augusti 12, 2025|5:07 e m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi hjälper företag att planera och utföra en komplett NIS2 riskanalys som ger ett tydligt beslutsunderlag för organisationens ledning och drift.
Direktivet ersätter tidigare regler och väntas införas i svensk lag med nya krav på riskhantering och åtgärder. Vi guidar er genom vad som gäller för er roll i leveranskedjan och hur ni kan skydda samhällsviktiga tjänster.
Vår metod kartlägger nuläget inom cybersäkerhet, processer, tekniska kontroller och leverantörsberoenden. Vi identifierar gap och ger konkreta rekommendationer kopplade till kostnad/nytta och proportionalitet.
Resultatet blir en spårbar och revisionsbar analys som förankrar arbetet i styrdokument och gör det möjligt att snabbt gå från risk till åtgärd.
Införandet i Sverige förändrar hur vi arbetar med informationssäkerhet samhällsviktiga digitala tjänster. EU beslutade om nis2-direktivet i december 2022 och Sveriges process fortsätter via SOU 2024:18 och en lagrådsremiss från juni 2025.
Propositionen väntas hösten 2025 när lagstiftningen träder kraft. Det betyder skärpta krav på ledningens deltagande och fler sektorer blir berörda.
Organisationer och aktörer måste avgöra om de ska omfattas och anpassa sin process för incidentrapportering. Verksamhetsutövare ska identifiera risker och rapportera incidenter som kan orsaka betydande störningar.
MSB har nationellt samordningsansvar och har hållit webbinarium 2024–2025 för att förklara kraven. Vi rekommenderar att företag agerar proaktivt.
”Tidig förberedelse minskar påverkan vid en incident och gör efterlevnad mätbar.”
Vi hjälper er kartlägga vilka aktörer och sektorer som påverkas av de nya reglerna och vad det betyder för er verksamhet.
Verksamhetsutövare finns inom 18 definierade sektorer. Exakta kriterier för vilka som ska omfattas i Sverige fastställs i kommande reglering.
För varje sektor ansvarar en eller flera tillsynsmyndigheter. Dessa myndigheter kan utfärda föreskrifter och ge vägledning om vilka krav som gäller.
MSB har samordningsansvar nationellt och fungerar som kontaktpunkt mot EU. Det innebär att tillsynsmyndigheterna samverkar med MSB vid tolkning och tillsyn.
Här visar vi praktiska steg för att gå från identifiering av hot till genomförbara åtgärder i er organisation. Vår metod är repeterbar och anpassad efter ert scope, era tjänster och organisationens behov.
Vi kartlägger hotaktörer, hotvektorer, sårbarheter och beroenden, inklusive tredjepartsleverantörer. Detta visar vilka scenarier som kan störa verksamheten.
Vi bedömer sannolikhet och påverkan kvantitativt och kvalitativt. Varje incident‑scenario kopplas till verksamhetskritikalitet för att prioritera insatser.
Åtgärder väljs utifrån proportionalitet, kostnadseffektivitet och faktisk riskreducering. Vi fokuserar på de säkerhetsåtgärder som hanterar högst risk först.
Vi dokumenterar metod, antaganden och beslut så att styrdokument och revisionsspår blir tydliga. Materialet kan användas av verksamhetsutövaren vid dialog med tillsyn och vid incidentrapportering.
Vi integrerar ramverk som ISO 27001 och NIST för att göra processen robust. Genom KPI/KRI och återkommande översyn säkerställer vi att lärdomar från incidenter uppdaterar arbetet.
Ledningen måste aktivt visa styrning och resurstilldelning för att informationssäkerhet ska bli en del av verksamhetens vardag. Vi hjälper er skapa tydliga beslutsvägar så att styrelse, VD och operativ ledning kan visa uppsikt och ansvar.
Vi definierar vilka roller som bär ansvar i organisationen och hur verksamhetsutövare och affärsägare samverkar med CISO/ISO.
Utbildning och regelbundna scenariobaserade övningar säkerställer att ledning och personal vet sina uppgifter vid incidenter.
Vi översätter kraven till konkreta styrdokument: policy, riktlinjer och processer som fungerar i vardagen.
Dokumentationen kopplar åtgärder till risker och budget, och gör det enkelt att visa efterlevnad för tillsynsmyndigheter.
Vi hjälper er fastställa mätbara mål och nyckeltal, bygga en internkontrollmodell och planera långsiktig kompetensförsörjning.
För vägledning om lagstiftning och myndighetsroll rekommenderar vi att ni läser mer hos MSB:s samlade information.
När vi översätter identifierade risker till konkreta åtgärder fokuserar vi på att stärka både teknik och processer i er verksamhet.
