August 12, 2025|1:58 PM
Whether it’s IT operations, cloud migration, or AI-driven innovation – let’s explore how we can support your success.
Vi hjälper er att koppla affärsmål, regelverk och operativ resiliens när krav på leveranskedjan blir hårdare. Som verksamhetsutövare behöver vi en tydlig process för urval, upphandling och uppföljning av externa tjänster.
nis2-direktivet skärper kraven på säkerhet i leveranskedjan och kräver att vi bedömer leverantörers sårbarheter, resiliens och utvecklingspraxis. I Sverige implementeras detta via cybersäkerhetslagen, där MSB och PTS har viktiga roller.
Vi prioriterar mätbara kriterier som kan kopplas till affärsnytta och riskaptit. Genom standardiserade kontroller och avtal säkerställer vi spårbarhet mellan lagstiftningen och våra utvärderingspunkter.
När aktörer omfattas av nya regler måste vi ompröva hur vi köper och följer upp tjänster. För många verksamheter handlar det inte längre bara om teknik. Val av externa parter påverkar affärskontinuitet, regelefterlevnad och förtroende hos kunder och myndigheter.
Som verksamhetsutövare behöver vi tydliga krav för att säkerställa säkerhet i hela leveranskedjan. Det kräver att vi ställer krav, verifierar praxis och löpande följer upp förmågan att hantera risker.
Vi ser affärsnyttan i att prioritera tjänster efter kritikalitet. Externa brister kan ge större kostnader än licenser och drift. Förebyggande kontroller och snabb incidentrespons stärker både drift och förtroende.
“Rätt kravställning och kontinuerlig verifiering minskar både sannolikheten för avbrott och de ekonomiska konsekvenserna.”
Vi ser att regelverket förändras snabbt och att flera av våra informationssystem behöver uppdaterad styrning. Den uppdaterade ramen gör att fler aktörer måste tydligt beskriva hur de hanterar risk i sina digitala tjänster.
Det tidigare nis-direktivet ersätts av ett skarpare ramverk som lägger större vikt vid leveranskedjan och riskhantering. Direktivet kräver nu mer dokumentation kring hur nätverks- och informationssystem skyddas.
När lagen träder kraft måste vi registrera oss, uppdatera incidentrutiner och göra regelbundna riskbedömningar. Det påverkar planering, budget och förvaltning av IT-tjänster.
MSB föreslås bli övergripande tillsynsmyndighet medan PTS får sektoransvar för digital infrastruktur, post och rymd. Detta förändrar rapporteringsvägar och dialogen med myndigheter.
Vi måste nu kartlägga vilka delar av vår verksamhet och externa tjänster som faller under lagens räckvidd.
Aktörer inom digital infrastruktur, IKT‑förvaltning, rymd, post- och budtjänster samt digitala leverantörer är typiskt berörda.
Hela verksamhetsutövaren omfattas om den tillhandahåller tjänster som listas i bilagorna, oavsett hur liten en viss verksamhetsdel är.
Storlek bedöms enligt EU:s SME‑definition och inkluderar anknutna och partnerföretag.
Det är helheten av verksamhet som prövas, inte bara en enskild produktlinje. Detta påverkar hur vi prioriterar kontroller och avtal.
Artikel 21 anger minimikraven för vilka riskhanteringsåtgärder vi bör införa för att skydda leveranskedjan och våra kritiska tjänster. Vi behöver en tydlig koppling mellan interna kontroller och externa avtal för att säkerställa spårbarhet och ansvar.
Vi kartlägger hur hot påverkar våra nätverks- informationssystem och prioriterar åtgärder efter kritikalitet. Detta inkluderar kontinuerliga tester, patch-hantering och incidentberedskap för att minska driftstörningar.
Vi ställer krav på att leverantörer visar processer för säker programvaruutveckling och bevis på teknisk kvalitet. Bedömningarna väger sårbarheter, produktresiliens och leverantörens operativa praxis.
Åtgärder ska vara designade inifrån produkten och tjänsten, inte lagda på i efterhand. Vi verifierar detta genom tekniska bevis och tredjepartsintyg.
Vi föreslår avtalsklausuler som anger revisionsrätt, sårbarhetsrapportering och tidsfrister. På så vis säkerställer verksamhetsutövare att direktivet följs och att ansvar finns vid brister.
