augusti 13, 2025|9:58 f m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi förklarar vad nis2-direktivet innebär för er verksamhet och hur vi omsätter regler och krav till konkreta processer och kontroller.
EU:s nya ram höjer lägstanivån för cybersäkerhet och ger tydligare tillsyn. I Sverige pågår beredskap för genomförande och MSB samordnar arbetet.
Vi beskriver vad som väntas av verksamhetsutövare och företag, och hur ledningen tar ett skarpare ansvar.
Vår metod är riskbaserad och datadriven för att skapa spårbarhet och kontinuerlig förbättring.
Genom våra tjänster hjälper vi er analysera gap, implementera åtgärder och dokumentera efterlevnad. Här finns också möjlighet att skapa värde utöver compliance.
Vill ni få klarhet och svar på vanliga frågor? Läs mer om våra upplägg och den information ni behöver för att komma igång.
Regelverket har utvecklats snabbt och påverkar nu fler sektorer än tidigare. Vi ger en kort, handfast överblick över vad som förändrats, vilken tidslinje som gäller i Sverige och vilka aktörer ni behöver ha koll på.
Direktivet har utvidgat sektorurvalet och skärpt krav på riskhanteringsåtgärder. Det innebär större ansvar för verksamhetsutövare och fler leverantörer kan omfattas nis2 redan nu.
Sverige har lämnat SOU 2024:18 och regeringen skickade i juni 2025 en lagrådsremiss om cybersäkerhetslagen. Vi förväntar oss Lagrådets yttrande innan en proposition hösten 2025.
Under tiden bör företag påbörja gap-analyser och anpassa rutiner så att verksamhet och förvaltning är redo när lagen träder i kraft.
MSB har nationellt samordningsansvar och är kontaktpunkt mot EU. Sektorsvisa myndigheter utfärdar föreskrifter och bedriver tillsyn.
CSIRT-enheter och EU‑CyCLONe möjliggör snabbt informationsutbyte vid större incidenter i nätverk och informationssystem. Vi rekommenderar att ni knyter ert interna team till dessa kanaler för bättre incidentrespons.
Vi hjälper er avgöra om er verksamhet omfattas nis2 genom en snabb kontroll av två huvudkriterier: antal personer och årsomsättning.
Praktiskt innebär det att medelstora och stora entiteter i definierade sektorer ofta omfattas. Vanligt riktmärke är fler än 49 personer eller över 10 M€ i omsättning eller balansomslutning.
Vi rekommenderar att ni dokumenterar antal anställda och beräkningsmetod för omsättning. Detta förenklar dialog med myndigheter när svenska föreskrifter klargörs.
Direktivet skiljer mellan väsentliga och viktiga sektorer. Väsentliga får proaktiv tillsyn och högre sanktionsnivåer.
| Sektor | Exempel på aktörer | Utmaning för cybersäkerhet |
|---|---|---|
| Energi | Elproduktion, nätoperatörer | Driftsäkerhet i kritisk infrastruktur |
| Digital infrastruktur | Datacenter, DNS, molnleverantörer | Tillgänglighet och leverantörssäkerhet |
| Post- och budtjänster | Nationella och privata leverantörer | Logistikkedja och integritet |
Praktiskt råd: Gör en tidig avgränsning i koncernen, dokumentera bedömningen och prioritera risker efter affärspåverkan och compliance.
Ledningen bär nu ett tydligare ansvar för hur cybersäkerhet implementeras i hela verksamheten.
Vi klargör roller och etablerar beslutsforum, rapporteringslinjer och uppföljning som fungerar inför tillsyn.
Högsta ledningen måste kunna visa att policyer leder till konkreta åtgärder i vardagen. Vi hjälper er ta fram styrande dokument och rapporteringsrutiner som gör ansvar spårbart.
Vi operationaliserar riskhanteringsåtgärder med mätetal, kontroller och testning. Målet är att informationssäkerhet inte blir bara dokumentation utan ett aktivt arbete i era processer.
