August 12, 2025|2:23 PM
Whether it’s IT operations, cloud migration, or AI-driven innovation – let’s explore how we can support your success.
Vi hjälper företag och organisationer att tolka nis2-direktivet och göra kraven praktiska för er verksamhet. Vi förklarar vilka verksamheter som omfattas nis2 och hur verksamhetsutövare ska agera.
Detta direktivet påverkar både IT och OT och kräver ett systematiskt informationssäkerhetsarbete. Vi visar hur implementering kan ske stegvis, riskbaserat och anpassat till er verksamhet.
Våra tjänster förenklar arbete med rapportering, ansvarsfördelning och prioritering. Vi kombinerar tekniska kontroller med styrning så att ledningen får underlag för beslut och spårbarhet i information och incidenthantering.
Direktivet breddar tillämpningen till fler sektorer och påverkar både privata företag och offentlig förvaltning. Vi ser nu 18 sektorer som omfattas, från energi och transporter till forskning och livsmedel.
Vilka sektorer räknas in? Energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten och avloppsvatten finns med. Digital infrastruktur, post- och budtjänster, avfallshantering, tillverkning och produktion av livsmedel ingår också.
Väsentliga och viktiga entiteter får liknande krav, men skillnader visas i tillsyn och sanktioner. Vissa funktioner, exempelvis DNS och betrodda tjänster, omfattas oavsett storlek.
Direktivet antogs 2022 och trädde i kraft 2023. I Sverige föreslås införande via Cybersäkerhetslagen (SOU 2024:18) med planerat ikraftträdande 1 januari 2026. Detta påverkar planering, budget och ledning.
“Verksamhetsutövare ska identifiera om de omfattas och förbereda anmälan till tillsynsmyndighet när föreskrifter publiceras.”
| Sektor | Exempel på verksamhet | Praktisk påverkan |
|---|---|---|
| Digital infrastruktur | DNS, datacenter | Krav oavsett storlek för kritiska tjänster |
| Bankverksamhet | Betalningssystem, finansinfrastruktur | Gränsdragning mot DORA för vissa aktörer |
| Offentlig förvaltning | Myndighetstjänster, IKT-förvaltning | Ökad tillsyn och rapporteringskrav |
För att skydda verksamheten behöver vi kombinera styrning, teknik och leverantörskontroller. Det innebär att ledningen formellt tar ansvar för mål, resurser och utbildning. Vi sätter upp KPI:er och riskägaransvar som följs upp regelbundet.
Ledningens ansvar
Styrelsen och ledningen ska förstå riskbilden och avsätta resurser för cybersäkerhet. Vi levererar utbildningar, styrdokument och rapporteringsrutiner som gör ansvaret mätbart.
Riskhantering måste vara kontinuerlig och proportionerlig. Vi genomför återkommande analyser som väger affärsnytta mot riskkostnad och skyddar både IT och OT.
Teknik som brandväggar, IDS/IPS och kryptering kompletteras av policyer, behörighetsstyrning och fysisk säkerhet. Vi testar återställning och verifierar kontroller löpande.
Leverantörer och digitala tjänster måste omfattas av krav i avtal och SLA. Vi inför tredjepartsriskbedömningar, revisionsrätt och rapporteringskrav för att minska externt beroende.
“Styrelse och ledning måste göra cybersäkerheten till en del av företagets vardagliga styrning.”
| Område | Exempelåtgärd | Nytta för verksamheten |
|---|---|---|
| Styrning | KPI:er, utbildning, riskägare | Tydligt ansvar och snabb uppföljning |
| Teknik | Brandväggar, IDS, kryptering | Tidigare upptäckt och minskad exponering |
| Leverantörer | SLA, revision, tredjepartsbedömning | Mindre leverantörsrelaterad risk |
Snabb och korrekt rapportering är avgörande när allvarliga incidenter påverkar kritiska tjänster. Vi hjälper er att etablera tydliga flöden så att information når rätt mottagare inom angivna tider.
Vi säkerställer att varning skickas inom 24 timmar, följt av en detaljerad incidentanmälan inom 72 timmar. En slutrapport ska lämnas inom en månad efter att incidenten avslutats.
Vid långdragna händelser lämnas lägesrapporter löpande, minst inom samma en månadsperiod, och slutrapporten följer en månad efter avslut.
CERT-SE erbjuder rådgivning och koordinerad hantering vid incidenter. Vi kopplar era larmvägar till CERT-SE för snabb teknisk och operativ hjälp.
Vi organiserar insamling av information, bevarar bevis och förbereder rapporter så att verksamhetsutövare kan kommunicera tydligt med MSB och sektorsmyndigheter.
Olika myndigheter övervakar respektive sektor: exempelvis Energimyndigheten, Transportstyrelsen, Finansinspektionen, IVO, Livsmedelsverket, PTS och länsstyrelserna.
| Aspekt | Väsentliga entiteter | Viktiga verksamhetsutövare |
|---|---|---|
| Tillsynsmyndighet (exempel) | Energimyndigheten, Finansinspektionen | PTS, länsstyrelser beroende på sektor |
| Sanktionsnivå | 2% av global omsättning eller 10 000 000 euro (offentliga: 10 000 000 kr) | 1,4% eller 7 000 000 euro (offentliga: 10 000 000 kr) |
| Tillvägagångssätt | Aktiv tillsyn och sanktioner vid brister | Tillsyn åtgärdas vid befogad anledning |
“Verksamhetsutövare ska rapportera betydande incidenter till MSB enligt angivna tidsfrister.”
Vi presenterar en konkret implementeringsplan för att snabbt höja skyddet i era kritiska system.
