augusti 13, 2025|10:40 f m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi hjälper företag att förbereda sig inför det nya nis2-direktivet som träder i kraft i Sverige i början av 2025. Vårt arbetssätt sätter verksamhetsnytta och efterlevnad i centrum så att ni når både operativ och regulatorisk säkerhet.
Vi genomför systematiska bedömningar där risker identifieras, analyseras och prioriteras efter sannolikhet och konsekvens. Resultatet blir en tydlig åtgärdsplan, incidentrutiner och en rapporteringsberedskap som klarar krav på rapportering inom 72 timmar.
Vår metod bygger på etablerade ramverk som ISO 27001/27005 och NIST. Vi säkerställer dokumentation som är spårbar och revisionsbar, samt att ansvar och ledningsstöd är på plats för skydd av samhällsviktiga tjänster.
Sverige står inför ett skifte där proaktivt skydd av samhällsviktiga tjänster blir norm. Vi ser tydliga krav på regelbundna, systematiska bedömningar och proportionella åtgärder som lyfter cyberförsvaret i hela verksamheten.
Vi flyttar fokus från reaktiv åtgärd till förebyggande arbete där risk identifieras och hanteras innan incidenter inträffar. Organisationer måste utbilda personal, utse kontaktpersoner och testa rapporteringsflöden.
Direktivet träder i kraft i början av 2025 och omfattar fler sektorer. Tidig förberedelse minskar kostnader och risken för avbrott samt sanktionspåföljder.
| Sektor | Huvudkrav | Effekt på verksamhet |
|---|---|---|
| Energi | Proaktiva bedömningar och rapportering | Ökad övervakning och investering i redundans |
| Hälsa | Snabb incidentrapportering och testade rutiner | Bättre patientsäkerhet och kontinuitet |
| Transport | Tredjepartsgranskning och robust styrning | Minskad driftstörning och leveransrisk |
För exempel på implementering och praxis, se studier om implementering.
Vi definierar kontexten för varje uppdrag för att säkerställa att analysen tar fasta på verksamhetens verkliga prioriteringar. Detta ger en tydlig avgränsning som underbygger en konsekvent riskanalys och spårbar styrning.
Vi inventerar information och tillgångar och klassar dem utifrån konfidentialitet, integritet och tillgänglighet. Detta styr prioritering och skyddsnivå i hela organisationen.
Vi kartlägger processer, roller och tekniska miljöer för att bedöma hur en incident påverkar affärsflöden och kundåtaganden.
Enligt ISO 27001 kapitel 6 fastställer vi riskkriterier och toleransnivåer, utser riskägare per objekt och dokumenterar beslutsmandat.
ISO 27005 kompletterar genom att definiera kontext, hot, kontroller och sårbarheter för att kvantifiera risk och bedöma risken mot kriterierna.
| Objekt | Riskägare | Kriterier / Tolerans |
|---|---|---|
| Källsystem | IT-chef | Hög tillgänglighet, låg tolerans för avbrott |
| Kunddata | Verksamhetsägare | Strikt konfidentialitet, medium tolerans |
| Integrationer | Leverantörsansvarig | Identifiera beroenden och acceptabla risknivåer |
Vi förbereder även artefakter och loggar som bevis för revisorer och tillsynsmyndigheter, så att risken och dess hantering är transparent och revisionsbar.
Vår processtyrda metod tar ett helhetsgrepp på hot, sårbarheter och beroenden inom hela leveranskedjan. Vi arbetar praktiskt för att göra risker mätbara och hanterbara.
Vi kartlägger end-to-end och inkluderar tredje part och singulära felpunkter. Syftet är att undvika blinda fläckar i komplexa leveranskedjor.
Vi bedömer sannolikhet och konsekvens med en enhetlig skala. Bedömningen kopplas till affärseffekter som driftsstopp, dataläckage och avtalsbrott.