Lämpliga tekniska och organisatoriska säkerhetsåtgärder
Vi prioriterar åtgärder som ger störst effekt för era tjänster. Det handlar om identitets- och åtkomststyrning, sårbarhetshantering, segmentering, loggning/SIEM, EDR/XDR samt backup och återställningstest.
Vi etablerar en enkel process för att upptäcka, klassificera och åtgärda incidenter. Roller som ledare, teknisk stöd, juridik och kommunikation tydliggör vem som gör vad.
Allvarliga incidenter måste anmälas inom 72 timmar. Vi förbereder era mallar för vilka data som krävs och kontaktvägar till tillsynsmyndighet.
Regelbundna övningar tränar människor, processer och verktyg. Vi definierar mätetal för tid till upptäckt, tid till åtgärd och påverkan så att förbättringar blir mätbara.
Vad vi levererar
| Del | Åtgärd | Ansvar | Mätning |
|---|---|---|---|
| Upptäckt | SIEM, EDR | SOC / IT | Tid till upptäckt |
| Klassificering | Incidentkategori & påverkan | Incidentledare | Tid till klass |
| Åtgärd | Containment & återställning | Teknik & leverantör | Tid till åtgärd |
| Rapportering | 72h anmälan & uppföljning | Jur & ledning | Fullständiga rapporter |
Tillsynens roll avgör hur snabbt avvikelser upptäcks och åtgärdas i varje sektor. För varje sektor finns en eller flera tillsynsmyndigheter som ger vägledning, utfärdar föreskrifter och genomför inspektioner.
MSB har ett nationellt samordningsansvar och är kontaktpunkt mot EU. Tillsynsmyndigheterna ansvarar för att tolka och tillämpa kraven i sin sektor.
Vi förklarar hur tillsynsmyndigheten i er sektor arbetar och hur roller fördelas mellan aktörer och tillsynsmyndigheterna.
Föreskrifter kommer att rikta in sig på riskarbete, incidentrapportering och konkreta säkerhetsåtgärder. MSB har hållit webbinarium 2024–2025 för att förklara status och förväntningar.
Vi sammanfattar vad som väntas och hur ni kan ligga steget före genom dokumentation och testade processer.
Vid brister kan tillsyn reagera med förelägganden, anmärkningar eller sanktionsavgifter. Förslagen visar att avgifterna sannolikt blir högre i den nya lagen.
Vi hjälper verksamhetsutövare att organisera ansvar och visa ledningens engagemang för att minska risken för påföljder.
| Sektor | Tillsynsmyndighet | Typ av uppföljning | Vanliga krav |
|---|---|---|---|
| Energiförsörjning | Energimyndigheten | Inspektion & granskning | Kontinuitetsplaner, tekniska kontroller |
| Hälso- och sjukvård | Socialstyrelsen | Granskning & krav på rapportering | Incidentrapportering, patientdatahantering |
| Finansiella tjänster | Finansinspektionen | Revisionskontroller | Loggning, åtkomstkontroller, återställningstest |
| Transport | Trafikverket | Kontinuerlig tillsyn | Säkerhetsåtgärder, leverantörsberoenden |
Vi ser CER och cybersäkerhetsreglerna som två delar i samma mål: att öka motståndskraften för kritiska tjänster. Tillsammans täcker de både tekniska och organisatoriska aspekter som krävs för att värna kontinuitet i viktiga verksamheter.
CER kräver att kritiska verksamhetsutövare genomför riskbedömningar och implementerar proportionerliga tekniska, säkerhetsmässiga och organisatoriska åtgärder. Bakgrundskontroller för personal ingår som del av åtgärdsportföljen.
Tillsynsmyndigheter identifierar vilka verksamhetsutövare som är kritiska utifrån om de tillhandahåller samhällsviktiga tjänster och finns i kritisk infrastruktur. Fokus ligger på verksamheter där en incident kan ge betydande störande effekter.
En praktisk skillnad är tidpunkten för rapportering: direktivet kräver rapportering inom 72 timmar, medan CER kräver en första rapport till MSB inom 24 timmar vid betydande störningar.
”Samarbete mellan regelverken minskar dubbelarbete och gör incidentrapportering mer effektiv.”
Vi hjälper er strukturera ett gemensamt program så att samma riskbedömningar och åtgärder uppfyller båda regelverken. På så vis minskar ni dubbelarbete och säkrar att underlag till lagen och tillsynsmyndighet är konsekventa.
Avslutningsvis ger vi en tydlig färdplan för hur ni snabbt omsätter kraven i direktivet till konkreta åtgärder som skyddar drift och affärsverksamhet.
Vi ser att många företag och organisationer vinner på att starta med en strukturerad gap‑ och riskbedömning. Den visar vad i er verksamhet som är mest sårbart och vilka delar som måste prioriteras.
