augusti 13, 2025|10:22 f m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi ger er en tydlig och praktisk ingång till vad NIS2 innebär för svenska verksamheter. Direktivet skärper kraven på riskanalyser, tekniska och organisatoriska åtgärder och kräver större ledningsengagemang.
Fler sektorer och organisationer omfattas, och sanktionsnivåerna ökar vid bristande efterlevnad. Vi förklarar vad detta betyder för er styrning, drift och incidentrapportering.
Genom vår guide får ni stöd i att identifiera tillämpning och prioritera krav. Vi beskriver konkreta steg från nulägesbedömning till praktisk implementering och utbildning.
MSB får en samordnande roll och sektorsvisa tillsynsmyndigheter kommer att utfärda föreskrifter. Vill ni läs mer om nis2-direktivet erbjuder vi en snabb vägledning för att ligga steget före.
Här går vi igenom kärnan i det uppdaterade regelverket, dess tidslinje och varför det påverkar fler sektorer än tidigare.
Det nya ramverket antogs 2022 och trädde i kraft januari 2023. Den tidigare NIS1-regeln upphävdes i oktober 2024 efter transpositionsfristen.
Jämfört med NIS1 omfattar nis2-direktivet fler sektorer och ställer tydligare krav på ledningens ansvar, rapportering och riskhantering. Detta innebär att fler organisationer måste visa sin efterlevnad.
I Sverige föreslog SOU 2024:18 en modell för nationell reglering. En lagrådsremiss presenterades i juni 2025 och en proposition väntas hösten 2025.
MSB har ett nationellt samordningsansvar och sektorsvisa myndigheter kommer att utfärda föreskrifter och bedriva tillsyn. Vi ger också praktisk information om hur ni tidigt kan agera för att minska risk och säkra kontinuitet — läs mer i nästa avsnitt om omfattning och åtgärder.
Här förklarar vi vilka företag och myndigheter som omfattas samt vilka kriterier som avgör det.
Huvudregel: Medelstora och stora verksamheter i kritiska sektorer omfattas. Trösklarna är fler än 49 anställda eller omsättning/balansomslutning över 10 miljoner euro i berörda sektorer.
De flesta statliga myndigheter, regioner och kommuner omfattas ofta oavsett storlek. Små företag kan undantas, men gråzoner finns och avgörs av kommande föreskrifter.
Väsentliga sektorer får proaktiv tillsyn och högre sanktionsnivåer. Viktiga sektorer har i huvudsak reaktiv tillsyn och lägre böter.
Sektorer som energi, transport, hälsa, vatten, digital infrastruktur, offentlig förvaltning och rymd ingår. Även post/bud, avfall, kemikalier, livsmedel, tillverkning, forskning och fler digitala tjänster omfattas.
| Sektor | Exempel på aktörer | Tillsynstyp |
|---|---|---|
| Energi | Producent, nätoperatör, laddstationsoperatörer | Väsentlig |
| Transport | Operatörer, logistikleverantörer | Väsentlig |
| Digitala tjänster | Datacenter, moln, sociala plattformar | Viktig / Väsentlig |
MSB samordnar nationellt och sektorsmyndigheter utfärdar föreskrifter. Vi hjälper er kartlägga om ni omfattas nis2 och planera nästa steg.
Här visar vi praktiska steg för att hantera risker, säkerställa kontinuitet och rapportera betydande incidenter. Vi fokuserar på det ledningsansvar som nu uttrycks tydligare i nis2-direktivet och på hur organisationer kan implementera åtgärder på ett spårbart sätt.
Högsta ledningen måste säkerställa att policyer, roller och resurser finns för att uppfylla kraven. Vi hjälper till med utbildning och styrmodeller som visar ansvar, KPI:er och rapporteringsvägar.
Vi beskriver konkreta åtgärder för leverantörskedjan, sårbarhetshantering och kontinuitetsplanering. Det inkluderar förändringshantering, regelbundna sårbarhetsscanningar och övningar för återställning.
Praktiska kontroller omfattar loggning och övervakning, patchhantering, nätverkssegmentering och penetrationstestning. Vi hjälper er införa multifaktorautentisering, backup-rutiner och åtkomstkontroll.
En betydande incident är en händelse som kan orsaka väsentlig störning eller skada. Vi stödjer intern triagering, initial rapportering inom angiven tidsram och uppföljande slutrapport med rotorsaksanalys.
CSIRTs och NIS Cooperation Group underlättar informationsdelning och rekommendationer. EU-CyCLONe koordinerar större insatser mellan medlemsstater. Våra tjänster kopplar era processer till dessa nätverk för snabb respons.
Vi visar en praktisk arbetsplan som tar er från kartläggning till spårbar efterlevnad i vardagen.
Snabb scoping hjälper oss avgöra om er juridiska enhet omfattas och i vilka sektorer ni verkar.
Vi genomför en tydlig gap-analys som täcker policyer, processer, arkitektur, teknik, personal och budget.
Vi etablerar ett anpassat ramverk (t.ex. ISO/IEC eller NIST) och implementerar organisatoriska åtgärder och tekniska kontroller.
