augusti 13, 2025|9:26 f m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi guidar svenska verksamheter när NIS2 träder i kraft och ställer nya krav på cybersäkerhet och informationssäkerhet.
EU beslutade om nis2-direktivet i december 2022 och remissen till lagen skickades i juni 2025. Proposition väntas till hösten och målet är att lagstiftningen börjar gälla 1 januari 2026.
Vi förklarar hur regler och föreskrifter påverkar era tjänster, avtal och rapporteringsflöden. Vi visar också vilka aktörer som spelar roll — från MSB till sektorsmyndigheter och er ledning.
Vårt fokus är att omvandla juridiska krav till praktiska åtgärder. Genom gap‑analys, styrning och proportionella tekniska insatser hjälper vi er nå efterlevnad i tid.
Genom att starta arbetet nu skapar ni möjlighet att ligga före, minska risk och anpassa styrdokument innan lagen och föreskrifterna slutligen publiceras.
Det europeiska beslutet från december 2022 satte igång en 21‑månadersprocess för medlemsstaterna. I praktiken betyder det att direktivet redan gäller på EU‑nivå, medan Sverige förbereder sin nationella lag.
Tidslinjen är tydlig: direktivet trädde i kraft 14 december 2022. Medlagstiftningen i Sverige förväntas börja gälla 1 januari 2026. Regeringen lämnade en lagrådsremiss i juni 2025 och proposition väntas till hösten, med avgörande steg i oktober–november.
Roller och ansvar: MSB har nationellt samordningsansvar och är kontaktpunkt mot EU. Tillsynsmyndigheter för olika sektorer blir de centrala aktörer som tar fram föreskrifter och genomför tillsyn.
Förslaget utökar antalet sektorer från 7 till 18 och skärper krav på skydd av nätverk och informationssystem. Det betyder fler åtgärder för cybersäkerhet och mer detaljerad incidentrapportering för både väsentliga och viktiga verksamhetsutövare.
Vi hjälper er tolka vad lagen och föreskrifter kommer att kräva och översätta dem till praktiska steg. För en mer teknisk genomgång, se vår fördjupad analys.
Vi ser en klar breddning av tillämpningsområdet som påverkar både offentliga och privata aktörer. Här beskriver vi vilka typer av verksamheter som kommer omfattas och vad det innebär för era tjänster.
Direktivet pekar ut 18 sektorer, bland dem energi, transport, bank- och finansmarknadsinfrastruktur, sjukvård, dricksvatten, digital infrastruktur och offentlig förvaltning. Andra kritiska områden är post, avfallshantering, livsmedel, kemikalier, tillverkning, forskning och digitala leverantörer.
Som huvudregel omfattas medelstora och större verksamhetsutövare inom dessa sektorer. Högkritiska aktörer klassas ofta som väsentliga entiteter och får strängare tillsyn. Mindre företag kan undantas beroende på typer av tjänster och påverkan på samhällsfunktioner.
Leverantörer i kedjan blir också berörda. Det innebär krav på avtal, uppföljning och möjlighet att ställa säkerhetskrav mot underleverantörer. Vi rekommenderar att ni kartlägger beroenden och dokumenterar vilka aktörer som påverkar era kritiska tjänster.
Verksamheter måste nu omsätta regelverk i praktiska riskhanteringsåtgärder för att säkra nätverk och tjänster.
Vi bryter ner de tio centrala områdena i konkreta åtgärder: policy för riskanalys, incidenthantering, kontinuitetsplanering, leverantörssäkerhet och säker utveckling med sårbarhetshantering.
Säkra livscykler kräver rutiner för kodgranskning, patchhantering och kryptografi där det behövs. Multifaktorautentisering och åtkomstkontroller skyddar information och system.
Ledningen behöver visa ansvar genom styrdokument, utbildning och cyberhygienprogram. Vi föreslår mätetal för att följa efterlevnad och effekten av åtgärder.
ISO 27001/27002 används som ryggrad och mappas mot MSBFS 2018:8 och 2020:7 för praktisk vägledning. Detta inkluderar även utkontrakterade informationssystem.
”Vi etablerar ett riskramverk som kopplar informationssäkerhet, nätverk och informationssystem till verksamhetens mål.”
| Område | Praktisk åtgärd | Nyckelmått |
|---|---|---|
| Policy & riskanalys | Årlig riskbedömning och styrdokument | Antal åtgärder avslutade |
| Incidenthantering | Playbooks, övningar och rapportflöden | Tid till upptäckt/återställning |
| Leverantörssäkerhet | SLA, revisioner och krav i avtal | Andel leverantörer med revision |
| Säker utveckling | Sårbarhetsscanning och patchpolicy | Median tid till patch |
Snabb och korrekt incidentrapportering avgör hur väl vi hanterar händelser som påverkar tillgänglighet, autenticitet, riktighet eller konfidentialitet hos uppgifter och tjänster. En incident definieras som en påverkan på nätverk och informationssystem som stör drift eller leder till skada.