Hanterade säkerhetstjänster sitter ofta nära vår operationsyta och kan både stärka och försvaga vår försvarsförmåga.
MSSP spelar en kritisk roll i upptäckt, förhindrande och respons vid incidenter. De levererar penetrationstester, forensiska insatser, kontinuerlig övervakning och revisioner som vi ofta saknar internt.
Samtidigt ökar risken. Djup integration innebär höga åtkomsträttigheter och möjlig lateral rörelse om leverantören blir komprometterad.
Vi ser att externa operatörer själva varit mål för attacker. Det innebär att en kompromiss kan slå direkt mot vår verksamhet.
Vi ställer skarpa krav på incidenthantering, detektion, forensik och pentestkapacitet. Vi kräver också oberoende revision, relevanta certifieringar och bevis på kontinuerlig förbättring.
Vi utvärderar tjänster utifrån hotbild och vår riskprofil. Endast då kan vi få både den operativa nyttan och den nödvändiga säkerheten i vår cyberryt.
Genomförandeförordningen trädde kraft den 7 november 2024 och ställer tydliga krav på flera digitala tjänster. Den preciserar vilka riskhanteringsåtgärder som krävs och vilka incidenter som är rapporteringspliktiga.
Förordningen pekar ut ett antal aktörer. Bland dem finns DNS‑tjänster, TLD‑registries, molnleverantörer, datacenter, CDN, online‑marknadsplatser, sökmotorer, sociala nätverk och betrodda tjänster.
Dessa sektorer omfattas av detaljerade regler som visar vilka tekniska och organisatoriska riskhanteringsåtgärder som krävs.
Fram tills CSL blir nationell lag styrs dessa aktörer av EU‑förordningen. Vi rapporterar incidenter enligt förordningens tidsramar och nationell ordning till MSB som tillsynsmyndighet.
| Aktörer omfattas | Huvudsakliga krav | Rapportering |
|---|---|---|
| Moln, datacenter, CDN | Incidentrapportering; kontinuerlig övervakning | MSB enligt förordning |
| Hanterade tjänster, hanterade säkerhetstjänster | Åtkomstkontroll; separata miljöer; revisionsspår | Rapportera incidenter snabbt |
| Online‑marknadsplatser, sociala nätverk | Sårbarhetshantering; transparenskrav | EU‑tidtabeller för incidenter |
“Att harmonisera numinska dubbelarbete när nationell lag träder i kraft.”
Vi bygger ett praktiskt ramverk för riskhantering som kopplar ansvar, processer och teknik. Målet är att informationssäkerhet blir en del av vår dagliga förvaltning och stödjer verksamhetens mål.
Vi etablerar organisatoriska åtgärder som definierar roller för riskägare, tjänsteägare, CISO, inköp och juridik. Varje roll har klara ansvar för att följa upp avtal och drift.
Genom återkommande riskmöten och rapporter säkerställer vi att förvaltning får input till budget och prioritering.
Vi arbetar med ett allriskperspektiv där åtgärder skalas efter exponeringsnivå och datakänslighet. Tröskelvärden och kontrollmål styr när vi testar och stärker försvar.
Snabb och korrekt incidentrapportering skyddar både drift och förtroende vid allvarliga händelser.
Endast händelser som utgör betydande påverkan ska rapporteras. Det innebär skada eller risk för allvarlig driftsstörning för tjänsten, ekonomisk förlust eller materiell/immateriell skada för tredje part.
Vi avgör snabbt om en händelse når tröskeln för betydande genom en enkel checklista. Fokus ligger på påverkan på kunder, ekonomi och sekundära effekter mot nätverks- informationssystem.
Klockan börjar ticka när verksamhetsutövaren får kännedom. Vi organiserar snabb kvalificering, eskalering och därefter rapportera incidenter till MSB enligt gällande tidsramar.
Vid internationell påverkan rapporterar vi i medlemslandet för huvudsakligt etableringsställe och bedömer om ytterligare rapportering krävs i andra länder. Vi dokumenterar beslut för att minska risken för dubbelbestraffning och potentiell sanktionsavgift.
I praktiken träffar regelverket olika sektorer på olika sätt, och tolkningen påverkas av tjänstens tekniska beroenden.