Mätetal och dashboards visar status och stödjer intern kontroll. Detta gör er bättre förberedda inför tillsyn.
Vi utbildar ledning och personal och stärker den dagliga förankringen av ansvar. Det minskar operativt risk.
Vi erbjuder tjänster för projektledning, teknisk leverans och attackerade tester. Våra tjänster hjälper organisationer att möta kraven och bygger långsiktig efterlevnad — läs mer om hur vi kan stödja er.
I denna slutsats visar vi varför tidig åtgärd är avgörande för verksamheter inom berörda sektorer. Det nya regelverket skärper krav på riskhantering, rapportering och ledningens ansvar. Fler sektorer, från offentlig förvaltning till digitala tjänster och transport, omfattas och tillsynen blir tuffare.
Våra rekommendationer: gör en snabb bedömning om ni omfattas nis2 och starta en prioriterad handlingsplan. Säkerställ mätbar utveckling av er cyber security-kapacitet och testa incidenthantering som är integrerad med CSIRTs och externa parter.
Fokusera på leverantörskedjan, sårbarhetshantering och kontinuitet. Vi kan erbjuda tjänster från informationsgenomgång till implementering och stöd inför tillsyn. Boka en genomgång med oss så tar vi fram ett konkret förslag baserat på er bransch, storlek och riskprofil.
Om vår verksamhet faller under begrepp som väsentlig eller viktig aktör i de listade sektorerna, och vi når storlekskriterierna, måste vi följa nya krav på riskhantering, rapportering och styrning. Vi behöver tidigt göra en kartläggning för att avgöra om reglerna gäller oss.
I jämförelse med tidigare ramverk har kraven blivit bredare och mer detaljerade. Fokus ligger nu tydligare på ledningsansvar, leverantörskedjor och strängare rapporteringsrutiner. Tillsyn och sanktioner skärps också.
Bland sektorerna finns energi, transport, hälso- och sjukvård, vattenförsörjning, digital infrastruktur, offentlig förvaltning, rymd, post och bud, avfall, kemikalier, livsmedel, tillverkning, digitala tjänster och forskning. Vi behöver identifiera om vår verksamhet verkar inom någon av dessa områden.
Bedömningen baseras på verksamhetens natur, storlek och kritiska funktioner. Väsentliga aktörer omfattas av striktare tillsyn och högre krav än viktiga aktörer. Vi rekommenderar en intern analys för att fastställa klassificering.
Ledningen måste visa ansvarstagande genom styrning, riskbedömning och utbildning av ledningsgrupper. Styrelsen förväntas fatta beslut om resurser och säkerhetspolicyer samt följa upp efterlevnad regelbundet.
Åtgärder omfattar leverantörskedjehantering, sårbarhetsskanning, kontinuitetsplaner, säkerhetsrevisioner och regelbunden uppföljning. Vi måste även dokumentera beslut och åtgärder för tillsynsmyndigheter.
En betydande incident påverkar tillgång, konfidentialitet eller integritet i sådan omfattning att samhällsviktiga funktioner störs. Vi ska rapportera enligt nationella föreskrifter inom angivna tidsfrister till ansvarig tillsynsmyndighet och i vissa fall till CSIRT.
Förväntade åtgärder inkluderar övervakning, intrångsdetektion, penetrationstestning, regelbundna uppdateringar och säkerhetskontroller. Vi behöver också genomföra logghantering och incidentövningar.
Vi måste införa krav i avtal, genomföra leverantörsgranskningar och följa upp säkerhetsnivåer hos kritiska leverantörer. Tredjepartsrisker ska ingå i vår löpande riskanalys.
Tillsyn fördelas mellan nationella myndigheter beroende på sektor, medan Myndigheten för samhällsskydd och beredskap (MSB) ofta har en samordnande roll. Vi behöver utreda vilken myndighet som ansvarar för vår sektor.
Vi kartlägger nuvarande policys, processer, teknik och resurser mot de nya kraven. Utifrån identifierade brister prioriterar vi åtgärder, tidsplaner och ansvar för implementering.
Vi bör ha uppdaterade säkerhetspolicys, incidenthanteringsplaner, riskregister, leverantörsavtal med säkerhetskrav samt rapporteringsrutiner. Dokumentation underlättar både intern styrning och extern tillsyn.
Vi genomför målgruppsanpassade utbildningar, övningar och informationskampanjer. Ledningsnivå behöver särskild utbildning i ansvar och beslutsunderlag, medan operativ personal behöver rutiner och rapporteringsvägar.
Bristande efterlevnad kan leda till sanktioner från tillsynsmyndigheter, krav på åtgärder och i vissa fall ekonomiska påföljder. Vi bör därför prioritera tidiga investeringar i åtgärder för att undvika sådana konsekvenser.
Vi etablerar mätetal, intern kontroll och regelbundna revisioner. Genom återkommande riskbedömningar, incidentanalyser och uppföljning förbättrar vi löpande våra åtgärder och rutiner.
