augusti 13, 2025|9:37 f m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi ger en tydlig startpunkt för hur nis2-direktivet påverkar er som verksamhetsutövare i Sverige idag. Direktivet beslutades av EU i december 2022 och föreslås införlivas i svensk lag efter SOU 2024:18 och den lagrådsremiss regeringen presenterade i juni 2025.
Om ni omfattas nis2 behöver ni ta ställning till anmälan, ett systematiskt arbete med informationssäkerhet och snabb rapportering av betydande incidenter. Sanktionsnivåerna i förslaget skiljer mellan väsentliga och viktiga aktörer samt offentlig sektor.
Vi beskriver vilka sektorer och tjänster som berörs, hur ni bedömer om er organisation omfattas och vilka praktiska krav som väntar. För löpande uppdateringar och detaljer om sektorer och tröskelvärden, se gärna vår samling av resurser hos PwC om nis2.
Vi ger en tydlig bild av dagens status i Sverige och vilka verksamheter som bör agera. Förutsättningarna förändras snabbt, men flera centrala fakta är redan klara.
Direktivet ersätter tidigare NIS (2018:1174) och ska införas genom en ny cybersäkerhetslag. Lagrådsremissen publicerades i juni 2025 och Lagrådet lämnar yttrande före en proposition som väntas hösten 2025.
Det finns 18 sektorer som listas i regelverket, bland annat energi, transporter, bankverksamhet, hälso- och sjukvård, digital infrastruktur och forskning.
Verksamhetsutövare måste själva avgöra om de omfattas och göra anmälan till rätt tillsynsmyndighet. Exakta kriterier och former fastställs i kommande föreskrifter, som kommer ge tydligare krav och praktiska svar för er informationssäkerhet.
Nu går vi igenom hur avgiftsnivåer och fasta belopp kan påverka er verksamhet ekonomiskt. Vi beskriver när tillsynsmyndigheten kan besluta om åtgärder och vilka faktorer som vägs in.
Väsentliga verksamhetsutövare kan bli föremål för avgift upp till det högsta av 2 % av total global årsomsättning föregående år eller 10 000 000 euro. Bedömningen fokuserar på allvaret i bristerna och vilka tjänster som drabbats.
För viktiga verksamhetsutövare gäller en maximal nivå om 1,4 % eller 7 000 000 euro, beroende på vilket som blir högst. Avgift kan bli aktuell vid misslyckad riskhantering, otillräckliga säkerhetsåtgärder eller sen rapportering av incidenter.
Offentliga aktörer kan få avgifter fastställda i kronor, ofta upp till 10 000 000 kr enligt förslaget. I särskilda fall granskas leverantörskedjor och beroenden hårdare när störningar drabbar många.
Tillsynsprocessen ställer krav på tydlighet, dokumentation och snabbt samarbete mellan myndighet och verksamhet.
Vi listar vilka myndigheter som ansvarar per sektor och vilken befogenhet de har. Exempel är Energimyndigheten, Transportstyrelsen, Finansinspektionen, IVO, Läkemedelsverket, Livsmedelsverket och PTS.
Dessa tillsynsmyndigheterna kan granska, förelägga åtgärder och i vissa fall besluta om påföljder.
Vid inspektion måste verksamhetsutövaren ge tillträde till lokaler och lämna begärd information och underlag.
Tillsynsmyndigheten kan utfärda förelägganden vid brister. För viktiga verksamhetsutövare krävs befogad anledning innan särskilda ingripanden blir aktuella.
| Aspekt | Vad myndigheten gör | Vad vi bör göra |
|---|---|---|
| Platsinspektion | Begär tillträde och observationer | Ha ansvarig kontakt, ID och tillträdesrutiner |
| Begäran om information | Granskar register, loggar och rapporter | Säkerställ spårbarhet och färdiga utdrag |
| Föreläggande | Ställer krav på åtgärder och tidsram | Dokumentera åtgärder och rapportera tillbaka |
| Löpande vs händelsedriven | Regelbunden uppföljning eller incidentutlöst granskning | Förbered både rutiner och snabb incidenthantering |
Vi betonar att samarbete minskar risken för längre åtgärder. Anpassning till lag och föreskrifter är avgörande när detaljkrav uppdateras.