Vi beskriver här vilka aktörer och tjänster som typiskt omfattas och hur förvaltning bör agera för att uppfylla lagstiftningen.
PTS föreslås ansvara för sektorerna kring digital infrastruktur och förvaltning av IKT‑tjänster samt digitala leverantörer.
Vi rekommenderar att verksamhetsutövare mappar tjänesten, tillgångar och beroenden för att dimensionera kontroller.
Post‑ och budtjänster omfattar minst ett led i postkedjan: insamling, sortering, transport eller distribution.
Om tjänsten är beroende av nätverks- och informationssystem påverkar det om ni omfattas. Vi bedömer beroenden tidigt.
Operatörer enligt LEK omfattas av CSL oavsett storlek och måste göra separat anmälan under CSL.
Det innebär dubbel rapportering, särskild tillsyn och krav på tydlig registrering.
| Sektor | Ansvarig myndighet | Typiska krav |
|---|---|---|
| Digital infrastruktur | PTS | Kontinuitet, åtkomstkontroll, incidentrapportering |
| IKT‑tjänster | PTS | Förvaltning, dokumenterad styrning, revisionsbevis |
| Post & bud | PTS / nationell tillsyn | Beroendeavstämning, spårbarhet i postkedjan |
| Operatörer enligt LEK | CSL tillsyn | Separat anmälan, särskild tillsyn oavsett storlek |
Vi behöver skriva avtal som binder in riskhanteringsåtgärder och gör säkerhet till ett mätbart åtagande. Kontrakten ska tydligt ange vilka tekniska och organisatoriska krav som gäller för tjänster och leverans.
Avtalet ska innehålla krav på säker programvaruutveckling, SBOM och patch‑SLA. Vi kräver bevis på testprocesser, kodgranskning och hantering av sårbarheter.
Vi definierar svarstider för detektion och incidenthantering samt loggretention och forensik. Avtalet ska ange när och hur parterna ska rapportera händelser och leverera revisionsbevis.
Kontrakten reglerar kedjeansvar, revisionsrätt och skyldighet att godkänna underleverantörer. Vi ställer särskilda krav för leverantörer hanterade säkerhetstjänster, inklusive miljöisolering och oberoende revisioner.
Vi säkerställer att leverantörer hanterade och andra parter visar robust cybersäkerhet kopplat till affärskritiska flöden.
Vi använder en poängbaserad metod för att bedöma leverantörers motståndskraft och operativa mognad. Metoden hjälper oss att jämföra kandidater objektivt och koppla bedömningen till affärsnytta.
Vi värderar teknisk resiliens, utvecklingspraxis och dokumenterad mognad. Poängsättningen inkluderar certifieringar som ISO/IEC 27001 och SOC 2 samt bevis på efterlevnad.
Viktiga områden är inbyggda säkerhetsåtgärder i arkitektur, snabba patch‑rutiner och separata driftsmiljöer. Vi säkerställer att verksamhetsutövaren kan visa kontinuitet och återställningsförmåga vid större störningar.
Vi testar tjänsten genom tabletop-övningar, etiska penetrationsprov och oberoende revisioner med krav på åtgärdsplaner. Testresultat väger tungt i slutbedömningen.
| Kriterium | Mätvärde | Acceptnivå |
|---|---|---|
| Resiliens & DR | RTO/RPO, återställningstester | < 4 timmar RTO, dokumenterade tester |
| Mognad & process | SDLC, SBOM, patch‑SLA | Regelbunden kodgranskning, 30‑dagars patch |
| Certifieringar | ISO/IEC 27001, SOC 2 | Minst en relevant certifikat |
| Revision & test | Pentest, oberoende revision | Åtgärdsplan inom 30 dagar |
Sammanfattning: Vi väger informationssäkerhet, dataskydd och affärskritikalitet mot hotbilden. Resultatet ger verksamhetsutövaren ett klart beslutsunderlag vid val av partner.
Samarbeten med universitet och forskningsinstitut kräver tydliga gränsdragningar för att skydda känsliga data och immateriella tillgångar.
Vi analyserar risker i sådana samarbeten och identifierar hur vi kan hantera risker för läckage av företagshemligheter. Det innebär krav på åtkomstkontroll, dataklassning och rollbaserad behörighet.
