augusti 13, 2025|10:15 f m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi ger en tydlig startpunkt för ert arbete med cybersäkerhet inför de nya kraven. Beslutet togs i december 2022 och införlivandet har följts upp nationellt, med viktiga milstolpar under oktober.
Direktivet höjer EU:s hög gemensam ambitionsnivå för skydd av nätverk och informationssystem. Det påverkar hur information hanteras i affärskritiska processer och ställer krav på både teknik och styrning.
Som verksamhetsutövare behöver vi förstå omfattningen, genomföra riskanalyser och etablera dokumenterad styrning. Ledningens deltagande, incidenthantering och leverantörsstyrning blir centrala delar i varje verksamhet.
I Sverige pågår införlivandet via SOU 2024:18 och en lagrådsremiss, samtidigt som MSB och sektorsmyndigheter erbjuder vägledning. Vi pekar på praktiska steg för att snabbt prioritera åtgärder och skapa verifierbar efterlevnad.
Det uppdaterade ramverket breddar tillämpningen och stärker tillsynen över digital infrastruktur. Vi förklarar kort hur regelverket går längre än tidigare och vad det innebär för er verksamhet.
Reglerna omfattar nu fler sektorer och tjänster, bland annat offentlig elektronisk kommunikation och flera digitala tjänster. Detta gör att fler leverantörer och offentlig förvaltning inkluderas i skyldigheterna.
Syftet är att höja nivå på cybersäkerhet genom systematiskt arbete, förbättrade kontroller och dokumenterade processer. Medlemsstaterna ska anta nationella strategier som tar upp leveranskedjan, sårbarhetshantering och utbildning.
Vill ni veta mer om vad detta betyder i praktiken och hur ni bör agera, läs gärna vår fördjupning på vad nis2-direktivet innebar.
Vi listar här vilka sektorer och tjänster som nu omfattas och vad det betyder för er verksamhet.
Sektorer som berörs inkluderar energi, transport och sjukvård samt vattenförvaltning och finans. Dessa samhällsviktiga digitala system har höga krav på kontinuitet och riskhantering.
Digitala tjänster som påverkas är exempelvis plattformar för information, onlinetjänster och system som stödjer kritisk drift. Medelstora och stora aktörer i dessa sektorer ska omfattas och införa lämpliga åtgärder.
Med digital infrastruktur menar vi bland annat DNS, IXPs och datacenter. Fler digitala tjänster, bland annat sociala plattformar, har lagts till för att stärka cybersäkerhet i hela infrastrukturen.
Offentlig förvaltning på central och regional nivå, post- och budtjänster samt avfall och avloppsvatten omfattas. Det påverkar hur information och processer i förvaltning måste skyddas.
Tillverkning av kritiska produkter och rymdsektorn ingår också, med tanke på kraftförsörjning och gränsöverskridande beroenden.
Verksamhetsutövare måste nu etablera tydliga processer för riskhantering och operativa åtgärder. Vi rekommenderar ett systematiskt arbete med styrdokument, roller och mätetal som visar faktisk effekt.
Vi föreslår att informationssäkerhet byggs i riskprocessen med riskregister och kontrollbibliotek. Prioritera identitetshantering, patch- och sårbarhetshantering, backup och nätsegmentering.
Ledningen ska vara delaktig och få regelbunden rapportering. Brister kan medföra ansvarsskyldighet och kräver tydliga rapportvägar till styrelse och beslutsfattare.
Vi betonar due diligence på leverantörer, avtal med säkerhetskrav och kontinuerlig övervakning. Tredjepartsrisker ska mappas mot kritiska tjänster och sektorer.
Utbildning av nyckelpersoner och styrelse skapar bättre beslutsunderlag. Medvetenhetsprogram bör skräddarsys för olika roller och kopplas till incidentberedskap.
När allvarliga incidenter sker måste vi agera strukturerat för att skydda kritiska tjänster och infrastruktur. Snabb identifiering och tydliga rapporteringsfilter avgör om en händelse når rapporteringsnivå enligt direktivet.
Vi definierar betydande incidenter utifrån påverkan på tillgänglighet, sekretess och funktionalitet. Verksamhetsutövare ska sätta tröskelvärden och dokumentera när en händelse kräver anmälan.