Vi bygger modeller för leverantörer: klassning, due diligence, avtalskrav, övervakning och testning. Detta minskar tredjepartsrisker och underlättar dialog med tillsynsmyndigheter.
Riktade utbildningar för personer i olika roller skapar förståelse för ansvar och sanktioner. Vi tar fram en plan för förvaltning som täcker livscykel, förändringsstyrning och sårbarhetshantering.
Vi omvandlar regelverkets krav till konkreta kontroller som fungerar i er vardag. Målet är att skapa ett praktiskt ramverk som kopplar organisatoriska och tekniska åtgärder till tydliga bevis för tillsyn.
Vi översätter direktivet till styrande policyer, roller och mätbara kontroller. Arbetsflöden för riskhantering omfattar hotbildsanalys, sårbarhetshantering och patch SLA:er.
Tekniska kontrollområden inkluderar identitets- och behörighetsstyrning, loggning och monitorering, backup och återställning, nätverkssegmentering samt säker utveckling. Dessa åtgärder skyddar både informationssystem och produkter i kritiska miljöer.
Vi lägger särskild vikt vid digital infrastruktur och energi eftersom tillgänglighet och infrastruktur är affärskritiska. Dessutom etablerar vi leverantörskontroller: tredjepartsbedömning, kontraktskrav och kontinuitetstester.
”Efterlevnad kräver både dokumentation och verifierbar drift; tillsyn kommer att kontrollera effektiviteten, inte bara existensen av policys.”
| Sektor | Nyckelkontroller | Prioritet |
|---|---|---|
| Digital infrastruktur | Segmentering, redundans, DDoS-skydd, loggning | Hög |
| Energi | Återställningstest, produktcertifiering, fysisk säkerhet | Hög |
| Leverantörskedja | Tredjepartsbedömning, SLA, penetrationsprov | Medium |
Snabb och korrekt rapportering avgör ofta om en incident blir hanterbar eller allvarligare än nödvändigt. Vi beskriver hur ni identifierar och klassar incidenter enligt nis2, inklusive typiska tröskelvärden för rapportering och vanliga tidsfrister.
Praktiskt om tillsyn: För väsentliga sektorer kan tillsyn vara proaktiv och granskande. För viktiga sektorer är tillsyn oftare reaktiv och fokuserar på svar och åtgärder efter händelse.
Vi går igenom vilken information myndigheter behöver: initial rapport, löpande uppföljning och slutlig redogörelse. Rätt innehåll och spårbarhet i rapporterna underlättar dialogen med tillsynsmyndighet.
Direktivet höjer sanktionerna och lagen möjliggör större avgifter som kan drabba företag och verksamhetsutövare hårt vid brister. Vi visar hur samarbete med CSIRT och nationella enheter förbättrar respons och informationsdelning.
”God dokumentation och snabba beslut minskar risk för sanktioner och stärker förtroendet i tillsynsprocessen.”
Denna guide bryter ner arbetet i tydliga steg så att er verksamhet kan prioritera rätt åtgärder. Vi beskriver bedömning, implementation och hur vi levererar stöd genom hela processen.
Vi börjar med en snabb genomgång för att avgöra om ni omfattas nis2: sektor, storlekskriterier och omsättning. Därefter kartlägger vi affärskritiska system och skapar en gap-analys mot regelverket.
Utifrån analysen designar vi ett pragmatiskt ramverk med riskhanteringsåtgärder. Vi implementerar kontroller, sätter upp övervakning och planerar testning såsom sårbarhetsskanning och övningar.
Vi erbjuder hjälp och tjänster från rådgivning till interim säkerhetsledning och managed services. Ni får ledningsrapportering, KPI:er och träning för ansvariga.
Kontakta oss för mer information om hur vi kan hjälpa ert företag att bli redo och skapa spårbarhet inför tillsyn.
För att möta framtida tillsyn måste företag snabbt omsätta krav till mätbara kontroller och rutiner. Direktivet innebär bredare omfattning, skärpta krav och tydligare ledningsansvar för informationssäkerhet och cybersäkerhet.