Betydande incidenter är de som orsakar eller kan orsaka allvarliga driftsstörningar, stora ekonomiska konsekvenser eller spridning av skada till andra. Ett betydande cyberhot kräver snabb bedömning och kan föranleda mottagarunderrättelser.
Rapportering sker i tre steg: tidig varning inom 24 timmar, incidentanmälan inom 72 timmar och slutrapport senast en månad efter anmälan. Vi hjälper er att skapa mallar så ni kan rapportera incidenter utan onödigt dröjsmål.
| Steg | Tidsfrist | Innehåll |
|---|---|---|
| Tidig varning | 24 timmar | Initial bedömning, påverkan på tjänster och första åtgärder |
| Incidentanmälan | 72 timmar | Detaljer om orsaker, indikatorer och påverkade digitala tjänster |
| Slutrapport | 1 månad | Fullständig utredning, lärdomar och föreslagna motåtgärder |
Vi etablerar rutiner för att underrätta kunder och beroende parter när det är lämpligt. Underrättelsen ska ange konkreta åtgärder mottagaren kan vidta och bedöma målgruppens behov.
”Rapportera till CERT‑SE/MSB enligt myndighetskrav och synkronisera externa uttalanden med myndighetsrapporteringen.”
För mer detaljer om regelverket och myndighetskontakt, se det här om nis2-direktivet. Vi säkerställer också att ni bevarar bevis och koordinerar med hotintelligens för bättre kvalitet i rapporterna.
För väsentliga verksamheter kan tillsynen innebära oannonserade platsrevisioner och djupare granskning av leverantörsledet.
Skillnaden mellan väsentliga och viktiga aktörer påverkar hur hårt myndigheten kontrollerar rutiner och bevis. Väsentliga verksamhetsutövare får ofta mer ingripande inspektioner, medan viktiga entiteter möter mer begränsade kontroller.
Myndigheter kan begära information, genomföra platsrevisioner och utfärda förelägganden. Vid uteblivna åtgärder finns även rätt att söka domstolsförbud mot ledningspersoner.
Sanktioner varierar från varningar och förelägganden till administrativa avgifter. För väsentliga aktörer kan böter nå upp till 10 000 000 EUR eller 2 % av global omsättning. För viktiga aktörer gäller upp till 7 000 000 EUR eller 1,4 %.
”Dokumenterad efterlevnad och tydliga åtgärder är den bästa vägen för att minimera risk för sanktioner.”
| Åtgärd | Rätt/konsekvens | Praktisk möjlighet |
|---|---|---|
| Begäran om information | Obligatorisk svarstid | Upprätta dokumentpaket |
| Platsrevision | Oannonserad undersökning | Second/third line-granskning |
| Föreläggande | Tvångsmedel vid uteblivna åtgärder | Eskalering och remediationsplan |
| Administrativ avgift | Stora bötesnivåer | Förebyggande leveranskedjeåtgärder |
Vi börjar alltid med en objektiv gap‑analys för att jämföra nuvarande kontroller mot vad nis2-direktivet ska kräva. Detta ger underlag för prioriterade åtgärder och investeringar.
Efter gap‑analysen genomför vi en riskbedömning kopplad till verksamhetskritiska tjänster och informationssystem. Resultatet styr vilka åtgärder som ger störst effekt.
Åtgärdsplanen innehåller delmål, ansvar och tidslinje samt mätetal för hur kraven följs upp.
Vi etablerar ett policyramverk med roller, rutiner och interna efterlevnadskontroller. MSBFS 2018:8 och ISO 27001/27002 används som referens för ett systematiskt, riskbaserat arbete.
Vi definierar krav mot leverantörer, inklusive SLA, revision och incidentprocesser, och säkerställer att utkontrakterade miljöer omfattas. Detta stärker leverantörsledets spårbarhet.
”Ett PMO‑liknande program, med styrgrupp och risklogg, håller kursen mot måldatum och möjliggör kontinuerlig förbättring.”
Vi ser att direktivet skärper säkerheten för samhällsviktiga digitala tjänster och utökar antalet sektorer som omfattas.
Verksamhetsutövare inom t.ex. sjukvård, avfallshantering och infrastruktur måste nu säkra sina nätverk och digitala tjänster. Lagstiftningen väntas träda i kraft 1 januari 2026, med en viktig milstolpe i oktober 2025 när propositionen kommer.
