augusti 13, 2025|9:53 f m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi hjälper organisationer att förstå hur nis2-direktivet påverkar policy, processer och teknik. I Sverige införs reglerna via en ny cybersäkerhetslag (CSL) som förväntas gälla från 2025.
Våra tjänster börjar med en snabb kartläggning för att avgöra vilka verksamhetsutövare och verksamheter som omfattas. Vi beskriver tydligt vilka steg som krävs: identifiera om ni är berörda, anmälan till tillsyn, och ett systematiskt informationssäkerhetsarbete.
Vi genomför gap‑analyser, prioriterar åtgärder och planerar implementation i faser för att minimera påverkan. Vårt mål är att ni får fungerande rutiner för riskanalys, incidentrapportering och utbildning av ledning och personal.
Praktisk fördel: Vi integrerar kraven i befintliga ledningssystem så att ni undviker dubbelarbete. Vi stödjer också kontaktvägar till myndigheter och CERT‑SE vid behov.
Vi summerar nuläget kring cybersäkerhetslagen och vad som gäller för olika verksamheter på plats i Sverige.
Cybersäkerhetslagen väntas ersätta den äldre NIS‑lagen när den träder i kraft, planerat 2025. Myndigheten för samhällsskydd och beredskap (MSB) får nationellt samordningsansvar, medan sektorsvisa myndigheter ansvarar för tillsyn inom sina respektive områden.
PTS hanterar frågor inom de fem angivna sektorerna: digital infrastruktur, IKT‑tjänster, rymd, post‑ och budtjänster samt digitala leverantörer. För vissa digitala aktörer gäller redan EU:s genomförandeförordning från 7 november 2024 med specificerade riskåtgärder och rapporteringsplikt.
Vi kartlägger snabbt vilka sektorer er verksamhet matchar och hur koncernstruktur påverkar bedömningen.
Direktivet listar 18 sektorer, från digital infrastruktur och post‑ och budtjänster till offentlig förvaltning, tillverkning, distribution, hälso‑ och sjukvård och energi.
Vi går igenom bilagorna och använder PTS e‑tjänst för att avgöra om ni omfattas nis2. Resultatet visar om ni hamnar i väsentlig eller viktig kategori.
Storleksbedömning tar hänsyn till anknutna och partnerföretag enligt EU:s SMF‑definition. Vi räknar koncernens samlade resurser så att organisationens status blir korrekt.
Skillnaden påverkar tillsynsfrekvens och sanktionsregim, men kravbilden är i stora drag likartad.
Vi dokumenterar varje steg så att ni kan visa spårbarhet vid dialog med myndighet.
| Sektor | Praktisk implikation | Exempel |
|---|---|---|
| Digital infrastruktur | Prioriterade tekniska åtgärder | Datacenter, fiberleverantörer |
| Offentlig förvaltning | Höga krav på dokumentation | Kommunala IT‑tjänster |
| Tillverkning & distribution | Systematisk riskbedömning av leveranskedja | Fabriker, logistikoperatörer |
Vi hjälper er att omsätta regelkrav till praktiska riskhanteringsåtgärder som passar er verksamhet. Det innebär tydliga processer för riskanalyser, åtgärder och evidens som kan visas vid tillsyn.
Vi översätter krav till konkreta åtgärder, bland annat hotmodellering, leverantörsrisk, sårbarhetshantering och kontinuitetsplaner. För vissa digitala aktörer tar vi hänsyn till EU:s genomförandeakter och inför specifika riskhanteringsåtgärder.
Vi etablerar organisationens styrning för informationssäkerhet med policyer, standarder och testbara säkerhetsåtgärder. Vi utbildar ledningen i beslut, ansvar och hur man kopplar riskaptit till prioriterade insatser.
Vi ser till att kraven blir spårbara, testbara och proportionerliga för er verksamhet.
När en incident inträffar krävs snabba beslut och tydliga rapportvägar för att möta myndighetskrav. Vi beskriver hur tidsfristerna fungerar och vem som ska informeras i vilken ordning.
Verksamhetsutövare ska lämna en varning till MSB inom 24 timmar från kännedom. En fullständig incidentanmälan följer inom 72 timmar.
Slutrapporten ska vara inlämnad inom en månad. Om incidenten pågår lämnas en lägesrapport inom samma tidsram, och slutrapport en månad efter avslut.
