augusti 11, 2025|2:03 e m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi hjälper er att nå rätt nivå i cybersäkerhet genom tydliga steg från strategi till praktisk implementering. Vårt fokus är att göra regelverket begripligt och hanterbart för era tjänster och system.
Det nya nis2-direktivet trädde i kraft på EU-nivå och skärper krav på riskanalyser, ledningens ansvar och incidentrapportering. Vi visar hur dessa förändringar påverkar er dagliga verksamhet och resursprioritering.
Vi förklarar hur lagen och kommande svenska föreskrifter samspelar med unionen och vad det betyder för rapportering och tillsyn. Vår metod kopplar tekniska och organisatoriska kontroller till affärsmål.
Genom gap-analyser och konkreta åtgärdsplaner lyfter vi er informationssäkerhet utan att bromsa innovation. Vi prioriterar mätbara resultat och styrning som stödjer både compliance och drift.
Vi hjälper er att agera förebyggande så att nya säkerhetskrav inte blir ett hinder för verksamheten. Vi agerar proaktivt inför oktober 2024 och kommande föreskrifter, vilket ger er ett tydligt försprång.
Vårt erbjudande sträcker sig från tolkning av nis2-direktivet till praktisk implementering i ert dagliga arbete. Vi översätter lagstiftning och regler till konkreta beslutspunkter, ansvar och prioriteringar.
Vi identifierar vilka krav som påverkar er mest och visar hur kraven kopplas till riskreducering, affärskontinuitet och kostnadseffektivitet. Vi stöttar ledningen med styrning, utbildning och beslutsunderlag bland annat i komplexa leveransmodeller.
| Fokusområde | Vad vi levererar | Nytta för er |
|---|---|---|
| Risk och kravanalys | Prioritering av kraven och gap-analys | Minskad risk och bättre kostnadskontroll |
| Styrning och utbildning | Styrmodeller och ledningsstöd | Snabbare beslut och bättre efterlevnad |
| Operativt arbete | Processer, kontroller och rapportering | Robust drift och förberedd verksamhet |
Reglerna i det uppdaterade ramverket ändrar spelreglerna för hur verksamheter hanterar cybersäkerhet. Vi beskriver vad förändringarna betyder för er verksamhet och vilken praktisk påverkan ni kan förvänta er.
Detta nis2-direktivet trädde i kraft i januari 2023 och upphävde tidigare nis-direktivet. Reglerna utvidgar tillämpningen till flera sektorer inom europeiska unionen och höjer kraven på riskhantering och incidentrapportering.
Direktivet ställer uttryckligt ansvar på styrelse och ledning. Vi hjälper er att anpassa styrmodeller så att nivå på skydd matchar verksamhetsrisker.
Medlemsstaterna skulle införliva reglerna senast oktober 2024. I Sverige följde SOU 2024:18 och en lagrådsremiss i juni 2025.
| Fråga | Vad det betyder | Aktionsförslag |
|---|---|---|
| Sektorsomfattning | Fler sektorer måste följa lagen | Kartlägg leveranskedja och beroenden |
| Ansvar | Ledningen får tydligt ansvar | Inför rapportering till styrelse |
| Sanktioner | Högre böter vid avvikelser | Dokumentera efterlevnad och tester |
Tillämpningen av ramverket sträcker sig nu över fler sektorer och kräver tydlig avgränsning i varje verksamhet. Vi hjälper er att avgöra om ni klassas som samhällsviktiga tjänster eller som leverantör av digitala tjänster.
Digitala tjänster omfattar internetbaserade marknadsplatser, sökmotorer och molntjänster. Dessa aktörer måste bedöma risker och framför allt notifiera vid betydande incidenter.
Samhällsviktiga tjänster innefattar bland annat bankverksamhet, energi, transport, vård och digital infrastruktur. Medelstora och stora aktörer inom dessa sektorer ska vidta proportionerliga åtgärder för informationssäkerhet.
Regeländringarna inkluderar nu offentlig förvaltning på central och regional nivå, avfall/avlopp, post- och budtjänster samt rymdsektorn. Vi förtydligar hur dessa nya områden påverkas och vilka tillsynsmyndigheter som blir aktuella.
Storlekskriterier avgör om en verksamhet omfattas — ofta rör det sig om medelstora och stora enheter. Vi kartlägger om er verksamhet i unionen omfattas via filialer eller gränsöverskridande leverans och tar fram en specifik omfattningsbedömning.
