augusti 12, 2025|4:54 e m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi går igenom vad nis2-direktivet betyder för svensk informationssäkerhet och cybersäkerhet. Direktivet, beslutat av EU i december 2022, ersätter NIS från 2018 och skärper krav på riskanalyser och ledningens deltagande.
Vår guide förklarar praktiska steg för organisationer som levererar samhällsviktiga tjänster. Vi visar hur ansvar fördelas mellan MSB och sektorsvisa tillsynsmyndigheter.
De viktigaste förändringarna handlar om utökad omfattning till fler sektorer, skärpt ledningsansvar samt tydligare krav på rapportering och säkerhetsåtgärder.
Vi ger också en överblick av tillsyn och sanktionsramar så att ni får en realistisk bild av vad efterlevnad kommer kräva av er organisation framöver.
Vi redogör här för hur det nya direktivet stärker Sveriges motståndskraft mot digitala hot. Målet är att höja den gemensamma lägstanivån för skydd av nät- och informationssystem i samhällsviktiga verksamheter.
Genom skarpare regler och enhetliga krav förbättras både förebyggande arbete och förmågan att upptäcka incidenter. Vi ser tydliga ramar för riskhantering, incidentrapportering och styrning.
MSB agerar som nationell samordnare och kontaktpunkt mot EU. Sektorsvisa tillsynsmyndigheter vägleder och utövar tillsyn inom sina områden. Detta ökar möjligheten till effektivt samarbete och snabb respons vid hot.
Införlivandet i svensk lagstiftning pågår med SOU 2024:18 som underlag, följt av lagrådsremiss och väntad proposition. Vi betonar att insatser kräver helhetsstyrning, utbildning och kontinuerligt förbättringsarbete.
Här förklarar vi vad det uppdaterade direktivet innebär för svenska aktörer och vilka steg som väntar i lagstiftningsprocessen.
NIS2 bygger vidare på det tidigare ramverket för nätverks- och informationssäkerhet från 2018. Kraven skärps eftersom hotbilden ökar i både omfattning och kraft.
I Sverige lades SOU 2024:18 fram som förslaget till genomförande. Regeringen skickade en lagrådsremiss i juni 2025. Efter Lagrådets yttrande väntas en proposition hösten 2025.
Det ger organisationer ett tydligt planeringsfönster för att synka intern governance och resurser, bland annat inför viktiga milstolpar i oktober och senare under året.
MSB får ett nationellt samordningsansvar och fungerar som kontaktpunkt mot EU. Sektorsvisa tillsynsmyndigheter utvecklar föreskrifter och utövar tillsyn.
För detaljer om hur reglerna påverkar försvars- och säkerhetsföretag, se vår sammanställning här: Hur NIS2 och CER påverkar försvars- och.
Vi hjälper er att avgöra vilka aktörer som omfattas och varför omfattningen har utvidgats.
Direktivet täcker fler sektorer och fler nivåer inom offentlig förvaltning. Det kan gälla statliga myndigheter, regioner och kommuner.
Fler aktörer som levererar samhällstjänster och kritiska tjänster blir därmed berörda.
En vanlig EU-tröskel är fler än 49 anställda och över 10 miljoner euro i omsättning eller balansomslutning.
Men betydelsen av er verksamhet och era informationssystem kan också avgöra om ni omfattas.
Hela leveranskedjan kan påverkas. Exempelvis kan tillverkare och operatörer i energisektorn behöva följa samma krav.
”Verksamhetsutövare måste identifiera sin tillämplighet och anmäla sig till relevant myndighet.”
Vi visar konkreta metoder för att integrera riskhanteringsåtgärder i er dagliga styrning.
Vi bygger ett ledningssystem för informationssäkerhet som kopplar riskanalyser till prioriterade åtgärder. Analysen ska vara regelbundet uppdaterad och proportionerlig mot verksamhetens storlek.
Vi ställer krav på leverantörer genom avtal, mätbara kontroller och revision. Leveranskedjan måste spåras och följas upp för att minska tredje parts-risk.
Praktiska kontroller omfattar segmentering, patchhantering, backup och logging. Dessa åtgärder ska samspela för att ge robust säkerhet.
Ledningen måste utbildas, övervaka genomförande och fatta beslut med kraft. Resursbeslut ska dokumenteras och följas upp.
