augusti 13, 2025|10:45 f m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi förbereder oss för nya krav som skärper ansvar och säkerhet. Den nya lagstiftningen ersätter tidigare regelverk och ställer större krav på riskanalyser, tekniska skydd och ledningens ansvar.
Vårt mål är att systematiskt höja skyddet av våra system och tjänster genom tydliga processer, kontroller och kontinuerliga förbättringar. Vi kombinerar tekniska och organisatoriska åtgärder för att stärka motståndskraften i hela värdekedjan.
MSB får en central roll som nationell samordnare och kontaktpunkt i EU. I Sverige följer vi regeringens planerade införande och förbereder oss inför kommande svensk cybersäkerhetslag som kan bli proposition hösten 2025.
Vi visar också hur vi arbetar med risk, incidenthantering och leverantörsstyrning för att säkra verksamheter, företag och organisationer redan innan alla föreskrifter är helt implementerade.
För mer information och vägledning kring efterlevnad och praktiska åtgärder, läs mer hos Navex.
EU:s beslut från december 2022 banar väg för nya regler som får konsekvenser för svenska verksamheter. Vi förklarar kort hur processen ser ut och vad vi behöver göra nu för att ligga före.
Direktivet beslutades i unionen i december 2022 och ska införas i svensk rätt via en ny cybersäkerhetslag. SOU 2024:18 har föreslagit lösningar och remissrundan är avslutad.
I juni 2025 presenterades en lagrådsremiss som visar inriktningen. En proposition väntas hösten 2025 och därefter kommer sektorsvisa föreskrifter som konkretiserar kraven för olika tjänster och sektorer.
Vi reder ut vad nis2-direktivet innebär i praktiken och hur det ersätter nis-direktivet genom ny lagstiftning. Målet är att varje verksamhetsutövare ska veta om de omfattas nis2 och vilka förändringar som väntar.
Resultatet: du får klarhet i vad som gäller, vad som kommer och hur vi organiserar ansvar och roller i vår verksamhet.
Utvidgningen av regelverket innebär större ansvar för ledningar och fler sektorer får nya krav. Vi förklarar kort hur detta skiljer sig från tidigare ramverk och vad som väntar företag och organisationer.
nis2-direktivet breddar omfånget och skärper kraven jämfört med nis-direktivet. Fler typer av tjänster och fler sektorer omfattas, med tydligare plikter för verksamhetsutövare.
Unionen delar in aktörer i väsentliga och viktiga enheter. Klassificeringen påverkar tillsyn, rapportering och vilka resurser som krävs för att möta krav på informationssäkerhet.
| Typ | Exempel | Konsekvens |
|---|---|---|
| Väsentlig | Energi, kraft, bank | Strikt tillsyn och hårdare rapportkrav |
| Viktig | Tillverkning, digitala tjänster | Styrning och revisioner krävs |
| Undantag | Små aktörer | Särskilda trösklar och undantag |
På EU‑nivå kan sanktionsramar nå miljoner euro och procent av global omsättning. Vi ser ökad tillsyn och fokus på både digital säkerhet och fysiskt skydd enligt CER, särskilt i sektorer som energi och gas.
Vi inför tydliga krav som styr hur risker ska identifieras och åtgärdas i vår verksamhet. Detta ramverk kopplar krav på informationssäkerhet till konkreta åtgärder, rutiner och utbildning.
Vi etablerar ett riskbaserat arbetssätt där styrdokument, regelbundna riskanalyser och målstyrda åtgärder förbättrar organisationen kontinuerligt.
Utbildning och övningar gör att personal förstår ansvar och roller. Vi prioriterar åtgärder efter kritikalitet för att skydda tjänster och nätverk.
Vi implementerar flerstegsprocesser för att upptäcka, hantera och rapportera incidenter. När incidenter riskerar stora störningar ska vi rapportera incidenter inom 24 timmar när så krävs.
Efter incidenten säkerställer vi uppföljning, lärande och tekniska förbättringar för att minska framtida risk.
Ledningen tar ägarskap för cybersäkerhet och beslutar om resurser och prioriteringar. Ansvar och mandat är skriftligt definierade i styrningen.