Tidsfrister och kvalitet i anmälan styr hur tillsynsmyndigheten bedömer ert fall. Vi beskriver vad verksamheten måste lämna och när, så att ni kan undvika onödiga följder.
Verksamhetsutövare ska skicka en varning inom 24 timmar efter upptäckt. En fullständig incidentanmälan ska lämnas inom 72 timmar.
Slutrapport krävs inom en månad. Om incidenten pågår lämnas en lägesrapport inom en månad och en slutrapport en månad efter avslut.
MSB tar emot rapporter och vidarebefordrar till tillsynsmyndighet. Kriterier för betydande incidenter och rapporteringssätt klargörs i kommande föreskrifter under cybersäkerhetslagen.
”Snabbt agerande och korrekt information minskar risken för förvärrade konsekvenser.”
Vi ser hur strukturerat säkerhetsarbete ger både efterlevnad och ökad motståndskraft i verksamheten.
Riskanalyser ska vara återkommande och kopplas till konkreta åtgärder. Vi rekommenderar att ni använder både kvantitativa och kvalitativa metoder.
Resultaten prioriteras efter påverkan på kritiska tjänster och budgeteras tydligt.
Ledningen måste sätta mål, avsätta resurser och följa upp resultat i styrgrupp eller styrelse.
Föreskrifterna kommer att ge tydligare krav, men ni kan redan nu börja med gapanalyser och programplaner.
Vi föreslår att ni mappar befintliga kontrollramverk mot de kommande kraven och dokumenterar uppföljning.
| Område | Handlingsförslag | Effekt |
|---|---|---|
| Styrning | Policy, roller, ansvar | Tydligt ledningsansvar och snabb beslutsväg |
| Riskanalys | Årlig analys + incidentdriven rev | Prioriterade åtgärder och bättre riskbild |
| Kontroller | Tekniska och organisatoriska åtgärder | Minskad sårbarhet och spårbarhet |
| Leverantörskedja | Leverantörsbedömningar och krav | Säkrare beroenden och kontinuitet |
Vi skiljer här praktiskt mellan de två kategorierna och vad det innebär för er tillsynsinsats.
Kraven i lag är i grunden lika för båda grupperna, men tillsynen skiljer sig i metod och intensitet.
Väsentliga verksamhetsutövare möter ofta mer proaktiv tillsyn. Myndigheterna kan granska löpande och kräva snabba åtgärder.
Viktiga verksamhetsutövare får oftast ingripanden först när det finns befogad anledning att anta brister.
”Tydlig dokumentation och proportionerliga åtgärder minskar sanktionsrisken.”
Samverkan mellan lag, tillsyn och interna processer avgör hur efterlevnad bedöms. Visa spårbarhet för att underlätta bedömningen.
Vi hjälper er att skapa en praktisk handlingsplan för att minimera risker kopplade till efterlevnad och tillsyn.
Vi hjälper er att avgöra om ni omfattas nis2 och att förbereda en korrekt anmälan.
Det inkluderar insamling av underlag, dokumentation av kritiska tjänster och kontakt med tillsynsmyndigheterna.
Vi designar processer för att snabbt rapportera incidenter och säkerställa samarbete med MSB och tillsynsmyndigheten.
Snabbt, korrekt och spårbart agerande minskar risken för fördjupad granskning.
Vi kopplar regelverket till CER och hanterar beroenden i era informationssystem.
Det ger ett helhetsperspektiv på sektorerna, tjänster och leverantörskedjor som påverkar verksamheten.
”Vi driver arbetet från nuläge till efterlevnad genom prioriterade initiativ och mätbar effekt.”
Vi rekommenderar att ni agerar nu — nis2-direktivet ska införlivas genom cybersäkerhetslagen och lagrådsremissen från juni 2025 följs av en proposition i höst.
Lagstiftningen för sektorerna kommer också att ge föreskrifter som preciserar krav på tjänster och processer. Sanktionstaken ligger på bland annat 10 000 000 euro/2 % och 7 000 000 euro/1,4 %, samt nivåer i kronor för offentlig verksamhet.
Vi föreslår en gapanalys, en handlingsplan och tydliga mätetal. Prioritera kritiska tjänster, dokumentera åtgärder och säkerställ kontinuitet i leverantörskedjan.
Sammanfattningsvis: agera proaktivt, validera ofta och samordna med tillsyn och andra nyckelaktörer så får ni svar och beredskap när detaljerna faller på plats.
