augusti 13, 2025|9:51 f m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi guidar företag och organisationer genom nya krav som beslutades av EU i december 2022 och som ersätter tidigare ramverk. Vårt arbetssätt förenklar övergången till efterlevnad med fokus på styrning, risk och praktiska åtgärder.
Vi kartlägger era tjänster och tillgångar för att avgöra om ni är berörda som verksamhetsutövare. Sedan tar vi fram gap‑analys, riskanalys och en tydlig åtgärdsplan.
Direktivet skärper kraven på ledningens engagemang, rapportering och tekniska kontroller. Vi integrerar juridik och cybersäkerhet så att efterlevnad blir en del av ordinarie styrning, inte ett sidoprojekt.
Vårt program omfattar ledningsförankring, utbildning, incidenthantering och uppföljning. Vi visar tidslinjer, förväntade resultat och var ni hittar mer information från myndigheter som MSB.
För svenska verksamheter innebär det nya ramverket tydligare ansvar för ledningen och skärpta säkerhetskrav. Vi ser att kraven rör både tekniska åtgärder och styrning, vilket påverkar rutiner, roller och avtal med leverantörer.
Vi jämför det tidigare nis-direktivet med den kommande inriktningen: nis2-direktivet flyttar mer ansvar till ledning och styrning och höjer förväntningarna på riskanalyser och åtgärder.
Arbetet i Sverige pågår: SOU 2024:18 har lämnat förslag och regeringen skickade en lagrådsremiss i juni 2025. Lagrådet ska yttra sig och en proposition väntas under hösten 2025 innan lagen träder kraft.
Myndigheter som MSB publicerar vägledning och löpande information. Vi rekommenderar att ni följer det här materialet för uppdateringar.
”Konferensen i oktober och MSB:s webbinarier visar att många praktiska frågor fortfarande är öppna — planera med det i åtanke.”
Vi hjälper er att svara på dessa frågor och börja anpassa styrdokument redan nu, så att ni ligger före när lagen väl träder kraft.
Vi förklarar vilka sektorer som omfattas och hur verksamhetsutövare ska agera. Regelverket sträcker sig över 18 sektorer och breddar tidigare omfattning till fler offentliga och digitala aktörer.
Offentlig förvaltning och flera digitala tjänster inkluderas nu som verksamheter som kan omfattas. Det innebär tydligare tillsyn och krav på rapportering.
Digital infrastruktur, som molntjänster och internetknutpunkter, får särskilt fokus eftersom avbrott slår mot många sektorer samtidigt.
Energi och gas är exempel på kritisk infrastruktur där beroenden skapar större risker. Vi ser också transport, bank och vård som prioriterade sektorer.
Detta kräver gemensamma åtgärder för att minska kaskadeffekter och säkra leveranskedjor.
Vi hjälper er att avgöra om ni omfattas genom kriterier kopplade till verksamhetens storlek, typ av tjänster och samhällsbetyg.
| Sektor | Tillsynsmyndighet | Typiska krav | Exempelåtgärd |
|---|---|---|---|
| Offentlig förvaltning | Nationell myndighet | Styrning, incidentrapportering | Kartlägg tjänster och ansvar |
| Digital infrastruktur | Telekom-/IT‑myndighet | Motståndskraft, redundans | Säkerställ backup och leverantörsavtal |
| Energi och gas | Energimyndighet | Kontinuitet, riskanalys | Prioritera skydd av nät och kunder |
Vårt fokus är att göra riskhantering och säkerhetsåtgärder praktiska och återkommande i ert dagliga arbete.
Vi operationaliserar nis2-direktivet till en cykel med inventering, riskvärdering och prioriterade säkerhetsåtgärder.
Vi levererar ramverk för tekniska och organisatoriska kontroller: åtkomst, loggning, backup, segmentering, patchning och kontinuitet.
Direktivet kräver att ledning och styrelse deltar i besluten. Vi etablerar tydliga roller, mandat och rapportering.