Vi stärker leverantörskontroller med avtalade revisioner och kontinuitetskrav för tredjepartstjänster och leverantörer.
| Område | Huvudåtgärd | Tidskrav | Förväntad effekt |
|---|---|---|---|
| Riskanalys | Årlig och incidentdriven analys | Årlig, vid ändring | Minskad sårbarhet |
| Incidentrapportering | Flerstegsrapportering och uppföljning | 24 timmar vid allvar | Snabb återställning |
| Leverantörsstyrning | Avtalade kontroller och revisioner | Löpande, minst årlig | Robusta tjänster och nätverk |
Säkerhetsmyndigheter och sektorsansvariga samverkar för att göra tillsynen tydlig och konsekvent. Vi behöver förstå hur roller, föreskrifter och granskningar påverkar vår verksamhet. Här förklarar vi vad som gäller för offentlig förvaltning och för andra aktörer.
MSB koordinerar nationellt och agerar kontaktpunkt mot EU. Vi följer deras vägledningar och tar emot information som sprids till sektorsmyndigheter.
Det innebär snabbt utbyte av information och tydliga uppdrag när nya föreskrifter publiceras.
Varje sektor får tillsynsmyndigheter som tolkar lagen och meddelar föreskrifter. Vi som verksamhetsutövare måste avgöra om vi omfattas och anmäla oss när så krävs.
Tillsyn betyder planerade granskningar, krav på dokumentation och bevis på att kontroller fungerar. För offentlig förvaltning är fokus tydligt på processtyrning, infrastruktur och robusta tjänster.
| Aspekt | Vad vi förväntas göra | Effekt |
|---|---|---|
| Tillsyn | Planerade granskningar och rapportering | Verifierad efterlevnad |
| Föreskrifter | Anpassa rutiner och dokumentation | Klare krav för tjänster och infrastruktur |
| Stöd | Vägledning från sektorsmyndighet och MSB | Enklare tolkning av regler |
Vi kartlägger vilka sektorer och tjänster som får störst påverkan på samhällsfunktioner.
Energi är centralt, inklusive kraft, el och gas. Störningar här påverkar både företag och hushåll.
Transport samt bank‑ och finansmarknadsinfrastruktur kräver höga säkerhetsnivåer för att upprätthålla betalningar och logistik.
Hälso‑ och sjukvård samt dricksvatten och avlopp bär direkt ansvar för liv och hälsa.
Offentlig förvaltning och digital infrastruktur behöver hög tillgänglighet och skydd av integritet.
Tillverkning, livsmedel, kemikalier och avfall är exempel på viktiga enheter som måste anpassa sina kontroller.
Digitala tjänster och plattformar omfattas ofta oavsett storlek. Vi bedömer om en verksamhet omfattas nis2 genom kriterier för påverkan, beroenden och tjänsters kritikalitet.
| Sektor | Exempel på tjänster | Prioriterade områden |
|---|---|---|
| Energi | Elproduktion, gasdistribution | Driftssäkerhet, leverantörskedja |
| Bank & finans | Betalningssystem, clearing | Kontinuitet, incidentrapportering |
| Hälsa & vatten | Sjukhus, dricksvatten | Tillgänglighet, integritet |
Vår prioritet är att snabbt avgöra om verksamheten omfattas nis2 och att genomföra nödvändiga anmälningar. Vi samlar kriterier, tar fram underlag och beslutar vem som ansvarar för processen.
Identifiering och anmälan:
Vi gör en strukturerad genomgång för att avgöra vilka verksamhetsutövare som berörs. Ett tydligt underlag gör anmälan enkel och spårbar.
Vi genomför en gap‑analys mot kraven och prioriterar åtgärder inom styrning, policies och informationssäkerhet. Resultatet ger en handlingslista med tydliga tidpunkter och ansvar.
Vi utbildar ledning och personal och kör praktiska incidentövningar. Genom repetitioner lär vi oss eskaleringsvägar och hur vi snabbt kan rapportera incidenter.
Vi integrerar fysisk motståndskraft så att CER kompletterar cybersäkerhet. Leverantörer riskklassas, avtal för nätverk och revisioner införs för att säkra beroenden i värdekedjan.
”En systematisk förbättringscykel med tydligt ägarskap gör att vår organisation kan möta kraven och höja motståndskraften.”