”Ett tydligt dokumenterat system visar hur kraven omsätts i praktiken.”
| Kontrolltyp | Syfte | Exempel |
|---|---|---|
| Teknisk | Förebygga intrång | Segmentering, patch |
| Organisatorisk | Styrning och ansvar | Policy, utbildning |
| Administrativ | Uppföljning | Avtal, revision |
När en incident inträffar krävs snabba beslut och tydliga rapportflöden för att begränsa skadan. Vi beskriver hur initial rapport ska ske och vilka steg som följer.
Initial rapportering ska lämnas inom 24 timmar. Därefter krävs löpande uppföljning med fakta, påverkan och åtgärder.
Vi rekommenderar klart definierade roller så att information når tillsynsmyndighet och ledning utan fördröjning.
En betydande störning bedöms utifrån påverkan på samhällstjänster, omfattning och varaktighet. Sektorsvisa föreskrifter preciserar ofta gränsvärden.
Tillsynsmyndigheter och MSB ger vägledning, genomför granskningar och kan fatta beslut om föreläggande eller anmärkning.
Sanktionsavgifter höjs enligt förslaget och kan i vissa fall röra sig från 5 000 till flera miljoner kronor. Vi arbetar proaktivt för att minimera denna risk.
”Ett defensibelt kontrollramverk minskar sannolikheten för brister och därmed risken för sanktioner.”
Vi beskriver hur CER och det uppdaterade ramverket bildar en gemensam grund för fysisk och digital motståndskraft.
Medlemsstaterna ska peka ut aktörer inom energi, transport, bank, FMI, hälso- och sjukvård, vatten, digital infrastruktur, offentlig förvaltning, rymd och livsmedel. Identifieringen styr vilka som måste följa nya regler.
Vi rekommenderar att organisationer dokumenterar kritikalitet med tydliga kriterier och ansvar.
Kritiska verksamhetsutövare ska göra allriskbedömningar och vidta tekniska, organisatoriska och säkerhetsmässiga åtgärder. Det inkluderar befattningsanalyser och bakgrundskontroller för nyckelpersoner.
”Förstklassig riskbedömning förenar fysisk skyddsnivå med cyberskydd för att minska total sårbarhet.”
| Område | Typ av åtgärd | Exempel |
|---|---|---|
| Fysisk | Åtkomstkontroller | Passersystem, bevakning |
| Digital | Informationssystem | Nätsegmentering, loggning |
| Organisatorisk | Förvaltning | Befattningsanalys, bakgrundskontroll |
Regelverken samverkar för att skapa ett enhetligt ramverk. Rapportering enligt CER koordineras med incidentprocesser så att första notis når MSB inom 24 timmar utan dubbelarbete.
Vi ser stort värde i samarbete mellan tillsynsmyndigheter. Gemensam styrmodell spar tid och stärker kontinuitet i förvaltningen.
Här presenterar vi vårt arbetssätt för att omvandla krav till konkreta åtgärder och tydliga milstolpar. Vi kombinerar analys, utbildning och operativt stöd så att er verksamhet får hållbara resultat.
Vi genomför en systematisk gap-analys mot gällande regelverk och översätter fynd till en prioriterad åtgärdsplan. Varje åtgärd får ansvarig, mål och tidsram.
Resultatet är en tydlig roadmap med milstolpar som gör arbetet spårbart inför tillsyn och revision.
Våra utbildningsprogram riktar sig till styrelse, ledning och nyckelroller. Vi tränar både beslutsfattare och operativ personal.
Genom att integrera styrning, processdesign och mätetal stödjer våra tjänster långsiktig förbättring.
Vi hjälper er att säkra leverantörskedjan med avtal, säkerhetsbilagor och tredjepartsgranskningar. Kontinuitetsplaner säkerställer leverans vid störningar.
”En prioriterad åtgärdsplan gör efterlevnad hanterbar och mätbar.”
Sammanfattningsvis bör organisationer se förändringarna som ett tillfälle att stärka både processer och ledarskap kring cybersäkerhet.
Vi rekommenderar att ni först kartlägger om ni omfattas och genomför en gap-analys. Därefter definierar ni prioriterade åtgärder, ansvar och en hållbar förvaltning.
Bygg robusta processer för incidenter, rapportering och uppföljning som fungerar i praktiken. Integrera leverantörskedjor och informationssystem för att minska risk.
Använd den nationella tidslinjen — inklusive oktober och hösten 2025 — för att låsa resurser och beslut. Vi ser att nis2-direktivet och CER ger kraft att skapa en enhetlig nivå över fler sektorer.
Ge programmet kraft genom tydligt ledningsmandat, mätbara mål och löpande förbättring. Då blir informationssäkerhet och cybersäkerhet varaktiga affärsfördelar.
