augusti 13, 2025|9:59 f m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi förklarar vad direktivet betyder för er verksamhet i Sverige och hur vi praktiskt guidar er från nuläge till verifierade kontroller.
EU antog nis2-direktivet i december 2022 och det ersatte NIS1 den 18 oktober 2024. I Sverige pågår införlivandet genom en föreslagen cybersäkerhetslag, med SOU 2024:18 och en lagrådsremiss i juni 2025.
MSB får en central roll för samordning och mottagande av incidentrapporter. Det innebär tydligare krav på riskanalyser, ledningens ansvar och incidentrapportering.
Vi beskriver också hur ni identifierar om ni omfattas, vilka krav som gäller nu och vilka tidsfönster ni bör planera för.
Genom våra tjänster hjälper vi er prioritera åtgärder, skapa spårbarhet och uppnå revisorsbar efterlevnad utan överimplementering.
Det nya regelverket började gälla i januari 2023 och ställde större krav på flera sektorer och leveranskedjor.
Varför förändringen?
Syftet var att höja skyddet för kritiska nätverk och informationssystem i hela EU. Reglerna omfattar nu fler sektorer, bland annat offentlig förvaltning, rymd och post- och budtjänster.
I praktiken trädde regelverket i kraft 2023 och NIS1 upphävdes 18 oktober 2024. I Sverige fortsätter införlivandet via SOU 2024:18 och en lagrådsremiss i juni 2025. En proposition väntas hösten 2025.
Direktivet skärper ledningens ansvar, inför rapporteringsplikt vid betydande incidenter och etablerar CSIRT-nätverk samt EU-CyCLONe.
| Ändring | Före | Efter |
|---|---|---|
| Tillämpningsområde | Få sektorer | Fler sektorer och tjänster |
| Ledningsansvar | Övergripande | Specifik och ansvarsskyldighet |
| Incidenthantering | Nationell nivå | CSIRT-nätverk och EU-CyCLONe |
Nu omfattas fler sektorer än tidigare och det påverkar hur vi klassar en verksamhet. Det är viktigt att ni snabbt identifierar om er organisation ingår.
Utöver traditionell kritisk infrastruktur täcker direktivet bland annat offentlig förvaltning, rymdsektorn, avfallshantering, tillverkning av kritiska produkter och fler digitala tjänster.
Post- och budtjänster definieras som aktörer som hanterar minst ett steg i leveranskedjan — insamling, sortering, transport eller distribution — och som är beroende av nätverks- och informationssystem.
Principen bygger i regel på medelstora och stora entiteter. En liten del av en större koncern kan göra hela koncernen omfattad. Vissa LEK-aktörer omfattas oavsett storlek.
| Aspekt | Vad det betyder | Praktisk åtgärd |
|---|---|---|
| Sektorer | Fler branscher inkluderas | Kartlägg tjänsteportfölj |
| Storleksprincip | Medelstora/stora entiteter | Beräkna enligt EU:s SMF-regler |
| Jurisdiktion | Flera etableringsställen kan kräva rapportering | Fastställ huvudort och kontaktytor |
Vi hjälper er att klassificera och dokumentera om ni omfattas. För mer detaljerad bakgrund, se det här om nis2-direktivet.
Organisationer behöver nu koppla tekniska kontroller till ledningens beslut och affärsrisker. Vi hjälper er att operationalisera ett systematiskt informationssäkerhetsarbete som är riskbaserat och långsiktigt.
Vi bygger upp mandat, tydliga roller och rutiner för riskinventering och konsekvensanalys. Därefter väljer vi kontroller som skyddar era nätverks- och informationssystem.
Kontinuerlig förbättring sker genom tester, uppföljning och mätetal som visar mognad och gap mot regelverket.
Styrelse och VD måste fatta beslut om rimliga åtgärder och dokumentera riskacceptans. Vi utformar beslutsunderlag och utbildningar för att göra ansvar tydligt.
Betydande incidenter är störningar som orsakar allvarlig drift- eller ekonomisk skada eller påverkar andra.
Rapportering startar när ni fått kännedom och skickas till MSB enligt regelverkets tidsramar. Vi beskriver processen: upptäckt, initial bedömning, rapport, uppföljning och slutrapport.
Genomförandeförordningen från 7 november 2024 specificerar åtgärder för leverantörer som molntjänster, datacenter, DNS, CDN och hanterade säkerhetstjänster.
Vi inför due diligence, avtalskrav och sårbarhetshantering för leverantörer. Uppföljning och mätetal säkerställer att beroenden inte skapar nya störningar.
”Ett robust arbetssätt kombinerar tekniska och administrativa åtgärder så att incidenthantering fungerar i praktiken.”
För vägledning om vilka verksamheter som omfattas, se MSB:s information om nis2-direktivet.
Tillsynen i Sverige samordnas av flera aktörer som hjälper verksamheter att förstå och leva upp till nya krav.
MSB har nationellt samordningsansvar och fungerar som Sveriges kontaktpunkt i EU. De tar emot rapporter om incidenter och ger stödmaterial som underlättar tolkning av direktivet.
Sektorsansvariga myndigheter utfärdar vägledning och kan fastställa sektorsspecifika föreskrifter. De utövar tillsyn och kräver bevis på att en verksamhet följer krav för informationssäkerhet och drift.
PTS föreslås få ansvar för digital infrastruktur, IKT-tjänster, rymden och post- och budtjänster. Det innebär att leverantörer av kritiska tjänster får sektorsanpassad tillsyn och teknisk vägledning.
CSIRT-nätverk möjliggör informationsutbyte om hot och sårbarheter mellan myndigheter och operatörer. EU-CyCLONe koordinerar hanteringen av storskaliga incidenter för snabb återställning i flera länder.