Vi står inför ett europeiskt ramverk som kraftigt ökar både ansvar och sanktionsrisk för brister i säkerheten. Direktivet och nis2-direktivet tydliggör att ledningar måste agera snabbt och planera långsiktigt.
I Sverige följer lagen en process efter lagrådsremiss (juni 2025) och en proposition väntas hösten 2025. Sanktioner kan nå upp till 10 miljoner euro eller 2 % av global omsättning, vilket skapar starka incitament för regelefterlevnad.
Vi stärker informationssäkerhet genom konkreta åtgärder: uppdaterade processer, leverantörskontroller och förmåga att rapportera incidenter inom kort tid. Verksamhetsutövare, offentlig förvaltning, energi och digitala tjänster måste vara redo för tillsyn och verifierbar efterlevnad.
Vill du läsa mer och få mer information om nästa steg och uppdrag, läs mer i våra vägledningar och följ myndigheternas uppdateringar.
Vi får ett bredare lagkrav med fler sektorer och skarpare säkerhetsåtgärder. Reglerna lägger större vikt vid riskhantering, leverantörskedjans säkerhet och ledningens ansvar. Det betyder att vi måste kartlägga tjänster, identifiera om vi är omfattade och anpassa våra rutiner för kontinuitet och informationssäkerhet.
Vi bedömer verksamhetens sektor, typ av tjänst och storlekströsklar. Stora och medelstora företag inom energi, transport, bank, hälsa, vatten och digital infrastruktur omfattas ofta. Vi gör en intern kartläggning mot de definierade kriterierna och vid behov kontaktar myndigheten för vägledning.
Vi måste etablera systematiskt arbete med riskhantering, informationssäkerhet och incidenthantering. Det inkluderar tekniska skydd, kontinuitetsplaner, leverantörsgranskningar, utbildning och dokumentation av policies samt regelbundna revisioner.
Vi har snabba tidslinjer för notifiering av allvarliga incidenter. Först en första rapport inom 24 timmar eller enligt nationell tillämpning, följt av uppdateringar och en slutlig analys. Rapporten ska beskriva påverkan, åtgärder och plan för återställning.
Vi ansvarar för att ledningen aktivt deltar i styrningen, tilldelar resurser och säkerställer ansvarsfördelning. Ledningen måste godkänna strategier för cybersäkerhet, följa upp efterlevnad och integrera säkerhetsarbete i verksamhetsstyrningen.
Vi måste ställa krav i avtal om säkerhet, genomföra leverantörsgranskningar och säkerställa kontinuitet i kritiska leveranskedjor. Avtalen bör innehålla incidentrapportering, revisioner och krav på incidentrespons för underleverantörer.
Vi kan få ekonomiska påföljder, där avgifter kan uppgå till betydande belopp och i vissa fall en procent av omsättningen. Myndigheter får även utökat tillsynsmandat och kan kräva åtgärder eller begränsningar i verksamheten.
Myndigheten för samhällsskydd och beredskap (MSB) har en samordningsroll och fungerar som nationell kontaktpunkt. Vi kontaktar även sektorsspecifika tillsynsmyndigheter beroende på vår verksamhet för vägledning och anmälan.
Vi rekommenderar en stegvis åtgärdsplan: identifiera om vi omfattas, gör en gap‑analys mot kraven, uppdatera policies, implementera tekniska och organisatoriska åtgärder, utbilda personal och genomföra incidentövningar. Dokumentation och kontinuerlig förbättring är avgörande.
Vi ser cybersäkerhet och fysisk motståndskraft som ett helhetsperspektiv. CER‑regelverket fokuserar mer på fysisk säkerhet och leveranskedjans motståndskraft, vilket kompletterar våra digitala skyddsåtgärder för kritisk infrastruktur.
Offentlig förvaltning får särskilda krav och sektorsmyndigheter kan utfärda föreskrifter och tillsynsuppdrag. Vi behöver samordna interna rutiner med myndighetskrav och vara beredda på inspektioner och rapportering.
Vi hänvisar till MSB:s webbplats och sektorsmyndigheter för officiella vägledningar. Vi kan också konsultera certifierade rådgivare och branschorganisationer för praktisk hjälp med implementering och utbildning.