Att bygga robusta åtgärder är centralt för att skydda nätverk och informationssystem. Vi etablerar riskhanteringsramverk som täcker cyberhot, sårbarheter, kontinuitet och återställning. Våra insatser kopplas direkt till era affärsprocesser och system.
Vi kartlägger hotbilden och prioriterar sårbarheter med konkreta åtgärdsplaner. Praktiska tester och återkommande genomlysningar säkerställer att kontroller fungerar i drift.
Proportionerliga åtgärder inkluderar identitetshantering, kryptering och loggning. Vi hjälper er införa tekniska och organisatoriska kontroller som är skalbara och mätbara.
Betydande incidenter ska rapporteras utan onödigt dröjsmål. Vi utformar rutiner för att rapportera incidenter till MSB/CSIRT med tydliga trösklar, tidsfrister och kommunikationsvägar. För vägledning, se det här direktivet.
Tillsynsmyndigheter kan införa föreskrifter och utdela stränga sanktioner. Böter kan bli omfattande, vilket gör snabb upptäckt och tydliga ansvarsroller avgörande. Vi stöder ledningen i att dokumentera efterlevnad genom mätetal, övningar och spårbara beslut.
Vi erbjuder en helhetslösning där analys, implementering och operativt stöd samverkar. Vårt mål är att göra efterlevnad till en naturlig del av ert dagliga arbete och er förvaltning.
Vi genomför en komplett gap-analys mot direktivet och utkast till svenska föreskrifter. Resultatet prioriterar åtgärder som ger störst riskreduktion.
Vi inför ett ledningssystem enligt ISO/IEC 27001 som binder ihop processer, kontroller och kontinuitet. Detta gör informationssäkerhet mätbar och styrbar.
Vi ställer avtalade krav på leverantörer och genomför due diligence, revisioner och uppföljning. Exempelvis särskild uppföljning av leverantörer samhällsviktiga.
Vi stärker informationssäkerhet genom utbildning för ledning och personal. Träningarna kombinerar teori med praktiska moment och mätning av mognad.
Vi etablerar end-to-end incidenthantering: detektion, klassning, kommunikation och rapporteringsflöden. Regelbundna övningar testar nätverk och informationssystem.
Praktisk styrning förenar ledning, drift och externa partners i en gemensam säkerhetskedja.
MSB är vår nationella samordningsmyndighet och kontaktpunkt mot EU. Sektorsmyndigheter ger vägledning, föreskrifter och tillsyn inom specifika sektorer.
CSIRT-nätverk underlättar informationsutbyte och snabb respons. EU-CyCLONe koordinerar vid storskaliga incidenter så att vi kan agera gemensamt över gränser.
Vi utformar avtal och SLA:er som ger kontrollrätt och spårbarhet mot leverantörer, inklusive leverantörer samhällsviktiga.
Offentlig förvaltning och privata aktörer måste hantera beroenden till infrastruktur och bankverksamhet med tydliga krav.
”Snabb och korrekt rapportering är avgörande för att begränsa skada och stödja gemensamt beslutsfattande.”
| Ämne | Vad vi gör | Resultat |
|---|---|---|
| Governance | Kopplar styrelse, ledning och operativt team | Tydliga roller och snabb eskalering |
| Avtal & leverantörer | SLA, revision och kontrollrätt | Minskad leverantörsrisk |
| Rapportering | Rutiner för att rapportera incidenter och dela information | Snabb återställning och bättre tillsyn |
Vi rekommenderar att ni tar fram en tydlig handlingsplan som kopplar styrning till operativa kontroller. Det gör att kraven i nis2-direktivet blir hanterbara och att informationssäkerhet lyfts i hela verksamheten.
Prioritera kartläggning av tjänster och leverantörer. Säkerställ att ni kan rapportera betydande incidenter till MSB och minska konsekvenser från cyberhot.
Vi stödjer er från snabb gap-analys till konkreta åtgärder. Med rätt fokus inför oktober 2024 och kommande föreskrifter får ni bättre säkerhet, lägre risk och tydligare ansvar.
Läs mer om hur vi hjälper er att uppfylla direktivet och skapa mätbar effekt — bland annat genom policy, teknik och övningar.