Vi rekommenderar att ni validerar om ni omfattas nis2 och kartlägger risker i de berörda sektorer. Särskild uppmärksamhet behövs i energi, digital infrastruktur samt post- och budtjänster och för produkter som påverkar drift.
Våra tjänster täcker bedömning, implementation och kontinuerlig förvaltning. Kontakta oss för svar på era frågor och mer information så hjälper vi er ta stegen från nuläge till hållbar efterlevnad.
Vi förklarar hur nya krav på ledningsansvar och ansvarsskyldighet innebär att styrelse och verkställande ledning måste integrera informationssäkerhet i beslutsfattandet. Det handlar om policy, resurser, rapportering och dokumenterade processer som visar att säkerhet prioriteras och att tillsynsmyndigheter får insyn.
Vi beskriver övergången från tidigare regelverk till ett bredare tillämpningsområde med skärpta krav på riskhantering, leverantörsstyrning och incidentrapportering. För många företag innebär detta fler skyldigheter, fler sektorer som omfattas samt hårdare sanktioner vid brister.
Vi går igenom aktörer som Myndigheten för samhällsskydd och beredskap (MSB), berörda tillsynsmyndigheter, nationella CSIRT och EU-nätverk som EU-CyCLONe samt hur samarbete mellan dessa påverkar tillsyn och incidenthantering.
Vi hjälper er bedöma om ni räknas som verksamhetsutövare eller leverantör av viktiga tjänster, med hänsyn till sektor, omsättning, antal anställda och samhällsviktig funktion. Vi rekommenderar en tidig intern analys för att undvika efterhandskrav.
Vi pekar ut sektorer som energi, digital infrastruktur samt post- och budtjänster som särskilt utsatta. Kraven inkluderar robusta tekniska åtgärder, kontinuitetsplaner och tydlig leverantörsstyrning för att säkra kritiska nätverk och tjänster.
Vi redogör för konkreta åtgärder: regelbundna riskanalyser, implementering av säkerhetskontroller, dokumentation av beslut och rapporter till styrelsen, samt rehabiliteringsplaner efter incidenter. Dessa åtgärder visar på regelefterlevnad gentemot tillsyn.
Vi rekommenderar att ni inför leverantörsbedömningar, kontraktskrav om säkerhet, kontinuerliga revisioner och incidentrapportering från underleverantörer. Transparens och leverantörsövervakning minskar beroendet och risken i kedjan.
Vi föreslår åtgärder som nätverkssegmentering, autentisering, säkerhetsövervakning, patchhantering, säkerhetskopiering och en formell incidenthanteringsplan. Organisatoriskt behövs roller, utbildning och kontinuerliga tester.
Vi beskriver processen för att upptäcka, dokumentera och rapportera incidenter till berörd tillsynsmyndighet och CSIRT enligt gällande regler. Snabb intern eskalering och tydliga rutiner för kommunikation är avgörande för att möta tidskraven.
Vi förklarar att sanktioner kan omfatta administrativa böter, krav på åtgärder och i vissa fall offentliggörande av brister. Proaktivt arbete med gap-analys, förbättringsplaner och dokumentation minskar risken för hårda följder.
Vi utför eller guidar er genom en bedömning som kartlägger verksamhetens kritiska funktioner, tekniska kontroller och organisatoriska rutiner. En gap-analys visar var bristerna finns och prioriterar åtgärder utifrån risk och kostnad.
Vi rekommenderar en stegvis implementation med tydliga milstolpar, kontinuerlig övervakning via SIEM eller liknande verktyg, samt regelbundna penetrationstester och övningar för incidenthantering. Det säkerställer att kontroller fungerar i praktiken.
Vi erbjuder rådgivning, gap-analyser, policyutveckling, teknisk implementation, utbildning och stöd vid incidenthantering. Vi kan också hjälpa till med kontakter till tillsynsmyndigheter och skapa dokumentation som krävs vid granskning.