De nya bestämmelserna innebär att verksamheter inom 18 sektorer får tydligare krav på informationssäkerhet och rapportering. Vi omfattar både privata och offentliga verksamhetsutövare som bedriver samhällsviktiga tjänster, till exempel energi, transport och hälsa. Myndigheter och företag måste göra riskanalyser, införa tekniska och organisatoriska åtgärder samt rapportera incidenter till tillsynsmyndigheten och i vissa fall till CERT‑SE.
Sanktionerna brukar bestå av förelägganden, åtgärdskrav och i vissa fall administrativa avgifter. För allvarliga eller upprepade brister kan tillsynsmyndigheten besluta om högre avgifter eller andra rättsliga påföljder. Vi rekommenderar att verksamheter arbetar proaktivt med säkerhet för att minimera sådana risker.
Väsentliga verksamhetsutövare omfattas av hårdare krav och striktare tillsyn än viktiga aktörer. Det gäller både omfattningen av åtgärder, rapporteringskrav och möjlig nivå på avgifter. Skillnaderna påverkar även vilka föreskrifter som tillämpas och hur ofta tillsyn sker.
För väsentliga verksamheter kan avgifter bli mycket höga, medan viktiga verksamheter får något lägre nivåer. Offentliga verksamhetsutövare kan också få särskilda nivåer uttryckta i kronor. Vi följer utvecklingen i lagstiftningen och föreskrifterna för att ge konkreta siffror när de fastställs.
Tillsynsmyndigheterna har mandat att granska efterlevnad, kräva information, begära tillträde till lokaler och förelägga åtgärder. De samarbetar sektorsvis och kan ge stöd eller besluta om sanktioner. Vi rekommenderar nära samarbete med ansvarig myndighet för att hantera frågor om tillstånd och uppföljning.
Vid en betydande incident ska vi först utföra en intern varning och, där det krävs, meddela tillsynsmyndigheten inom 24 timmar; en formell anmälan görs vanligen inom 72 timmar och en slutrapport kan krävas inom en månad. Dessa tidslinjer är avgörande för att minska sanktionsrisk och visa efterlevnad.
CERT‑SE erbjuder tekniskt stöd, analys och samordning vid större cybersäkerhetsincidenter. Vi kan använda deras rådgivning för snabb bedömning, begränsning av skador och för att stärka incidentrapporteringen gentemot tillsynsmyndigheten.
Vi bör genomföra regelbundna riskanalyser, dokumentera säkerhetspolicyer, införa tekniska skydd och utbilda personal. Ledningen måste säkerställa resurser och ansvar. Föreskrifter ställer krav på kontinuerligt arbete med informationssäkerhet och vi bör ha klara processer för incidenthantering och anmälan.
Vi kartlägger vilka informationssystem och tjänster som är kritiska, uppdaterar policys och incidentplaner, samt genomför tester och övningar. Det är viktigt att dokumentera åtgärder och samverka med branschens tillsynsmyndigheter för att ligga steget före när föreskrifterna träder i kraft.
Klassificeringen beror på verksamhetens samhällsviktighet, påverkan vid störning och vilken sektor vi tillhör. Vi kan göra en kartläggning mot sektorslistan och rådfråga ansvarig tillsynsmyndighet för en bedömning.
Riskanalyser identifierar hot, sårbarheter och konsekvenser, vilket gör att vi kan prioritera åtgärder och visa proaktivt arbete inför tillsynsmyndigheten. God dokumentation av analyser och åtgärder är ofta avgörande vid en tillsynsbedömning.
Vi svarar snabbt, lämnar efterfrågad information och ger tillträde enligt lagens ramar. Transparens och samarbete minskar risken för hårdare åtgärder. Vi bör också ha tydliga interna rutiner för hantering av sådana förfrågningar.
Våra åtgärder utgår från verksamhetens specifika sektorskrav och den tekniska miljön. Vi ser över informationssystemens skydd, redundans och återhämtningsplaner samt säkerställer kopplingar till kritiska tjänster och leverantörer.
Vi erbjuder stöd i att identifiera om ni omfattas, upprätta anmälningar, bygga processer för informationssäkerhet, genomföra riskanalyser och träna incidenthantering. Målet är att förbättra efterlevnad och därigenom minimera sanktionsrisk.