Rapporter bör följa en kedja: tidig varning, initial rapport, uppföljande information och slutrapport. Ange tydlig information om påverkan, tidslinjer, rotorsak och åtgärder.
CSIRT-enheter erbjuder operativ hjälp vid analys, koordinering och återställning. Vi rekommenderar att CSIRT-kontakter integreras i era playbooks för ransomware, DDoS och dataintrång.
Vid gränsöverskridande kriser samordnar EU-CyCLONe informationsutbyte och resurser för att minska skador på nätverks- informationssystem och infrastruktur.
Införandet i svensk rätt bygger på förslag från SOU 2024:18 och en nyligen inlämnad lagrådsremiss. Dessa steg banar väg för en ny cybersäkerhetslagen som ska införlivas i svensk lagstiftning. Lagrådet yttrar sig innan propositionen väntas hösten 2025.
SOU 2024:18 föreslår hur reglerna ska bli tillämpbara för verksamheter i olika sektorer. Regeringens lagrådsremiss från juni 2025 preciserar förslag till cybersäkerhetslagen.
MSB har en samordnande roll mot tillsynsmyndigheter och verksamhetsutövare. Myndigheten fungerar även som kontaktpunkt mot EU och kan utfärda föreskrifter som rör gemensamma krav.
Varje sektor får en eller flera tillsynsmyndigheter med rätt att meddela sektorsspecifika regler och utföra tillsyn över tjänster och infrastruktur.
För att följa utvecklingen och få myndighetsmaterial rekommenderar vi att ni läser det här materialet från MSB och anpassar interna policys så att de speglar kommande regler och sektorskrav.
Vi beskriver hur två parallella regelverk tillsammans höjer kraven på både digital säkerhet och fysisk motståndskraft. Målet är att ge en tydlig bild av hur verksamhetsutövare kan harmonisera arbete för att möta nya förväntningar från tillsyn och lagstiftning.
Det ena regelverket fokuserar på digitala kontroller, incidentrapportering och skydd av nätverk och informationssystem. Det andra bygger upp fysisk motståndskraft, beredskapsplaner och personalrelaterade åtgärder.
De kompletterar varandra: digitala säkerhetskontroller kan återanvändas i motståndskraftplaner. På så vis minskar vi dubbelarbete och skapar en mer robust styrning.
CER-direktivet kräver att kritiska verksamhetsutövare gör riskbedömningar och inför tekniska, organisatoriska och säkerhetsmässiga åtgärder.
Vi rekommenderar en gemensam riskmetod, delade kontroller och synkroniserade beredskapsplaner mellan sektorer. Detta underlättar revision och minskar administrativ börda för aktörer inom energi, transport, sjukvård, post- och budtjänster samt offentlig förvaltning.
Börja med en enkel kartläggning för att snabbt se om er verksamhet omfattas nis2 och vilka åtgärder som behövs. Vi rekommenderar ett tidigt beslut om ansvar och en plan för anmälan som verksamhetsutövare.
Vi guidar er genom kriterier för vilka som ska omfattas och hur anmälan går till i praktiken. Gör en lista över kritiska tjänster och leverantörer.
Sätt upp policyer, riskregister och ett kontrollbibliotek. Anpassa åtgärder efter risk och påverkan på tjänster.
Ställ krav i avtal, genomför due diligence och följ upp tredjepartsrisker för att säkra distribution och drift.
Bygg playbooks, definiera roller och SLA:er samt öva scenarier regelbundet. Förbered teknisk telemetri för snabb rapportering.
| Steg | Vad | Resultat |
|---|---|---|
| Kartläggning | Identifiera tjänster, leverantörer och kritiska processer | Beslut om anmälan och prioriteringar |
| Styrning | Policyer, riskregister och ledningsrapportering | Spårbarhet och styrbarhet |
| Leveranskedja | Avtal, revision och kontinuitetskrav | Minskad tredjepartsrisk |
Vi rekommenderar en tydlig färdplan där ledningen tar ansvar för prioritering, resurser och styrning. Ett samlat program för cybersäkerhet och motståndskraft minskar risk och gör efterlevnad mer hanterbar.
Direktivet ställer krav på dokumentation, incidentrapportering och leverantörsstyrning. Genom att fokusera på risk, kontroller och regelbunden övning skyddar ni era kritiska tjänster och minskar sanktionsrisk.