Risker rangordnas mot fastställda kriterier. Vi väljer proportionella åtgärder som ger hög riskreduktion per investerad krona.
Behandlingsplaner definieras med ansvariga, resurser och tidslinjer. Vi dokumenterar motiv, kontroller och kvarstående risk så att ledningen kan godkänna med full insyn.
Vårt arbetssätt kopplar standarder till tydliga steg som skapar mätbara resultat i informationssäkerhet. Vi operationaliserar teorin så att team kan upprepa processer och leverera bevisbara förbättringar.
ISO 27005 vägleder oss i kontext, tillgångsidentifiering, hot, existerande kontroller och sårbarheter. Vi skapar kalibrerade skalor för sannolikhet och konsekvens och kräver evidens för varje bedömning.
Resultatet blir en repeterbar riskanalys med klar spårbarhet från identifierad risk till vald kontroll.
Vi länkar analyserna till kapitel 6 så att riskkriterier, riskägare och behandlingsplaner dokumenteras och kan revideras över tid.
Genom att designa kontrollmiljön enligt A 5.35 och A 5.36 säkerställer vi oberoende granskning och löpande övervakning, vilket hjälper företag att uppfylla regulatoriska krav.
| Del | Sätt | Fördel för företag |
|---|---|---|
| ISO 27005 | Strukturerade arbetssteg och skalor | Repeterbarhet och tydlig spårbarhet |
| ISO 27001 K6 | Riskkriterier och ägarskap | Ledningsbeslut med dokumenterat underlag |
| NIST | Mappning till funktioner | Fulltäckande åtgärdsplan |
En tydlig process för incidentrapportering avgör hur snabbt vi återställer drift. Vi etablerar rutiner för att upptäcka, verifiera och klassificera incidenter. Målet är att agera systematiskt och inom de tidskrav som gäller.
Vi definierar trösklar för eskalering och dokumenterar steg för verifiering. Teamet samlar bevis, loggar och åtgärder i en central incidentlogg.
En utsedd kontaktperson och en backup ansvarar för intern och extern kommunikation. Vi övar regelbundet med tabletop-övningar och tekniska tester.
Rapporten innehåller händelsebeskrivning, påverkan på kritiska tjänster, vidtagna åtgärder och återställningsplan. Vi säkerställer att informationen är komplett och verifierbar.
”Snabb, tydlig och evidensbaserad rapportering är avgörande för att minimera skada och uppfylla regulatoriska krav.”
| Del | Ansvar | Leverans |
|---|---|---|
| Identifiering | Drift- & säkerhetsteam | Verifierad händelselogg |
| Klassning | Incidentansvarig | Klassificeringsnivå och eskaleringsbeslut |
| Rapportering | Kontaktperson | Fullständig rapport till tillsynsmyndighet inom 72 timmar |
För att säkra att informationssäkerhet fungerar i praktiken behöver vi system för löpande övervakning och oberoende prövning. Det handlar om att mäta hur policyer och kontroller används i verksamheten och att koppla resultat till beslut och resurser.
Vi etablerar en efterlevnadsplan som följer A 5.36. Planen mäter efterlevnad av policyer, ämnesspecifika regler och standarder.
Rapporter skickas regelbundet till ledningen så att styrningen blir transparent. Vid betydande förändringar eller incidenter schemalägger vi extra kontroller för att snabbt verifiera kontrollmiljöns effektivitet.
Oberoende granskningar planeras enligt A 5.35 med granskare som är organisatoriskt oberoende och har rätt kompetens.
Granskningsresultat leder till prioriterade åtgärder, tydligt ansvar och dokumenterad uppföljning. Vi ser också till att leverantörer och kritiska tjänster ingår i scopen för att minska externa beroenden.