Hög gemensam nivå i informationssäkerhet samhällsviktiga digitala miljöer kräver tydliga riskhanteringsåtgärder och fungerande incidentrapportering. Tydliga roller, övningar och dokumenterad evidens minskar risken för incidenter och sanktioner.
Vi erbjuder gap‑analys, roadmap och implementering som kopplar föreskrifter till mätbar nytta. Kontakta oss för en konkret start och stärkt motståndskraft mot hot mot samhällsviktiga digitala tjänster.
Vi förklarar vilka krav som blir bindande, vilka sektorer som omfattas och hur vi behöver anpassa vår informationssäkerhet. Vi hjälper er med gap‑analys, riskbedömning och att ta fram en åtgärdsplan för att nå efterlevnad.
EU‑direktivet väntas implementeras i nationell lagstiftning fram till 2026. Tidslinjen omfattar beslut på EU‑nivå, nationella föreskrifter och övergångsperioder. Vi följer utvecklingen och kan anpassa er roadmap efter aktuella datum.
Myndigheter som MSB och andra tillsynsmyndigheter ansvarar för tillsyn, föreskrifter och vägledning. Vi kan hjälpa er att tolka krav, förstå tillsynens fokus och förbereda underlag för myndighetskontakter.
Om ni verkar inom energisektorn, transport, sjukvård, digital infrastruktur, offentlig förvaltning, avfallshantering eller andra samhällsviktiga områden är sannolikheten hög. Vi kartlägger om ni betraktas som väsentlig eller viktig enhet och vilka kriterier som styr omfattningen.
Väsentliga entiteter har ofta större krav, strängare tillsyn och högre sanktioner än viktiga entiteter. Skillnaden baseras på samhällspåverkan, storlek och beroenden. Vi bedömer er kategori och anpassar rekommendationer därefter.
Leverantörer måste uppfylla säkerhetskrav, avtalas i leveranskontrakt och vara föremål för uppföljning. Vi hjälper till formulera krav, granska avtal och lägga upp rutiner för leverantörshantering och incidentkommunikation.
Vi rekommenderar policyer för riskhantering, incidenthantering, kontinuitet, leverantörssäkerhet, sårbarhetshantering, kryptering och autentisering. Åtgärderna anpassas efter verksamhetens riskprofil och nuvarande säkerhetsnivå.
Vi inför säkra utvecklingsrutiner, kodgranskning, sårbarhetsskanning och releasestyrning. Dessutom rekommenderar vi kontinuerlig utbildning och riktlinjer för att minimera risker i både nya och befintliga informationssystem.
Ledningen bär det övergripande ansvaret för styrning, resurser och kultur. Vi bistår med att etablera roller, mandat, rapporteringsvägar och utbildningsprogram för att säkerställa ledningsanknytning och ansvarstagande.
Standarder som ISO/IEC 27001 och 27002 ger stöd, liksom nationella MSB‑föreskrifter. Vi hjälper er att använda dessa som ramverk för policys, kontroller och certifieringsförberedelser.
Rapporteringen följer steg: tidig varning (inom 24 timmar), incidentanmälan (72 timmar) och slutrapport (inom en månad). Rapporter ska beskriva påverkan, åtgärder, orsaker och rekommenderade åtgärder. Vi stöttar i att skapa mallar och processer för detta.
En incident bedöms utifrån påverkan på tjänsters tillgänglighet, konfidentialitet eller integritet samt samhällspåverkan. Vi hjälper er ta fram kriterier för bedömning och interna trösklar för rapportering.
Det innebär snabba, dokumenterade åtgärder och information till berörda parter. Vi hjälper er skapa notifieringskedjor, mallar och rutiner för att agera snabbt och tydligt vid incidenter.
Tillsynen kan omfatta revisioner, förelägganden och sanktionsavgifter. Personligt ansvar kan bli aktuellt för ledande befattningshavare. Vi kartlägger riskexponering och förbereder er för tillsynsprocesser.
En robust plan innehåller gap‑analys, riskbedömning, prioriterad åtgärdsplan, styrning och leverantörskontroller. Vi levererar en stegvis roadmap med tidplan, ansvar och mätbara mål för efterlevnad.
Vi utformar kravspecifikationer, avtalstillägg och uppföljningsrutiner. Regelbunden revision och testning av leverantörers säkerhet ingår för att minimera risker i leveranskedjan.
Ja, vi erbjuder stöd vid genomförande av tekniska åtgärder, processförändringar och utbildningar för ledning och personal. Vi kan även utföra övningar och verifiera att rutiner fungerar i praktiken.
Vi föreslår nyckeltal för sårbarheter, incidenter, åtgärdsstatus och leverantörsprestation. Genom regelbundna revisioner och rapporter säkerställer vi kontinuerlig förbättring och dokumenterad efterlevnad.