Vi inleder med en säkerhetsrevision och en djup riskbedömning. Därefter designar vi prioriterade åtgärder som matchar era affärsmål.
Planen följer fem tydliga faser: revision, riskbedömning, åtgärdsdesign, införande och kontinuerlig övervakning.
Vi anpassar skyddet efter sektorer som offentlig förvaltning, tillverkning och digital infrastruktur.
För avfallshantering och post- budtjänster fokuserar vi på driftkontinuitet och spårbarhet. Livsmedel och forskning får särskild uppmärksamhet kring leverantörskedjor och åtkomstkontroll.
“Vi kopplar riskhantering till affärsmål för att göra åtgärder kostnadseffektiva och spårbara.”
Vill ni läs mer om hur planen anpassas för bankverksamhet eller andra företag, kontakta oss för praktiska paket och checklistor som visar mognadsökning och efterlevnad enligt nis2-direktivet.
Slutsatsen är tydlig — fler sektorer och funktioner behöver stärka sitt skydd och sin resiliens. nis2-direktivet skärper krav på cybersäkerhet och kräver att ledningen tar aktivt ansvar för riskhantering.
Företag inom tillverkning, offentlig förvaltning och digital infrastruktur måste införa tydliga säkerhetsåtgärder. Leverantörskedjor och viktiga entiteter behöver högre lägstanivå för att säkra funktioner och infrastruktur.
Sanktioner kan bli betydande i euro, vilket gör snabb handling nödvändig. Vi rekommenderar att ni verifierar om ni omfattas nis2, startar en gap-analys och förankrar mål i ledningen.
Vi erbjuder ett stegvis, kontrollerat införande som stärker skyddet i er verksamhet och minskar störningar. Agera nu för att ligga före kommande krav.
Direktivets krav innebär att vi måste införa systematisk riskhantering, tydlig styrning från ledningen och tekniska skyddsåtgärder för att skydda kritiska tjänster. Det berör roller, processer och investeringar i säkerhetsfunktioner samt dokumentation som visar hur vi förebygger och hanterar incidenter.
Energi, transporter, bankverksamhet, digital infrastruktur och offentlig förvaltning är centrala sektorer. Även tillverkning, post- och budtjänster, avfallshantering, livsmedelsproduktion och forskning kan omfattas beroende på verksamhetens samhällsviktiga funktioner.
Väsentliga entiteter omfattas av striktare krav och hårdare tillsyn. Viktiga entiteter har anpassade krav men står fortfarande under övervakning. Skillnaden påverkar omfattningen av rapportering, dokumentation och potentiella sanktioner.
Övergången följer en tidslinje från direktivet till nationell lagstiftning, inklusive Cybersäkerhetslagen (SOU 2024:18). Vi behöver planera för tidiga åtgärder och klara milstolpar för att möta krav inom de angivna tidsfönstren.
Ledningen måste leda arbetet, avsätta resurser, skapa en säkerhetskultur och säkerställa regelbunden utbildning. Ansvar inkluderar beslutsfattande kring riskacceptans och att upprätthålla styrande policyer.
Vi genomför kontinuerliga riskanalyser, prioriterar åtgärder utifrån konsekvens och sannolikhet samt applicerar proportionerlighet i skyddsgrad. Processen inkluderar återkommande granskningar och uppdateringar vid förändringar i verksamheten eller hotbilden.
Grundläggande åtgärder innefattar brandväggar, IDS/IPS, kryptering, åtkomstkontroller, incidenthanteringsrutiner, säkerhetspolicyer och fysisk marknads- och driftsäkerhet. Vi måste även dokumentera och testa dessa lösningar löpande.
Vi ställer krav i avtal, genomför leverantörsbedömningar och följer upp säkerhetsnivån hos kritiska leverantörer. Kontinuerlig övervakning och beredskapsplaner för beroenden är avgörande för att undvika spridning av påverkan.
Vi ska utfärda en initial varning inom 24 timmar, anmäla incidenten formellt inom 72 timmar och lämna en slutrapport inom en månad. Rapporterna ska innehålla påverkan, åtgärder och lärdomar.
CERT-SE erbjuder rådgivning, incidentstöd och koordination vid större händelser. Vi kan kontakta dem för teknisk vägledning och samordning för att minimera driftstörningar och återställa tjänster.
Tillsynen varierar beroende på om vi räknas som väsentlig eller viktig. Sanktionsnivåer kan innefatta förelägganden, administrativa böter eller andra åtgärder vid bristande efterlevnad. Transparens och snabb åtgärd minskar risken för hårda påföljder.
Vi rekommenderar en plan med säkerhetsrevision, riskbedömning, åtgärdsdesign, införande och kontinuerlig övervakning. Varje steg dokumenteras och prioriteras utifrån verksamhetens kritiska funktioner och resurser.
Prioritering baseras på påverkan på samhällsviktiga funktioner. Offentlig förvaltning och digital infrastruktur får hög prioritet, men även tillverkning, forskning, livsmedel och post- och budtjänster kräver specifika skyddsåtgärder beroende på beroenden och risker.
Vi behöver ett tvärfunktionellt team med ansvar för cybersäkerhet, juridik, drift och kommunikation. Budget för teknik, utbildning och externa rådgivare är också nödvändig för att möta både tekniska och organisatoriska krav.
Vi använder nyckeltal för incidentfrekvens, upptäckttid, återställningstid och efterlevnad av policyer. Regelbundna revisioner, övningar och rapporter till ledningen säkerställer att vi håller rätt nivå.
Molnleverantörer omfattas av krav i leverantörsavtalet. Vi måste säkerställa att leverantören lever upp till säkerhetskrav och ha planer för backup, återställning och incidenthantering för att undvika kritiska avbrott.