Den uppdaterade lagstiftningen skärper krav på informationssäkerhet för fler sektorer och offentlig förvaltning. Vi ser utökade skyldigheter för nätverks- och informationssystem, lägre tröskelvärden för vilka som omfattas, och större fokus på leverantörskedjan. Organisationer måste bedöma sin verksamhets betydelse, storlek och beroende av kritiska system för att avgöra om de omfattas.
Vi rekommenderar ett systematiskt arbetssätt: regelbundna riskanalyser, tekniska och organisatoriska kontroller, incidentberedskap och dokumentation av beslut. Åtgärder bör inkludera åtkomstkontroll, kryptering, patchhantering, kontinuitetsplaner och leverantörsbedömningar. Ledningen måste också visa styrning och resurser för informationssäkerhet.
Vid betydande incidenter ska initial rapport lämnas inom 24 timmar till relevant tillsynsmyndighet, följt av kompletterande uppgifter. Rapporter ska beskriva påverkan, åtgärder, tidslinje och kvarvarande risker. Vi hjälper till att etablera processer för snabb upptäckt, intern eskalering och formell anmälan.
Kraven innebär att vi måste kartlägga leverantörer, ställa säkerhetsvillkor i avtal, genomföra leverantörsgranskningar och följa upp åtgärder. Underleverantörer som hanterar kritiska system omfattas ofta indirekt, varför krav på kontinuitet och revisionsmöjligheter bör inkluderas i avtal.
Ledningen har ansvar för styrning, resurstilldelning och att säkerhetsarbetet integreras i verksamheten. Vi ser krav på utbildning, beslutsloggning, övervakning av säkerhetskontroller och regelbunden rapportering till styrelse eller ledning för att visa efterlevnad.
Tillsynsmyndigheter får större befogenheter att granska och ålägga sanktioner. Konsekvenser kan vara sanktionsavgifter, ålägganden eller krav på förbättringsplaner. Proaktivt arbete med riskreducering, dokumentation och rapportering minskar sannolikheten för ingripanden.
De kompletterar varandra i ett gemensamt ramverk för motståndskraft. CER fokuserar ofta på fysisk säkerhet och kritisk infrastruktur, medan det nationella regelverket kopplar samman krav för digital och fysisk säkerhet. Vi rekommenderar samordnade riskbedömningar för att säkerställa överensstämmelse på alla nivåer.
Dokumentation bör omfatta riskanalyser, säkerhetspolicyer, incidentrapporter, leverantörsavtal, utbildningsbevis och revisionsspår. Kontinuerlig uppdatering och versionhantering är viktigt för att visa att kontrollerna fungerar över tid.
Starta med en gap-analys och mognadsbedömning för att identifiera brister mot kraven. Prioritera högre risker, skapa en åtgärdsplan med tydliga ägare och tidsfrister, och utbilda ledning samt personal. Vi erbjuder tjänster för kartläggning, riskbedömning och implementering av kontroller.
Grundläggande åtgärder som nätsegmentering, multifaktorautentisering, regelbunden patchning, säkerhetsövervakning och säkerhetskopiering ger stor effekt. Komplettera med sårbarhetsscanning, intrångsdetektion och kryptering av känsliga data.
Mindre företag kan omfattas beroende på sektor och kritikalitet. Vi förespråkar proportionerliga åtgärder; bemötandet ska vara skalbart och kostnadseffektivt. En riskbaserad strategi hjälper mindre aktörer att fokusera på det mest kritiska.
Regelbunden utbildning i informationssäkerhet, incidenthantering och leverantörsrutiner är ett krav. Vi rekommenderar återkommande simuleringar av incidenter och målgruppsanpassade kurser för att höja den operativa motståndskraften.
Identifiera affärskritiska processer, beroenden och effekter vid störning. Bedöm konsekvenser för tillgänglighet, integritet och konfidentialitet. Vi använder strukturerade metodiker för att prioritera system utifrån verksamhetens behov.
Ja, men krav på leverantörsstyrning, dataskydd och driftssäkerhet kvarstår. Vi rekommenderar detaljerade avtal, granskningar av molnleverantörens säkerhet och beredskapsplaner för driftavbrott eller dataåtkomstproblem.
Myndigheter som MSB publicerar vägledningar och sektorsspecifika föreskrifter. De erbjuder också stöd i form av rekommendationer och kontaktpunkter för tillsynsfrågor. Vi hjälper organisationer tolka vägledningarna och omsätta dem i praktiska rutiner.