En betydande incident är en händelse som orsakar eller riskerar att orsaka allvarlig driftsstörning eller ekonomisk skada.
Det kan även vara händelser som påverkar andra med betydande materiell eller immateriell skada. Vi hjälper er att definiera trösklar och beslutsmatriser för dygnet runt‑bedömning.
Gränsöverskridande incidenter kan kräva rapportering i etableringslandet och i länder där tjänster tillhandahålls.
Vi reder ut var rapport ska lämnas och samordnar kommunikation med CERT‑SE och andra organ så att ni får rätt stöd och plats för anmälan.
”Vi sätter upp era rutiner så att varning, anmälan och slutrapport levereras i tid och med fullständiga uppgifter.”
Vill ni ha praktisk hjälp och fler frågor svar kring processen, läs mer här.
Att veta vilka myndigheter som granskar er verksamhet är centralt för att möta kraven i cybersäkerhetslagen och direktivet. Vi hjälper er att förstå tillsynsbilden, vem som frågar vad och vilket bevisunderlag som krävs.
Tillsyn utövas av sektorsvisa myndigheter beroende på sektor. Exempelvis ansvarar PTS för digital infrastruktur, IKT‑tjänster, rymd, post‑ och budtjänster samt digitala leverantörer.
Andra myndigheter är Energimyndigheten, Transportstyrelsen, Finansinspektionen, IVO, Läkemedelsverket, Livsmedelsverket och länsstyrelser. Vi kartlägger vilka sektorer som berör er och vilka frågor som sannolikt kommer.
Väsentliga verksamhetsutövare kan drabbas av sanktionsavgifter upp till det högsta av 2 % av global omsättning eller 10 miljoner euro. För viktiga verksamhetsutövare är gränsen upp till 1,4 % eller 7 miljoner euro.
Offentliga verksamhetsutövare kan få upp till 10 miljoner kronor. Viktiga aktörer omfattas i huvudsak av reaktiv tillsyn, medan väsentliga får mer proaktiv granskning.
”Vi vägleds av tydlig dokumentation och snabba, faktabaserade svar vid myndighetsdialog.”
Vi erbjuder ett paket av tjänster som tar er från bedömning till fullt genomfört efterlevnadsarbete. Våra insatser är praktiska, mätbara och anpassade efter verksamhetens behov.
Vi genomför en snabb gap‑analys mot direktivets krav och tillämpliga genomförandeakter för berörda leverantörer. Prioritering sker efter riskreduktion och affärspåverkan.
Vi inför kontroller end‑to‑end: policy, processer, tekniska lösningar och utbildning av ledningen och personal. Alla åtgärder dokumenteras så att de är testbara och mätbara.
För post- budtjänster och digital infrastruktur levererar vi åtgärder med fokus på driftskontinuitet, detektion och rapporteringsbarhet. Vi tar även fram kravbild för digitala leverantörer som moln och datacenter.
Vi etablerar löpande förvaltning av risk, incidenthantering och rapporteringsstöd samt stöd i leverantörsstyrning och due diligence mot underleverantörer.
Vill ni veta mer? Kontakta oss för en initial genomgång eller läs mer om våra tjänster.
Som avslutning pekar vi på konkreta steg för att göra regelverket till en styrka för er verksamhet. nis2-direktivet och cybersäkerhetslagen är en möjlighet att förbättra styrning, infrastruktur och informationssäkerhet, inte bara en efterlevnadsövning.
Direktivet omfattar många sektorer, bland annat offentlig förvaltning, tillverkning, distribution samt post- och budtjänster. Vi rekommenderar riskbaserade åtgärder som integreras i förvaltning och operativt arbete.
Vi hjälper verksamhetsutövare att förstå kraven, etablera incidentrapportering vid betydande incidenter och dokumentera åtgärder. Kontakta oss så tar vi fram en praktisk färdplan för er organisation, från bedömning till hållbar förbättring.
De nya kraven ställer högre krav på informationssäkerhet och riskhantering för många företag inom digital infrastruktur, post- och budtjänster, tillverkning och offentlig förvaltning. Vi hjälper er bedöma vilka regler som gäller för er och vilka åtgärder som krävs för att uppfylla efterlevnad, inklusive tekniska lösningar, policyer och utbildning.