”Snabb samverkan mellan myndigheter och aktörer avgörande för effektiv hantering av incidenter.”
Vi kartlägger, åtgärdar och bevisar efterlevnad med tydliga ansvar och tidsplaner. Vår metod börjar med en snabb omfångsbedömning för att avgöra om er verksamhet omfattas och var anmälan ska ske.
Vi genomför: kartläggning av tjänster och sektorer, registreringsstöd till tillsynsmyndighet och en gap-analys mot regelverk och genomförandeakter.
Vi levererar policyramverk, roller, utbildningar för ledning och nyckelroller samt tekniska åtgärder som IAM, loggning, EDR, patchning och backuper.
| Steg | Vad vi gör | Resultat |
|---|---|---|
| Omfångsbedömning | Kartläggning av tjänster och storlek | Beslut om anmälan och ansvar |
| Gap-analys | Jämförelse mot direktivet och akter | Prioriterad åtgärdsplan |
| Operationalisering | Policys, tekniska kontroller, utbildning | Driftsäkra processer och bevis för tillsyn |
”Ett tydligt och dokumenterat arbetssätt minskar både risk och arbetsbörda vid tillsyn.”
Läs mer i våra mallar och rekommendationer från MSB och PTS när ni vill ta nästa steg.
Slutsats: nis2-direktivet har gett kraft åt ett enhetligt skydd och breddat vilka sektorer som omfattas. Det innebär tydligare ansvar, skärpta krav och ökad rapportering till MSB.
Vi rekommenderar att ni agerar nu. Bekräfta om er verksamhet omfattas och påbörja prioriterade åtgärder för snabb riskreduktion.
Vårt team levererar rådgivning, gap-analys och implementering av tjänster som ger spårbarhet och mätbar effekt. Vi hjälper också till att stärka leveranskedjan och avtal med leverantörer.
Ledningsengagemang och uthålliga processer är avgörande. Kontakta oss så påskyndar vi ert arbete inför kommande svenska genomförandesteg under 2025.
De nya reglerna ställer krav på systematiskt informationssäkerhetsarbete, riskhantering och tydligt ledningsansvar. Vi hjälper er kartlägga vilka nätverks- och informationssystem som omfattas, genomföra gap‑analyser och ta fram en åtgärdsplan för att uppfylla skyldigheterna.
Omfattningen har utvidgats till fler sektorer än tidigare, bland annat energi, hälso‑ och sjukvård, offentlig förvaltning, rymd samt post‑ och budtjänster. Vi bedömer om er verksamhet faller under reglerna utifrån storleksprincipen och verksamhetens kritiska funktioner.
Post‑ och budtjänster omfattar verksamheter som hanterar leveranskedjor och som är beroende av informationssystem för att utföra sina tjänster. Vi hjälper er definiera omfattning, identifiera beroenden och införa skydd för kritiska system.
Storleksprincipen innebär att medelstora och stora entiteter normalt omfattas, medan mindre företag kan undantas beroende på verksamhetens karaktär. Vi utför en bedömning av företagsstorlek och rådgiver om eventuella undantag eller skyldigheter.
Betydande incidenter ska rapporteras snabbt enligt direktivets tidsramar och till ansvarig tillsynsmyndighet. Vi stödjer ert incidenthanteringsarbete, upprättar rutiner för upptäckt och rapportering samt tränar ansvariga i praktisk hantering.
Leveranskedjan är central; ni måste hantera tredjepartsrisker genom kravställning, leverantörsbedömningar och uppföljning. Vi hjälper er implementera leverantörsstyrning, sårbarhetshantering och avtalstext som möter regelkraven.
Rekommenderade åtgärder inkluderar riskbedömning, informationssäkerhetspolicyer, åtkomstkontroller, kryptering, säkerhetsövervakning och kontinuerlig utbildning. Vi tar fram anpassade policyer, utbildningsprogram och tekniska kontroller för er miljö.
Ledningen har direkta skyldigheter att säkerställa efterlevnad, avsätta resurser och rapportera incidenter. Vi stöder styrelser och ledningar med ansvarsfördelning, rapporteringsrutiner och dokumentation för tillsynsmyndigheter som MSB och PTS.
MSB har en samordnande roll och utfärdar föreskrifter; PTS ansvarar för digital infrastruktur och vissa tjänster. CSIRT‑nätverk och EU‑samarbete som EU‑CyCLONe hanterar informationsutbyte vid storskaliga incidenter. Vi hjälper er navigera myndighetskrav och kontakter.
Specifika genomförandeakter riktar sig mot leverantörer som erbjuder molntjänster, datacenter, DNS och CDN. Dessa leverantörer måste uppfylla särskilda säkerhets- och rapporteringskrav. Vi kan granska avtal, teknisk arkitektur och säkerhetsrutiner för sådana leverantörer.
Vi rekommenderar en process som börjar med identifiering och registrering, följt av gap‑analys, riskbedömning, prioritering av åtgärder och införande av tekniska och organisatoriska kontroller. Vi levererar en praktisk projektplan och stöd under hela genomförandet.
Stöd omfattar etablering av incidenthanteringsplaner, övningar, CSIRT‑samarbete och återställningsrutiner. Vi utvecklar och testar era processer så att ni snabbt kan upptäcka, hantera och rapportera störningar med minimala konsekvenser för verksamheten.
Dokumentation av policyer, riskbedömningar, tekniska kontroller, utbildningar och incidentrapporter är avgörande. Vi hjälper till att skapa tydliga dokumentationsrutiner och lager av bevis som visar att ni följer kraven.
