augusti 12, 2025|2:16 e m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi hjälper organisationer att snabbt tolka det nya direktivet och höja sin cybersäkerhet till rätt nivå. EU beslutade om NIS2 i december 2022 och det ersätter NIS-lagen från 2018. För många verksamhetsutövare betyder det fler krav på riskanalyser och tydligt ledningsansvar.
MSB är nationell samordnare och kontaktpunkt mot EU. En statlig utredning (SOU 2024:18) och en lagrådsremiss i juni 2025 visar vägen mot en svensk cybersäkerhetslag, med proposition väntad hösten 2025.
Vi kopplar ihop strategi och teknik genom konkreta tjänster som kartlägger nuläget, prioriterar gap och planerar åtgärder för maximal riskreduktion per krona. Vi arbetar nära ledningen för att säkerställa tydliga roller, styrning och rutiner för drift, övervakning och incidenthantering.
Övergången från EU-beslut till svensk lagstiftning påverkar planeringen för många aktörer redan idag. Vi ser nu konkreta milstolpar som kräver tidig intern förberedelse.
nis2-direktivet antogs i EU i december 2022 och ska införas i Sverige som en ny cybersäkerhetslagen under 2025. Regeringen lämnade en lagrådsremiss i juni 2025.
SOU 2024:18 innehåller ett förslag om hur reglerna kan utformas. Berörda aktörer har lämnat remissvar och Lagrådet ska yttra sig före propositionen i höst.
| Period | Händelse | Praktisk påverkan |
|---|---|---|
| Oktober 2025 | Beslutspunkter i lagprocessen | Intern tidslinje för implementation |
| Hösten 2025 | Proposition publiceras | Förbered anmälningar och dokumentation |
| Efter proposition | Sektorsvisa föreskrifter | Detaljerade regler och tillsyn |
Vi rekommenderar att verksamhetsutövare börjar med riskbaserade åtgärder som följer befintliga standarder. Det minskar osäkerhet och ger tidiga vinster oavsett slutligt förslag.
Vi hjälper er att avgöra vilka sektorer och tjänster som omfattas och vilka roller som räknas som verksamhetsutövare. Här förklarar vi skillnaden mellan väsentliga och viktiga aktörer och visar konkreta exempel från de 18 sektorerna.
Väsentliga verksamhetsutövare får striktare tillsyn och högre sanktionsrisk. Viktiga aktörer omfattas också, men får oftast en annan tillsynsprofil.
| Sektor | Typiska aktörer | Praktisk konsekvens |
|---|---|---|
| Energi | Kraftbolag, distribution | Hög tillsyn, krav på robust drift |
| Hälso- och sjukvård | Sjukhus, kliniker | Skydd av patientdata och kontinuitet |
| Offentlig förvaltning | Kommuner, statliga myndigheter | Rapportering och sektorsspecifika regler |
| Post & budtjänster | Budföretag, logistik | Leveranskedjeberoenden kan ge täckning |
| Avfallshantering & Produktion | Renhållning, fabrik | Fysiska processer och IT-beroenden |
Vi visar hur beroenden i infrastruktur och distribution kan göra att även små organisationer omfattas nis2. Tillsammans kartlägger vi era kritiska tjänster och dokumenterar er status som verksamhetsutövare.
Vi går igenom era tjänster och leverantörsberoenden för att avgöra om ni behöver anmäla er. Processen är strukturerad och bygger på sektortillhörighet och storlekströsklar enligt direktivet.
Vi kartlägger om er verksamhet hamnar bland de 18 sektorerna som pekas ut. Vi analyserar omsättning, anställda och kritikalitet för att bedöma trösklar.
Eventuella svenska tillägg beaktas tills lagen och föreskrifterna publiceras. Därför använder vi även praxis från tidigare regler och MSB:s vägledningar som vägledande referenser.