Vi förklarar att direktivet ställer högre krav på informationssäkerhet, ledningsansvar och incidentrapportering för organisationer som erbjuder molntjänster, marknadsplatser, sökmotorer och liknande. Kraven omfattar riskhantering, tekniska skyddsåtgärder och dokumentation som ska vara proportionella mot verksamhetens storlek och påverkan på samhällsviktig infrastruktur.
Vi rekommenderar tidig start eftersom övergången till svensk lagstiftning kräver omfattande gap-analyser, införande av processer enligt ISO/IEC 27001 och anpassning av leverantörsavtal. Att agera tidigt minskar risken för sanktioner, driftstörningar och kostsamma åtgärder vid incidenter.
Förordningen täcker en bredare grupp än tidigare, inklusive molntjänster, onlinemarknadsplatser, sökmotorer, sociala plattformar samt flera samhällssektorer som offentlig förvaltning, energi, transport, avfall och post. Om verksamheten påverkar kritisk infrastruktur inom unionen kan krav bli tillämpliga.
Vi ser att ansvar för cybersäkerhet flyttas högre upp i organisationen. Ledningen måste säkerställa styrning, resurser och kontinuerlig uppföljning av säkerhetsarbetet. Det innebär beslut om risknivåer, godkännande av säkerhetspolicyer och ansvarsfördelning vid incidenter.
Vi beskriver att allvarliga incidenter ska rapporteras snabbt till nationella myndigheter som MSB och till relevanta CSIRT-enheter. Rapporterna ska innehålla beskrivning av händelsen, påverkan, åtgärder och återställningstid. Tidsfrister och innehåll specificeras i nationella föreskrifter.
Vi förklarar att tillsynsmyndigheter kan utfärda böter, krav på förbättringsåtgärder och andra administrativa påföljder. Sanktionernas nivå är beroende av överträdelsens omfattning, verksamhetens storlek och hur snabbt vi vidtar åtgärder för att avhjälpa bristerna.
Vi genomför en metodisk genomgång av befintliga processer, kontroller och avtal mot direktivets krav och föreslagna nationella regler. Resultatet blir en prioriteringslista med åtgärder, kostnadsbedömning och tidplan för implementering.
Vi rekommenderar bland annat riskbedömningar, nätverkssegmentering, åtkomstkontroller, logghantering, sårbarhetshantering och kontinuitetsplaner. Åtgärderna ska vara proportionerliga och dokumenteras i styrande instruktioner och avtal med leverantörer.
Vi uppmanar till tydliga avtal med säkerhetskrav, due diligence vid upphandling, regelbunden revision av kritiska underleverantörer och processer för att hantera tredjepartsincidenter. Spårbarhet och ansvarsfördelning ska vara klart definierade.
Vi erbjuder skräddarsydda utbildningar för styrelser, ledning och operativ personal. Programmen täcker riskmedvetenhet, incidenthantering, rapporteringsprocedurer och praktiska övningar för att säkerställa snabba och korrekta beslut vid cyberhot.
Vi rekommenderar regelbundna tabletop-övningar och tekniska drillar som testar rapporteringsflöden, kommunikation och återställningsrutiner. Övningar avslöjar svaga länkar i processer och förbättrar samordning mellan IT, ledning och externa aktörer.
Vi använder ISO/IEC 27001 som grund för ledningssystem, kompletterar med nationella föreskrifter och branschspecifika rekommendationer. Ramverken hjälper oss att strukturera arbetet, mäta mognad och dokumentera resultat för tillsynsmyndigheter.
Vi ser att offentlig förvaltning omfattas av skärpta krav likt privata aktörer när tjänster är samhällsviktiga. Myndigheter måste säkerställa interoperabilitet, incidentrapportering och säkerhetsnivåer som skyddar kritiska tjänster och medborgarnas data.
Vi rekommenderar att prioritera kartläggning av kritiska system, gap-analys, uppdatering av avtal och implementering av snabbåtgärder för identifierade brister. Parallellt bör vi bygga styrning och rapporteringsrutiner för att möta kommande föreskrifter.
Vi förespråkar aktivt samarbete med MSB, sektorsmyndigheter, CSIRT och branschorganisationer för informationsdelning, incidentrapportering och gemensamma övningar. Sådant samarbete stärker totalförsvaret mot ökade cyberhot.