Vi utvecklar utbildningar som översätter krav till affärstermer och stödjer budgetering samt informerade beslut.
Vi bygger samarbetsmodeller över funktioner och leverantörer, inklusive övningar och kommunikationsplaner.
Skydd av network och informationssystem sker genom policyer, standarder och kontroller som kan följas vid tillsyn.
| Område | Vårt fokus | Resultat för er verksamhet |
|---|---|---|
| Riskhantering | Inventering, värdering, prioritering | Färre överraskningar och målstyrda åtgärder |
| Förvaltning | Roller, rapportering, uppföljning | Styrning i linje med ledningens ansvar |
| Samarbete | Leverantörsövningar, kommunikation | Snabbare samordning vid incidenter |
För vägledning och detaljerade förändringar, se vår rekommendation och resurser hos relevanta resurser.
Snabb och korrekt incidentrapportering är avgörande för att begränsa skador och visa att ni följer lagen och kraven i nis‑direktivet.
Verksamhetsutövare ska rapportera incidenter som leder till eller kan leda till betydande störningar. I många fall krävs en inledande rapport inom 24 timmar.
Vi designar mallar och arbetsflöden så att ni kan rapportera incidenter inom den tiden med korrekt innehåll och spårbarhet.
Myndigheter ansvarar för föreskrifter och tillsyn inom respektive sektor. MSB samordnar nationellt och är kontaktpunkt mot EU.
Vi hjälper er förbereda loggar, evidens och rutiner så att ni kan visa efterlevnad vid granskning.
Sanktioner kan bli betydande. Avgifter kan nå upp till 10 miljoner euro eller 2% av global omsättning vid allvarlig bristande efterlevnad.
Genom styrning, övningar och krav i leverantörsavtal minskar ni risken för sanktioner och förlorat förtroende.
| Fokusområde | Vårt stöd | Effekt för er |
|---|---|---|
| Initial rapportering | Mallar för 24‑timmarsrapport | Snabbt ansvarstagande och spårbarhet |
| Tillsyn och evidens | Logghantering och revisionsspår | Luftigare granskningar och lägre risk |
| Sanktioner och riskminskning | Övningar, avtal och styrning | Minskad sannolikhet för böter och driftstörningar |
Regelverken samverkar för att stärka motståndskraften i kritiska delar av samhällsinfrastrukturen.
CER ställer krav på riskbedömningar och planer för kontinuitet. Medlemsstaterna ska identifiera kritiska verksamhetsutövare i sektorer som energi och gas.
Kraven omfattar tekniska och organisatoriska åtgärder samt bakgrundskontroller. Rapportering av incidenter ska kunna inledas inom 24 timmar.
Vi bygger integrerade efterlevnadsprogram där samma kontroller återanvänds för både regelverk.
Det förenklar samarbete mellan sektorer och myndigheter och minskar dubbelarbete vid övningar och rapportering.
”Identifiera gemensamma kontroller och skapa tydliga gränssnitt mot tillsyn för snabbare hantering av avbrott.”
| Aspekt | Vad vi hjälper er med | Effekt för verksamhetsutövare |
|---|---|---|
| Riskbedömning | Mappning av hot, sårbarheter och leverantörskedja | Bättre prioritering av skyddet |
| Rapportering | Mallar och arbetsflöden för 24‑timmarsrapport | Högre spårbarhet och snabbare åtgärd |
| Samarbete | Övningar, gemensamma rutiner och styrdokument | Smidigare samordning mellan sektorer och myndigheter |
nis2-direktivet och CER höjer ribban för cybersäkerhet i svenska verksamheter. Direktivet skärper krav på styrning, riskanalys och incidentrapportering och ställer större ansvar på ledning och förvaltning.