CER kompletterar detta med krav på fysisk motståndskraft och bakgrundskontroller. Vi ser stort värde i att integrera arbetet för snabbare återhämtning och effektivare tillsyn.
Ta nästa steg: etablera en färdplan, säkra ledningsstöd och avsätt resurser. Vill ni fördjupa er, läs mer i MSB:s material och läs mer i relevanta EU-vägledningar för praktiska råd om implementering.
Direktivet höjer ambitionsnivån för skydd av nätverks- och informationssystem i många sektorer. Vi behöver kartlägga vår verksamhet, bedöma risker och införa strukturerat informationssäkerhetsarbete för att uppfylla krav på förebyggande åtgärder, incidentrapportering och leverantörsstyrning.
Om ni tillhandahåller samhällsviktiga eller viktiga digitala tjänster inom områden som energi, transport, hälso- och sjukvård, post- och budtjänster, digital infrastruktur eller tillverkning av kritiska produkter så räknas ni ofta in. Vi rekommenderar en snabb verksamhetsanalys för att avgöra status och anmälningsplikt till rätt tillsynsmyndighet.
Börja med att identifiera kärntjänster och kritiska system, genomföra en riskanalys och införa policyer för informations- och cybersäkerhet. Etablera styrning, roller i ledningen, rutiner för leverantörskontroll och utbildning för personalen. Dokumentation av åtgärder är central för tillsyn och revision.
Ledningen bär ansvar för att säkerställa att riskhantering, resurser och strategier finns på plats. Vi måste rapportera incidenter, prioritera investeringar i säkerhet och visa att beslut fattas med hänsyn till informationssäkerhet och verksamhetens kontinuitet.
Vi måste ställa säkerhetskrav i avtal, genomföra leverantörsbedömningar och följa upp efterlevnad i hela leveranskedjan. Distribution och tredjepartsleverantörer kan bli avgörande svaga länkar om vi inte hanterar sårbarheter och rapporteringsvägar.
Betydande incidenter som påverkar tillgänglighet, konfidentialitet eller integritet hos kritiska tjänster ska rapporteras enligt föreskriven tidsram. Vi behöver interna rutiner för upptäckt, bedömning och eskalering för att säkerställa snabb och korrekt rapportering till CSIRT eller tillsynsmyndighet.
CSIRT-nätverket och initiativ som EU-CyCLONe möjliggör samordnat tekniskt stöd och informationsutbyte vid gränsöverskridande incidenter. Vi måste kunna kommunicera med dessa strukturer och följa rekommendationer för gemensamt svar och återställning.
Införlivning sker via nationell lagstiftning och föreskrifter, där exempelvis en kommande cybersäkerhetslag kompletterar reglerna. Myndigheter som Myndigheten för samhällsskydd och beredskap (MSB) och sektorsvisa tillsynsmyndigheter får centrala roller i samordning, föreskrifter och tillsyn.
Ja. Det finns överlappningar med regler för fysisk motståndskraft och kritisk infrastruktur. Vi måste integrera riskbedömningar, bakgrundskontroller och incidentrapportering för att uppfylla både digitala och fysiska krav.
Vanliga fel är bristande dokumentation, otillräcklig leverantörskontroll, otydligt ledningsansvar och sporadisk övning. Vi rekommenderar struktur, kontinuerlig uppföljning, regelbundna övningar och att involvera ledningen tidigt för att undvika dessa fallgropar.
Ha uppdaterade policyer, riskanalyser, incidentloggar och leverantörsavtal lättillgängliga. Visa att ni kontinuerligt mäter säkerhetsnivån, genomför utbildningar och att ledningen regelbundet granskar säkerhetsarbetet.
Utbildning minskar mänskliga misstag och stärker vår förmåga att upptäcka och hantera incidenter. Vi bör genomföra regelbundna kurser, phishing-övningar och riktlinjer för säker användning av informationssystem.
Mindre aktörer kan arbeta nivåanpassat: prioritera kritiska tillgångar, införa grundläggande säkerhetsåtgärder, använda ramverk och mallar samt samarbeta med externa experter för kostnadseffektiva lösningar och dokumentation.
Vi rekommenderar den nationella myndigheten för cybersäkerhet och branschspecifika riktlinjer. MSB och andra tillsynsmyndigheter erbjuder vägledningar, checklistor och föreskrifter som vi kan använda för att strukturera vårt arbete.