Verksamhetsutövare måste själva anmäla sig till utsedd tillsynsmyndighet. Exakta anmälningsformulär fastställs i föreskrifter, men vi förbereder all dokumentation redan nu.
| Steg | Vad vi levererar | Praktisk effekt |
|---|---|---|
| Kartläggning | Beslutslogik och checklista | Snabbt svar på om ni omfattas |
| Myndighetsval | Identifiering och dokumentpaket | Korrekt anmälan första gången |
| Efter anmälan | RACI och kommunikationsplan | Kontinuerligt ansvar och spårbarhet |
Vi hjälper er skapa ett hållbart ramverk för informationssäkerhet som ger verksamheten trygghet. Arbetet kopplar riskanalyser till konkreta åtgärder och tydliga roller hos ledningen.
Vi etablerar ett ledningssystem som samlar styrdokument, riskkriterier och mätetal. Det gör att ni kan prioritera insatser efter affärspåverkan och höja skyddsnivå över tid.
Vi utformar en portfölj av tekniska och organisatoriska åtgärder för identitet, endpoint, infrastruktur och leverantörer. Processer för patchning, loggning och incidentrespons integreras med era tjänster.
Ledningen får beslutsstöd och utbildning för att ta aktivt ansvar. Vi inför KPI:er, revisioner och en förbättringscykel som säkrar att arbetet utvecklas i takt med hotbilden.
| Område | Vad vi levererar | Praktisk effekt |
|---|---|---|
| Ledningssystem | Policy, RACI, mätetal | Tydigt ansvar och spårbarhet |
| Tekniska åtgärder | Patch, övervakning, endpoint | Minskad exponering och snabb respons |
| Leverantörsstyrning | Due diligence, SLA-krav | Kontinuerligt riskkontroll av tjänster |
Snabb och korrekt rapportering avgör hur väl en incident hanteras och begränsas. Vi hjälper er etablera processer som levererar rätt information i rätt tid.
Verksamhetsutövare ska lämna en varning inom 24 timmar, en inledande incidentanmälan inom 72 timmar och en fullständig slutrapport inom en månad.
Om incidenten pågår efter en månad lämnas en lägesrapport och slutrapport en månad efter avslut. Enligt SOU 2024:18 rapporteras till MSB som vidarebefordrar till tillsynsmyndighet.
Kriterier för en betydande incident specificeras i kommande föreskrifter. Vi definierar tröskelvärden i er kontext.
CERT-SE kan ge rådgivning, lindra påverkan och hjälpa till med återställning. Vi förbereder samverkansrutiner så att ni snabbt kan begära och ta emot stöd.
Tillsynen blir kärnan i hur organisationer visar efterlevnad och hanterar risker framöver.
Myndigheterna agerar sektorsvis och har både stödjande roller och rätt att ge förelägganden. Vi förbereder era bevis och processer så att krav enligt föreskrifter och kommande regler möts.
Väsentliga verksamhetsutövare blir föremål för proaktiv tillsyn. Det innebär regelbundna granskningar och krav på dokumentation.
För viktiga verksamhetsutövare är tillsynen mer reaktiv och startar vid misstanke om brister. Vi hjälper er skapa en egenkontrollplan som visar kontinuerlig förbättring.
Föreslagna sanktioner kan bli betydande. Väsentliga aktörer riskerar upp till det högsta av 2% av global omsättning eller 10 miljoner euro. Viktiga kan nå 1,4% eller 7 miljoner euro.
Offentliga aktörer kan få sanktionsavgifter upp till 10 miljoner kronor. SOU 2024:18 och lagrådsremissen förtydligar ansvar inför cybersäkerhetslagen och direktivet.
| Typ | Tillsyn | Typiska sanktioner |
|---|---|---|
| Väsentlig verksamhetsutövare | Proaktiv, regelbunden granskning | Upp till 2% av global omsättning eller 10 M€ |
| Viktig verksamhetsutövare | Reaktiv vid misstanke | Upp till 1,4% eller 7 M€ |
| Offentlig organisation | Sektorsvisa kontroller | Upp till 10 MSEK i sanktionsavgift |
Slutsats
Det är dags att omvandla regelverkets krav till praktiska insatser i er verksamhet. Vi rekommenderar att ni omedelbart startar riskbaserade åtgärder, leverantörskontroller och styrningsrutiner för att möta kommande föreskrifter.