”Korrigerande åtgärder eller dokumenterad acceptans av kvarstående risk måste vara tydligt förankrat i ledningens beslut.”
| Aktivitet | Ansvar | Resultat |
|---|---|---|
| Regelbunden efterlevnadsrapport | Compliance-ägare | Ledningsöversikt och beslut |
| Oberoende granskning | Extern internrevisor | Åtgärdslista med tidsplan |
| Extra kontroller vid incident | Operativt säkerhetsteam | Verifierad kontrollförmåga |
Vi kopplar efterlevnadsdata till KPI:er och riskindikatorer för beslutsstöd. För praktisk vägledning och strategier för implementation hänvisar vi till vår guide om strategier för krav och efterlevnad.
En strukturerad nulätesanalys visar var verksamheten behöver prioritera resurser och förbättringar. Vi använder resultatet för att skapa en tydlig åtgärdsplan som kopplar brister till affärsnytta och beslutsstöd.
Vi genomför en GAP- och riskanalys som kartlägger nuläget mot gällande krav. Analysen identifierar sårbarheter, hot och prioriterade risker med tydliga spårbarhetskrav.
Resultatet blir en prioriteringslista med åtgärder, ansvariga och tidsramar.
Vi specificerar tekniska och organisatoriska åtgärder som stärker detektering, skydd, respons och återhämtning för kritiska tjänster.
Regelbundna övningar och tester, inklusive red team/blue team, verifierar att rutiner fungerar i praktiken och minskar kvarstående sårbarheter.
Vi hanterar leverantörsrisker med avtalade krav, mätbara SLA:er och regelbundna kontroller. Singulära felpunkter adresseras med redundans och tester.
Förändringar kräver alltid en riskbedömning innan releaser eller arkitekturbeslut. Avslutningsvis stänger vi identifierade brister med tydligt ägarskap och rapporterar progress till ledningen.
Ett hållbart arbetssätt kräver att vi kopplar riskanalys direkt till beslut, budget och ansvar. Nis2-direktivet gör proaktiv riskhantering till ett affärskritiskt krav. Här måste ledningen prioritera åtgärder utifrån risken och dess sannolikhet.
Strukturerad analys, mätbar bedömning av sannolikhet och konsekvens samt spårbar dokumentation skapar hållbar informationssäkerhet.
En första praktisk del är en GAP-analys följd av en tydlig förbättringsplan som omsätter krav till kontroller. Robust rutiner för incidenter och rapportering inom 72 timmar skyddar tjänster och påskyndar återhämtning.
Leverantörer och beroenden måste hanteras lika rigoröst som interna processer. Vi uppmanar till nästa steg: etablera plan, fördela ansvar och starta genomförandet. Vi står redo att hjälpa er från analys till effekt.
Vi fokuserar på att skydda samhällsviktiga tjänster genom att systematiskt identifiera hot, sårbarheter och beroenden, bedöma sannolikhet och konsekvens samt prioritera åtgärder. Vårt arbete följer etablerade ramverk som ISO 27001 och ISO 27005 för att säkerställa att informationssäkerheten är robust, dokumenterad och spårbar.
Direktivet ställer högre krav på proaktivt skydd av kritiska tjänster och kräver snabb incidentrapportering samt tydligare ansvarsfördelning. Det påverkar både offentliga aktörer och företag genom att skärpa efterlevnad, stärka styrning och öka fokus på leverantörs- och tredjepartsrisker.
Proaktivt skydd innebär kontinuerlig övervakning, förebyggande åtgärder, regelbundna tester och beredskapsplaner så att vi kan minska sannolikhet och konsekvens av incidenter innan de inträffar. Det innefattar även riskbaserade investeringar och övningar för att säkerställa att rutiner fungerar i praktiken.
Företag måste kartlägga kritiska system, uppdatera rutiner, genomföra risk- och GAP-analyser samt implementera tekniska och organisatoriska åtgärder inom givna tidsramar. Vi rekommenderar tidig prioritering för att undvika brådska och för att säkerställa efterlevnad vid tillsynsgranskningar.