Flera sektorer inkluderas, bland annat digital infrastruktur, post- och budtjänster, distribution och offentlig förvaltning. Vi går igenom era verksamhetsprocesser, leverantörskedjor och tjänsteutbud för att avgöra om ni räknas som väsentlig eller viktig aktör och vilka skyldigheter som följer.
Vi använder etablerade storlekskriterier och koncerntänk för att avgöra om ni faller under väsentlig eller viktig kategori. Det inkluderar omsättning, antal anställda, kritikalitet i samhällsfunktioner och beroende av digitala leverantörer. Vårt team genomför en gap-analys och levererar en tydlig rekommendation.
Ni behöver införa systematiska åtgärder som sårbarhetshantering, nätverkssäkerhet, incidentberedskap, leverantörsstyrning och kontinuerlig övervakning. Vi hjälper er prioritera åtgärder utifrån affärspåverkan och implementerar tekniska och organisatoriska lösningar.
Ledningen måste integrera informationssäkerhet i styrningen, beslutsfattandet och resurstilldelningen. Vi stödjer styrelser och ledningsgrupper med policyutformning, rapporteringsrutiner och utbildningar för att säkerställa ansvarstagande och efterlevnad.
Vid en misstänkt betydande incident ska ni i regel utfärda en varning snabbt, göra en formell anmälan inom 72 timmar och lämna en slutrapport inom en månad. Vi hjälper er etablera rutiner och mallar för snabb och korrekt rapportering till berörd tillsynsmyndighet.
Bedömningen baseras på faktorer som påverkan på tillgänglighet, integritet och konfidentialitet, påverkan på användare eller kunder samt spridning över gränser eller sektorer. Vi erbjuder en praktisk bedömningsmodell och tränar ert team i incidentklassificering.
Om flera jurisdiktioner berörs måste ni samordna rapportering och kommunikation med respektive myndighet. Vi bistår med internationell koordinering, juridisk vägledning och kommunikationsstöd för att säkerställa konsekvent hantering.
Tillsyn ligger hos sektorsvisa myndigheter och dataskyddsmyndigheter beroende på verksamhet. Dessa har mandat att genomföra granskningar, krav på förbättring och i vissa fall sanktioner. Vi förbereder er för tillsynsbesök, genomför mock-audits och skapar åtgärdsplaner.
Sanktionsnivåerna varierar efter om verksamheten är väsentlig eller viktig och efter överträdelsens allvar. Konsekvenser kan inkludera förelägganden, böter eller andra sanktioner. Vi kartlägger riskexponeringen och hjälper er minimera sanktionsrisken genom snabba åtgärder.
Vi analyserar era nuvarande rutiner, tekniska lösningar och styrdokument mot gällande krav och identifierar brister. Resultatet blir en prioriterad åtgärdsplan med tidplan och kostnadsuppskattning för att nå efterlevnad.
För dessa sektorer fokuserar vi på säker leveranskedja, kryptering av data, åtkomstkontroller, fysisk säkerhet och redundans i infrastruktur. Vi skräddarsyr åtgärder som matchar er verksamhets specifika risker och verksamhetskritiska system.
Vi implementerar processer för kontinuerlig riskbedömning, patchhantering, loggövervakning och övningar. Dessutom erbjuder vi löpande stöd för incidenthantering, rapportering och leverantörskontroll för att bibehålla efterlevnad.
Vi tar fram policydokument, mallar för incidentrapportering, rutiner för leverantörsstyrning och håller utbildningar för personal och ledning. Våra program säkerställer att alla nivåer i organisationen förstår sina roller och ansvar.
Tiden till effekt varierar beroende på åtgärdens art och organisationens komplexitet. Tekniska förbättringar kan ge snabba vinster, medan kulturförändringar och ledningsstyrning tar längre tid. Vi levererar tydliga milstolpar och uppföljning för att mäta framsteg.
Vi kartlägger era leverantörer, genomför due diligence, ställer krav i avtal och övervakar leverantörsprestanda. Målet är att minimera risker i leverantörskedjan och säkerställa att kritiska tjänsteleverantörer uppfyller säkerhetskrav.
Vi erbjuder fördjupade guider, mallar och konsultstöd för granskning och efterlevnad. Kontakta oss för en inledande bedömning så tar vi fram en plan som matchar er verksamhet och de krav som gäller.