Ledningens ansvar är avgörande: vi ser till att informationssäkerhet blir en del av verksamhetens beslutsfattande och att incidentrapportering fungerar enligt 24/72-tidsramarna.
Våra tjänster täcker allt från bedömning till implementering i sektorer som offentlig förvaltning, sjukvård, produktion och distribution. Har ni frågor eller vill ha stöd, kontakta oss gärna eller läs vår sammanställning i denna djupstudie.
Vi hjälper er prioritera åtgärder så att ni minimerar fall av efterlevnadsbrist och bygger verklig motståndskraft inför lagstiftningen i höst.
Direktivet om nätverkssäkerhet har översatts till förslag i SOU 2024:18 och en lagrådsremiss förväntas följas av ny lagstiftning under 2025. Vi följer processen noga och hjälper er tolka vilka krav som träder i kraft och när.
Vi kartlägger era tjänster, sektor, omsättning och anställda mot de kriterier och storlekströsklar som föreslås. Därefter fastställer vi om ni klassas som väsentlig eller viktig verksamhetsutövare och vilken tillsynsmyndighet ni ska anmäla er till.
Totalt omfattas 18 sektorer, inklusive energi, sjukvård, avfallshantering, budtjänster och offentlig förvaltning. För sjukvård och offentlig förvaltning innebär detta skärpta krav på informationssäkerhet, incidentrapportering och leverantörsstyrning.
Vi rekommenderar riskanalyser, segmentering av nätverk, redundans i infrastruktur, leverantörsbedömningar, kontinuerliga sårbarhetsskanningar och dokumenterade rutiner för ledning och styrning. Åtgärderna anpassas efter er verksamhets risknivå.
Vid en incident ska vi först varna berörda parter snabbt, ofta inom 24 timmar, göra en initial anmälan inom 72 timmar och leverera en fullständig slutrapport inom en månad. Vi hjälper er att bedöma om en händelse är betydande och att rapportera korrekt till rätt myndighet eller CERT-SE.
En betydande incident påverkar tillgång, konfidentialitet eller integritet i sådan grad att tjänsternas leverans, patient- eller kundsäkerhet eller kritisk infrastruktur hotas. Vi använder en praktisk mall för bedömning och dokumentation som underlag för anmälan.
Leverantörer måste ingå i ert säkerhetsarbete genom kravställning, avtal och kontinuerlig granskning. Vi hjälper er skapa leverantörsavtal som tydliggör ansvar, rapportering och säkerhetskrav för att minimera tredjepartsrisker.
Tillsynen skiljer mellan väsentliga och viktiga aktörer. Myndigheter kan utfärda förelägganden och administrativa sanktioner. Vi erbjuder stöd för att förebygga brister, förbereda föreskrifter och hantera tillsynsprocesser.
Vi utvecklar praktiska rutiner för riskanalyser, incidenthantering, utbildning och kontinuerlig förbättring. Vi integrerar tekniska lösningar med ledningsprocesser och ser till att ansvar och dokumentation följer föreslagen lagstiftning.
CERT-SE erbjuder teknisk rådgivning, stöd vid återställning och analys för lärdomar. Vi koordinerar kontakter med CERT och myndigheter samt tar fram handlingsplaner för att snabbt återupprätta drift och minska påverkan.
Kraven kan medföra nya processer, ytterligare tester och längre godkännandefaser, vilket kan påverka leveranstider. Vi arbetar med er för att minimera driftstörningar och optimera tidplaner genom riskbaserade prioriteringar.
Föreskrifterna kommer att specificera tekniska och organisatoriska krav, rapporteringsformat och tillsynsprocedurer. Tydligheten ökar när myndigheterna publicerar sina föreskrifter, och vi hjälper er att tolka och implementera dem i praktiken.
Vi rekommenderar att påbörja kartläggning och riskanalyser omedelbart. Ju tidigare vi arbetar med åtgärdsplaner och leverantörsgranskning desto bättre står ni rustade inför skarpa krav och tillsyn.