För dataanalystjänster ställer vi krav på dataetik, tydliga datadelningsavtal och säker hantering av rådata. Avtal och MoU ska innehålla evidenskrav för processer och spårbarhet.
Vi kopplar informationssäkerhet samhällsviktiga till forskningssamarbeten genom mätbara krav. Som verksamhetsutövare säkerställer vi att tredje parter uppfyller både tekniska och juridiska villkor.
Flera sektorer står nu inför överlappande regelkrav som kräver gemensam styrning och tydliga roller. Direktivet och CER kompletterar varandra genom att skydda tjänster som är centrala för samhällsfunktioner.
Vi kartlägger vilka aktörer som ska omfattas utifrån kriterier som samhällsviktig tjänst och kritisk infrastruktur enligt lagen. Kommuner och regioner kan bli identifierade som kritiska beroende på tjänsternas funktion.
En klar rollfördelning mot en ansvarig tillsynsmyndighet är nödvändig för att undvika dubbelrapportering och för att samordna granskningar.
Vi kräver systematiska riskbedömningar som inkluderar tekniska och organisatoriska åtgärder samt bakgrundskontroller för känsliga roller. Dessa åtgärder kopplas till befattningsanalyser och säkerhetsprövning.
Vid incidenter som utgör betydande påverkan beskriver vi när och hur vi ska rapportera incidenter i samklang med etablerade rapportflöden. Snabbhet och tydliga rutiner minskar skadeverkningar.
Syftet med sanktionsavgift är att skapa incitament för regelefterlevnad. Vi ser att nivåerna kan bli jämförbara med dem som följer av lagen om cybersäkerhet.
Praktiskt bör vi bygga en implementeringsmodell som undviker dubbelarbete, harmoniserar bevisning och visar hur överträdelser hanteras mellan regelverken.
| Område | Praktisk åtgärd | Ansvar |
|---|---|---|
| Identifiering | Kartlägg tjänster, dokumentera kritikalitet | Verksamhetsägare + tillsynsmyndighet |
| Risk & bakgrund | Riskbedömning, befattningsanalys, bakgrundskontroller | Säkerhetsteam |
| Incidenthantering | Definiera tröskelvärden, rapportera incidenter snabbt | Drift & CIRT |
| Efterlevnad | Samordnade revisioner, dokumenterad spårbarhet | Compliance |
Sammanfattning: Vi prioriterar samordnad styrning mellan regelverken, tydlig tillsyn och en robust modell för att hantera sanktionsavgift och granskning. Det ger verksamhetsutövare bättre förutsättningar att visa efterlevnad.
För att gå från krav till verklig styrning behöver vi en tydlig plan. Vi kopplar kartläggning, tekniska tester och förvaltning till en roadmap. På så vis blir ansvar och budget konkreta.
Vi börjar med en nulägesanalys som visar vilken roll varje tjänst och underleverantör spelar för vår drift.
Utifrån gap‑analysen prioriterar vi risker och skapar en handlingsplan per leverantör och tjänst.
Implementeringen omfattar tekniska tester, tabletop‑övningar och leverantörsrevisioner.
Vi etablerar en förbättringscykel där vi regelbundet mäter och justerar åtgärder.
Roadmap och styrning: budget, riskacceptans och en ägarlista gör efterlevnaden mätbar.
Genom att operationalisera lagstiftningen i rutiner säkerställer vi informationssäkerhet i hela verksamhetens livscykel.
Avslutningsvis visar lagstiftningen att vi måste förankra ansvar, avtal och praktiska kontroller för våra tjänster.
nis2-direktivet höjer ribban jämfört med tidigare nis-direktivet, bland annat för avtal, due diligence och kontinuerlig uppföljning.
Vi rekommenderar att verksamhetsutövare tidigt anpassar styrning och processer inför att CSL träder kraft. Det minskar risken för sanktionsavgift och driftstörningar.
Vid incidenter bör vi samt rapportera och dela lärdomar för att stärka resiliensen i hela ekosystemet. Nästa steg är att besluta ansvar, säkra finansiering och sluta avtal enligt lagen i dialog med tillsynsmyndighet.