Vi börjar med att identifiera verksamhetens kritiska tjänster, processer och informationsvärden, kartlägger beroenden och leverantörer, samt fastställer riskkriterier och toleransnivåer. Detta ger en tydlig ram för vilka tillgångar som ska skyddas och vilka gränser som gäller för bedömningar.
Vi definierar kriterier baserade på konfidentialitet, integritet och tillgänglighet samt affärs- och samhällspåverkan. Riskägare utses per process eller system och ansvarar för beslut om åtgärder och acceptans av kvarstående risker enligt fastställda toleransnivåer.
Vi använder kombinationer av tekniska scanningar, leverantörsgranskningar, processkartläggning och intervjuer. Resultatet dokumenteras i en riskmatris där tredjepartsberoenden och singulära felpunkter särskilt markeras för att planera mitigering eller redundans.
Vi kvantifierar sannolikhet och konsekvens med standardiserade skalor och scenarioanalyser. Bedömningen väger historiska data, hotbild, sårbarheter och affärskritiska värden för att ge en prioriteringsbild som styr resurser och åtgärder.
Vi jämför kostnad, genomförbarhet och effekt av åtgärder mot risken och verksamhetens mål. Prioritering sker där åtgärder ger störst riskreduktion per investerad krona, samtidigt som vi säkerställer att kritiska tjänster når acceptabla nivåer av motståndskraft.
Kvarstående risker registreras i en beslutslogg med motiveringar, riskägare och tidsplaner. Vi upprättar formella godkännanden från ledning och styrande funktioner samt inkluderar åtgärdsplaner i kontinuerliga uppföljningsprocesser.
ISO 27005 ger oss en metodik för identifiering, analys och hantering av risker. Vi tillämpar den för att strukturera workshops, mallar för riskbedömning och för att säkerställa spårbarhet i beslut genom hela riskhanteringscykeln.
Vi integrerar riskhanteringen i ledningssystemets krav på planering och kontroll enligt kapitel 6. Kopplingen till bilaga A säkerställer att skyddsåtgärder och kontrollmål motsvarar både interna krav och extern tillsyn.
Vi implementerar övervakning, larmrutiner, snabbklassning enligt konsekvens och påverkan samt playbooks för tekniska och organisatoriska insatser. Tydlig ansvarsfördelning och kommunikationsplaner ingår för att säkerställa snabba beslut och åtgärder.
Rapporten bör beskriva incidentens art, drabbade tjänster, uppskattad påverkan, åtgärder vidtagna, tidpunkt för upptäckt och förväntad återställningstid. Vi säkerställer att ansvar och kontaktdetaljer framgår tydligt för efterföljande dialog med myndigheten.
Vi etablerar kontinuerliga kontroller, mätetal och rapporteringsrutiner som visar status för åtgärder. Regelbundna interna revisioner och ledningsgenomgångar säkerställer att eventuella avvikelser identifieras och åtgärdas snabbt.
Oberoende granskning krävs när organisationen behöver extern verifiering av styrning, riskhantering och kontroller, ofta vid större förändringar eller inför tillsynsbedömningar. Granskningen ger objektiv insikt i effektivitet och brister.
Vi kartlägger nuvarande kontroller mot krav och bästa praxis, identifierar luckor i processer, teknik och ansvar samt prioriterar åtgärder. Resultatet ger en tydlig projektplan för att nå efterlevnad och förbättrad säkerhet.
Vi rekommenderar säker nätverkssegmentering, redundans, patchhantering, accesskontroller samt utbildning, roller för incidenthantering och övningar. Valet styrs av risknivå, kostnadseffektivitet och verksamhetens kritiska beroenden.
Vi genomför leverantörsbedömningar, ställer krav i avtal, inför redundans för kritiska leverantörer och etablerar förändringshantering med tester och återställningsplaner. Detta minskar risken för att en enskild felpunkt orsakar omfattande driftstörningar.