Vårt råd är tydligt: fastställ styrning, genomför riskanalys, definiera säkerhetsåtgärder och etablera rutiner för att rapportera incidenter snabbt. Organisationer inom offentlig förvaltning, digitala tjänster och digital infrastruktur bör prioritera kartläggning av vilka sektorer omfattas.
Vi hjälper företag att förbereda bevisbar efterlevnad, tolka frågor kring tillsyn och undvika sanktioner som kan nå miljoner euro. Kontakta oss för en genomlysning och läs mer om hur vi stödjer er i arbetet.
Det nya direktivet ställer högre krav på säkerhet, rapportering och riskhantering för företag och myndigheter. Vi hjälper er att tolka regelverket, kartlägga kritiska tillgångar och införa styrande policys så att ni uppfyller både lagstiftning och tillsynskrav.
Det nya regelverket breddar omfattningen och skärper ansvar för ledningar. I Sverige pågår implementering via nationell lagstiftning och myndighetsföreskrifter. Vi följer utvecklingen och stödjer er i anpassningen till nya tidsfrister och tillsynsprocedurer.
Sektorer som offentlig förvaltning, digitala tjänster, digital infrastruktur, energi och gas samt andra delar av kritisk infrastruktur omfattas. Vi hjälper er att identifiera om er organisation är inkluderad, baserat på verksamhetens roll och kritikalitet.
Starta med en kartläggning av era tjänster, nätverk och beroenden. Vi genomför klassificering, bedömer leveranskedjor och avgör om ni räknas som en operatör av väsentlig betydelse eller en leverantör av digitala tjänster.
Ni behöver införa kontinuerlig riskanalys, tekniska skyddsåtgärder, incidenthanteringsrutiner och regelbunden revision. Vi implementerar ramverk för säkerhetskontroller, sårbarhetshantering och återställningsplaner anpassade till er verksamhet.
Ledningen måste bära det övergripande ansvaret för cybersäkerhet, besluta resurser och säkerställa utbildning. Vi upprättar tydliga ansvarsbeskrivningar, utbildningsprogram och styrdokument så att ledningen kan visa regelefterlevnad.
Genom att bygga tvärfunktionella incidentgrupper, dela relevanta hotindikatorer med leverantörer och använda standardiserade kommunikationskanaler. Vi hjälper er etablera samarbetsrutiner och tekniska lösningar för snabb respons.
Allvarliga incidenter måste rapporteras snabbt till tillsynsmyndighet, ofta inom 24 timmar för initial anmälan följt av kompletterande information. Vi sätter upp processer för snabb detektion, klassificering och rapportering så ni möter kraven.
Nationella tillsynsmyndigheter ansvarar för granskning, revision och vägledning. Tillsynen kan inkludera platskontroller, dokumentgranskning och krav på förbättringsplaner. Vi förbereder era underlag och stödjer vid tillsynsärenden.
Sanktioner kan bli både ekonomiska och administrativa, med betydande böter upp till miljonbelopp eller procentuella andelar av omsättning. Vi hjälper er minimera risk genom proaktivt arbete och dokumenterad efterlevnad.
Reglerna kompletterar varandra genom fokus på motståndskraft, riskbedömning och bakgrundskontroller för leverantörer och personal. Vi integrerar båda regelverken i en gemensam plan för att undvika dubbelarbete och säkra kontinuitet.
CER kräver systematiska riskbedömningar, redundansplanering och fysisk samt digital motståndskraft. Vi tar fram motståndsplaner, genomför scenariobaserade tester och rekommenderar tekniska samt organisatoriska förbättringar.
Effektivt samarbete kräver informationsdelning, gemensamma övningar och etablerade kontaktvägar mellan aktörer inom energi, transport och andra sektorer. Vi faciliterar samarbetsövningar och upprättar avtal för informationsutbyte.
Ju snabbare ni påbörjar kartläggning och implementering, desto bättre. Vi föreslår en fasindelad plan med omedelbara åtgärder för det mest kritiska, följt av långsiktiga förbättringar för kontinuerlig efterlevnad.