Vi avser processen att identifiera, värdera och välja externa tjänsteleverantörer som kan stödja vår verksamhet samtidigt som de uppfyller nya säkerhetskrav. Det innefattar kartläggning av leveranskedjan, kravställning i avtal och kontroller av leverantörers incidenthantering och tekniska skyddsåtgärder.
De tjänster som levereras påverkar tillgänglighet, sekretess och integritet i våra informationssystem. Avbrott eller säkerhetsbrister hos en extern aktör kan snabbt få konsekvenser för våra kärnprocesser, efterlevnad mot regler och vårt anseende.
Den nya europeiska ram som införts skärper kraven och utvidgar tillämpningsområdet jämfört med det tidigare direktivet. Detta innebär fler kategorier av tjänster och skärpta skyldigheter för riskhantering, leverantörskontroll och incidentrapportering.
När lagen börjar gälla måste vi ha implementerat strukturer för riskhantering, incidentrapportering och tillsynsberedskap. Vi behöver uppdatera avtal, genomföra leverantörsbedömningar och säkerställa att tekniska och organisatoriska åtgärder är på plats.
Myndigheterna får olika ansvar beroende på sektor och typ av tjänst. MSB har en bred samordnande roll i nationell cybersäkerhet, medan PTS fokuserar på telekommunikation. Vi måste förstå vilken myndighet som ansvarar för vår verksamhet för att följa rätt rapporterings- och tillsynsprocedurer.
Flera sektorer omfattas, bland annat digital infrastruktur, IKT-tjänster, betalningssystem och kritiska offentliga funktioner. Vi bedömer vilka av våra verksamhetsdelar som faller inom regelverket utifrån tjänstens natur och samhällsviktighet.
Reglerna tar hänsyn till både verksamhetsutövarens storlek och betydelsen av den specifika verksamhetsdelen. Större aktörer eller enheter som levererar samhällskritiska tjänster får oftare strängare krav än mindre, icke-kritiska delar.
Vi måste säkerställa att cybersäkerhet integreras i hela leveranskedjan — från kravställning till drift. Det innebär tekniska skydd, säkerhetskrav i avtal, leverantörsrevisioner och kontinuerlig bedömning av tredjepartsrisker.
Vi implementerar en systematisk process för identifiering, analys och åtgärd av risker. Det inkluderar sårbarhetshantering, säkerhetsuppdateringar, kontinuitetsplaner och regelbundna övningar.
Vi använder kriterier som certifieringar, historik av incidenthantering, penetrationstestresultat, revisionsrapporter och referenser. Praktiska prov som tabletop-övningar hjälper oss validera leverantörens förmåga att hantera störningar.
Säkerhet ska vara en del av produktens livscykel — design, utveckling, distribution och drift. Vi kräver säkerhetsfunktioner, uppdateringsmekanismer och dokumentation som visar hur risker hanteras tekniskt och organisatoriskt.
Avtalen bör reglera krav på incidentrapportering, loggning, säkerhetsuppdateringar, revisionsmöjligheter, sekretess och ansvarsfördelning vid säkerhetsbrister. Vi inkluderar även specifika SLA för återställning och kommunikation.
MSSP får djup åtkomst till kritiska system och data. Ett fel hos dessa aktörer kan sprida sig snabbt till våra verksamheter. Därför kräver vi starkare kontroller, bakgrundskontroller och kontinuerlig uppföljning.
Vi begär detaljerade säkerhetspolicys, testresultat, redovisning av incidenthistorik och rutiner för penetrationstester. Vi genomför också revisioner och scenariobaserade övningar för att verifiera leverantörens kapacitet.
Förordningen preciserar vilka verksamheter som måste följa särskilda riskåtgärder och hur incidentrapportering ska ske. Vi måste kontrollera vilka krav som gäller för våra tjänster under övergångsperioden fram till nationell lagstiftning.
Vi följer de bestämmelser som finns i genomförandeförordningen och tillämpar befintliga nationella regler. Under övergången måste vi förbereda oss för skärpta krav och anpassa processer och avtal.
Vi etablerar roller, rutiner och styrdokument för kontinuerlig riskidentifiering, prioritering och åtgärd. Vi kombinerar tekniska kontroller med organisatoriska åtgärder och genomför regelbundna tester och förbättringscykler.