Verksamhetsutövare bör samordna arbete med CER där det är relevant för att få en heltäckande bild av motståndskraft. För praktisk vägledning, läs mer.
Vi hjälper er att planera, genomföra och följa upp så att införandet av lagen blir effektivt och proportionerligt.
Direktivet ställer krav på att samhällsviktiga digitala tjänster skyddas mot störningar. Vi ser riskanalys som navet i arbetet: den identifierar hot, bedömer påverkan på kritiska processer och styr val av proportionerliga säkerhetsåtgärder. Genom en strukturerad analys kan vi prioritera resurser och visa för tillsynsmyndigheten hur vi minskar störningsrisker.
Lagstiftningen omfattar flera sektorer som energi, transport, hälso- och sjukvård, finans och digital infrastruktur. Både leverantörer av samhällsviktiga digitala tjänster och kritiska verksamhetsutövare kan omfattas. Vi hjälper till att kartlägga om just er organisation faller inom tillämpningsområdet och vilka tillsynsmyndigheter som gäller.
Vi börjar med att kartlägga era kritiska tillgångar, beroenden och processer. Därefter bedömer vi hotbilder, sårbarheter och konsekvenser vid störningar. Metoden kombinerar tekniska tester, leverantörsanalys och verksamhetsintervjuer för att få ett helhetsperspektiv som underlag för åtgärder.
Vi använder en enkel, transparent modell där vi graderar sannolikhet och påverkan utifrån verksamhetskritikalitet. Bedömningen tar hänsyn till tekniska faktorer, affärskritiska beroenden och möjliga följdverkningar för användare och samhället. Resultatet prioriterar vilka risker som kräver omedelbara insatser.
Vi föreslår åtgärder utifrån målbilden för motståndskraft och kostnadseffektivitet. Prioritering sker efter riskreducerande effekt och genomförbarhet. Åtgärder kan vara tekniska, organisatoriska eller relatera till leverantörskedjan och kommer dokumenteras så att spårbarhet och beslutssupport till tillsynsmyndigheten finns på plats.
Dokumentationen bör innehålla riskbedömningar, beslut om åtgärder, ansvarsfördelning samt uppföljningsplaner. Vid incidenter krävs rapporter med händelsebeskrivning, påverkan, åtgärder och lärdomar. Vi hjälper till att strukturera material så att det uppfyller formella krav och ger tydlig spårbarhet.
Ledningen behöver aktivt ta ansvar genom styrdokument, tillsätta roller och avsätta resurser. Vi stödjer styrningsmodeller, utbildningar och rapporteringsrutiner som gör informationssäkerhet till en del av affärsstyrningen. Regelbunden uppföljning och ledningsrapportering visar efterlevnad.
Rekommendationer omfattar bland annat segmentering, åtkomstkontroll, patchhantering, backup- och återställningsrutiner, leverantörsgenomgångar samt incidentplaner. Organisatoriskt föreslår vi tydliga roller, övningar och kommunikationsrutiner för snabb respons och lärande efter incidenter.
Praktisk incidenthantering inkluderar upptäckt, initial bedömning, åtgärd, återställning och efterhandsanalys. Vi rekommenderar regelbundna övningar som testar tekniska rutiner, beslutsvägar och extern kommunikation. Övningarna minskar tid till återställning och förbättrar samverkan med myndigheter och leverantörer.
Incidentrapportering kräver att allvarliga störningar anmälas inom fastställda tidsramar och med specificerat innehåll: händelseförlopp, påverkan och vidtagna åtgärder. Tillsynsmyndigheterna anger detaljerad vägledning, och vi hjälper er att utforma interna rutiner för snabb och korrekt rapportering.
Tillsynsmyndigheter kan lämna förelägganden, utfärda anmärkningar eller besluta om sanktionsavgifter vid allvarliga avvikelser. Vi bistår vid förberedelse inför tillsyn, revisioner och vid uppföljning så att rätt åtgärder dokumenteras och implementeras för minskad risk för påföljder.
Regelverken kompletterar varandra genom att ställa krav på både tekniska åtgärder och organisatoriska kontroller, inklusive personalrelaterade säkerhetsåtgärder. Vi hjälper till att tolka kraven, införa lämpliga bakgrundskontroller och integrera dem i era rutiner för att uppnå helhetssäkerhet.
Vi rekommenderar en cyklisk process med regelbunden översyn av riskbedömningar, leverantörsrelationer och tekniska kontroller. Genom kontinuerliga tester, incidentuppföljning och ledningsgranskningar säkerställer vi att rutiner anpassas i takt med nya hot och förändrade affärsbehov.
