätt myndighet enligt artikel och kommande föreskrifter.
Gap-analys och ramverk: Vi jämför er nuvarande styrning mot nis2-direktivet och cybersäkerhetslagen. Resultatet blir en prioriterad åtgärdslista och ett konkret ramverk för informationssäkerhet.
Implementering: Vi hjälper till att införa tekniska och organisatoriska säkerhetsåtgärder. Det inkluderar identitetsskydd, segmentering, loggning, backup och penetrationstestning.
Leverantörsstyrning och utbildning: Vi stärker kravställning i avtal, riskbedömning och revision av leverantörer. Vi levererar även utbildningar för ledning och operativ personal.
Slutligen etablerar vi övervakning, mätning och regelbundna övningar. Målet är en robust förvaltning som klarar tillsyn och snabba incidentrapporteringar till CERT‑SE.
Ett tidigt, strukturerat arbete ger er både bättre säkerhet och enklare tillsyn. Genom att förstå nis2-direktivet och omsätta kraven i praktiska åtgärder skyddar ni verksamhetens kärnprocesser.
Vi hjälper företag i berörda sektorer att prioritera insatser som minskar risk i produktion, distribution och leveranskedjor. Vår metod skapar mätbar förbättring och gör att ni kan visa upp kontroller vid tillsyn.
Oavsett sektor — från digital infrastruktur till post- och produkter — ger vi stöd i bedömning, design, implementering, test, övning och förvaltning. Kontakta oss för snabb hjälp och svar på frågor inför det nya direktivet.
Vi förklarar att direktivet skärper krav på informationssäkerhet för både väsentliga och viktiga aktörer. Det innebär systematiskt riskarbete, tekniska och organisatoriska åtgärder, tydligt ledningsansvar samt rapportering vid incidenter. Lagen kompletterar direktivet med nationell tillsyn och sanktionsmöjligheter.
Vi utgår från kategorier i direktivet, storlekskriterier och sektorspecifika regler. Vi kartlägger verksamhetens funktioner, kritikalitet och leverantörskedja för att avgöra om ni är väsentlig eller viktig aktör och vilken tillsynsmyndighet som gäller.
Högkritiska sektorer inkluderar energi, transporter, bank, vård, dricksvatten, digital infrastruktur, IKT och offentlig förvaltning. De påverkar samhällsviktiga funktioner och därför ställs högre krav på robusthet, redundans och incidentberedskap.
Vi betonar att ledningen måste visa ansvar genom att etablera styrning, resurser och rutiner för cybersäkerhet. Det inkluderar utbildning, beslutsfattande vid riskacceptans och uppföljning av säkerhetsåtgärder.
Vi rekommenderar riskinventering, policies, tekniska skyddsåtgärder, leverantörsstyrning, kontinuerlig övervakning och regelbundna övningar. Arbetet ska vara proportionerligt och dokumenterat för tillsyn och förbättring.
En betydande incident påverkar konfidentialitet, integritet eller tillgänglighet i sådan grad att samhällsviktiga funktioner störs eller service till användare påverkas. Vi använder kriterier som omfattning, varaktighet och konsekvenser för att bedöma allvarlighetsgrad.
Vi följer rapporteringsflödet: tidig varning vid allvarliga hot, initial incidentanmälan inom 72 timmar och efterföljande läges- eller slutrapport. Vi samarbetar med CERT-SE och ansvarig tillsynsmyndighet för korrekt handläggning.
Vi kan erbjuda tekniskt stöd, analys, samordning med CERT-SE och åtgärdsplaner för återställning. Vi prioriterar snabb kommunikation, bevisinsamling och efteranalys för att minska skada och förebygga upprepning.
Tillsyn sker både proaktivt och reaktivt beroende på verksamhetens kategori. Myndigheter kan utfärda förelägganden och sanktioner vid brister. Vi ger stöd för att möta tillsynskrav och minimera risken för avgifter eller andra åtgärder.
Vi kartlägger era befintliga kontroller mot direktivets krav, identifierar avvikelser och prioriterar åtgärder. Därefter utformar vi ett ramverk och projektplan för implementation inklusive utbildning och leverantörsgranskning.
Vi prioriterar åtgärder som minskar störningsrisk och exponerade ytor: uppdatering och patchning, åtkomstkontroller, nätsegmentering, incidenthantering, backup och leverantörskontroller. Valet styrs av riskbild och verksamhetskritikalitet.
Vi kartlägger leverantörskedjan, ställer krav i avtal, genomför granskningar och kontinuerlig övervakning. Vi säkerställer att underleverantörer lever upp till proportionerliga säkerhetsnivåer för att minska beroenden.
Vi erbjuder övervakning, mätning, rapportering, revisioner, incidentövningar och kontinuerliga förbättringsprocesser. Målet är tillsynsberedskap och att upprätthålla compliance över tid.
Vi hjälper er ta fram dokumentation, testprotokoll och bevis för att visa efterlevnad. Vi genomför interna revisioner och simuleringar för att hitta luckor innan extern granskning.
Vi följer processer som SOU 2024:18, förslag i lagrådsremiss och kommande propositioner. Tidslinjer påverkar när nationella regler träder i kraft, och vi anpassar åtgärder i enlighet med dessa steg.
Vi analyserar er sektor, tjänsteleverans och kritikalitet för att peka ut aktuell myndighet. Vi stöder också vid anmälan och dialog för att säkerställa korrekt klassificering.
Offentlig förvaltning omfattas i hög grad, särskilt vid leverans av samhällsviktiga tjänster. Kraven på riskhantering, incidentrapportering och kontinuitet gäller och kräver anpassad styrning och resurser.