Vi definierar ägarskap för riskområden, utser incidentansvariga och säkerställer tydliga eskaleringsvägar till ledning samt externa kontakter med tillsynsmyndigheter och leverantörer.
Vi bedömer konsekvenser för verksamheten och inför åtgärder som står i proportion till risken. Kritiska delar får mer omfattande skydd medan mindre system hanteras mer lättviktigt men ändå säkert.
En betydande incident påverkar tillgång till, konfidentialitet eller integritet i sådan omfattning att samhällsviktiga funktioner eller stora delar av verksamheten påverkas. Vi använder kriterier för påverkan, räckvidd och varaktighet för att bedöma allvaret.
Tidsfrister för rapportering varierar beroende på incidentens art, men vi börjar räkna från det tillfälle vi blir medvetna om incidentens betydelse. Rapporter skickas till ansvarig tillsynsmyndighet enligt gällande riktlinjer och interna rutiner.
Vi koordinerar rapportering med berörda tillsynsmyndigheter och följer regler för gränsöverskridande notifiering. Vår kommunikationsplan säkerställer att information delas korrekt för att undvika onödig dubbelrapportering.
Digital infrastruktur, IKT-tjänster, transport, finans, energi och offentlig förvaltning är exempel på sektorer som omfattas. Bedömningen baseras på tjänstens samhällsvikt och dess beroende av informationssystem.
Dessa tjänster är ofta beroende av digitala spårnings- och logistiksystem. Vi måste säkerställa att leverantörer inom dessa sektorer har robusta säkerhetsåtgärder för att förhindra driftstörningar och dataläckor.
Vissa teleoperatörer omfattas både av LEK och de nya cybersäkerhetskraven. Vi kartlägger överlapp för att undvika duplicerad rapportering och för att säkerställa att åtgärder möter båda regelverken.
Vi inkluderar krav på säker utveckling, livscykelhantering, SLA för incidenthantering, loggning och bevisföring samt villkor för tredjepartsberoenden och kedjeansvar i alla avtal.
Vi kräver att leverantörer följer säkra utvecklingsmetoder, dokumenterar säkerhetsprocesser, genomför kodgranskningar och levererar uppdateringsplaner för hela produktens livscykel.
SLA bör specificera svarstider, återställningstider, krav på central logghantering, bevarandetider för bevis och rutiner för överlämning vid utredningar.
Vi kartlägger alla underleverantörer, ställer krav genom avtal och genomför regelbunden uppföljning och revision för att minska risker från tredje part.
Vi bedömer resiliens, mognad, certifieringar, incidenthistorik, tekniska kontroller och praxis för kontinuerlig förbättring. Vi väger dessa faktorer mot affärskritiska behov.
Genom att genomföra realistiska scenarier och tekniska tester utvärderar vi leverantörens incidentberedskap och tekniska motståndskraft. Resultaten informerar våra beslut om godkännande eller krav på förbättringar.
Vi samarbetar med akademiska aktörer för kompetensutveckling, analysstöd och utveckling av avancerade säkerhetslösningar. Sådana samarbeten stärker vår förmåga att hantera komplexa datafrågor.
Vissa kritiska verksamheter omfattas av båda regelverken och kan därför få dubbla krav. Vi säkerställer samordning mellan regelverken för att undvika konflikt och säkerställa full efterlevnad.
Tillsynsmyndigheter identifierar kritiska aktörer baserat på samhällspåverkan. Dessa aktörer får mer omfattande krav på riskbedömning, bakgrundskontroller och rapportering.
Överträdelse kan leda till administrativa påföljder. Vi prioriterar efterlevnad och tydlig rapportering för att minimera risken för sanktioner och säkerställa samordning mellan myndigheter.
Vi börjar med en nulägesanalys, kartlägger leveranskedjan, prioriterar risker och genomför implementering, testning och uppföljning. Därefter etablerar vi löpande tillsyns- och förbättringsprocesser.
Vi gör en detaljerad inventering av externa beroenden, bedömer deras kritikalitet och sannolikhet för påverkan, och prioriterar åtgärder baserat på den affärsmässiga konsekvensen.
Vi implementerar tekniska och organisatoriska åtgärder, testar dem regelbundet, mäter resultat och justerar processer. En iterativ cykel säkerställer att skydden förblir effektiva över tid.
