augusti 13, 2025|10:13 f m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi introducerar vad NIS2 är och varför direktivet blir centralt för svensk cybersäkerhet framåt. I december 2022 tog EU beslutet som skärper spelreglerna och breddar till fler sektorer. Vi förklarar vad detta betyder för er verksamhet i Sverige.
Vårt arbete börjar alltid med en tydlig gap-analys. Därefter bygger vi styrning, processer och utbildning så att ni kan uppnå hög mognad i informationssäkerhet. MSB:s roll och planerad svensk lagstiftning ger en tydlig tidslinje att förhålla sig till.
Direktivet ställer tydligare krav på riskhantering, ledningens ansvar och rapportering. Sanktionerna är hårdare än tidigare, så vi hjälper er att undvika överraskningar i tillsyn och att omsätta reglerna till praktiska program för kontroll och kontinuitet.
Vi hjälper er att omvandla osäkerhet kring kommande regelverk till en tydlig, praktisk plan som fungerar i svenska verksamheter.
MSB betonar att informationen är övergripande tills svensk lag är färdig och kommer att uppdateras löpande.
Vår guide visar hur ni identifierar om er verksamhet omfattas och hur ni anmäler er. Vi visar också hur ni upprätthåller ett systematiskt arbete med informationssäkerhet för både samhällsviktiga och digitala miljöer.
”Verksamhetsutövare ska identifiera om de omfattas, införa säkerhetsåtgärder, utbilda ledning och personal samt rapportera betydande incidenter.”
Vi förbereder er för vilka bevis tillsynen kommer att efterfråga och hur ni dokumenterar processer så de är revisionsbara från dag ett.
Vill ni ha en komplett genomgång? Läs mer i vår omfattande guide för konkreta verktyg och checklistor.
Från förslag till lag: så ser tidplanen ut för införandet av det uppdaterade direktivet i svensk rätt. Vi redogör kort för vart arbetet är på väg och vad som påverkar er planering.
Svensk förberedelse: SOU 2024:18 föreslår hur reglerna kan formuleras. I juni 2025 skickade regeringen en lagrådsremiss som pekar mot en ny kommande cybersäkerhetslagen. Efter lagrådets yttrande väntas proposition hösten 2025.
Direktivet skärper krav och breddar tillsynen. Det innebär fler tillsynsmyndigheter och detaljer som påverkar ansvar, rapportering och budget.
| Aspekt | Vad som föreslås | Praktisk effekt |
|---|---|---|
| Lagstiftning | SOU 2024:18 och remiss juni 2025 | Ny lagstext och föreskrifter väntas |
| Tidslinje | Proposition hösten 2025 | Planera nyckelkontroller före lagens ikraftträdande |
| Omfattning | Fler sektorer | Flertalet verksamhetsutövare behöver kartläggas |
| Syfte | Uppnå hög gemensam nivå | Harmonisering över gränser och branscher |
Vi rekommenderar att ni granskar era styrmodeller nu. Tydligare krav bland ledningsansvar och riskhantering gör att tidiga åtgärder ger bättre kontroll framöver.
Här visar vi hur ledningens ansvar översätts till tydliga policyer, resurser och mätbara mål.
Ledningen måste fatta konkreta beslut om riskaptit, budget och styrning. Vi hjälper er att formulera policyer, tillsätta roller och besluta om prioriteringar så att styrning blir operativ.
Vi beskriver hur riskanalyser genomförs i ett allriskperspektiv och kopplas till prioriterade åtgärder. Genom att väga riskanalyser olika säkerhetsåtgärder kan ni välja proportionerliga tekniska och organisatoriska lösningar.
MSB får en samordnande roll och kan utfärda föreskrifter för gemensamma aspekter. Sektorsmyndigheter kommer att precisera regler för rapportering, övning och dokumentation.
Vi hjälper verksamhetsutövare att sätta mätbara mål för efterlevnad och att mappa krav bland styrning, processer och verktyg mot etablerade ramverk. Målet är att uppnå hög gemensam nivå av cybersäkerhet i EU.
Vi förklarar vilka aktörer som omfattas och hur ni formellt ska anmäla er till ansvarig myndighet. Nedan listar vi de 18 sektorer som ingår och ger praktisk vägledning för identifiering och anmälan.
SOU 2024:18 anger vilka aktörer som klassas som väsentliga. Övriga verksamheter blir viktiga verksamhetsutövare.
Skillnaden påverkar tillsyn och sanktionsrisk. Väsentliga aktörer får striktare tillsyn och högre krav på dokumentation.
Verksamhetsutövare måste själva identifiera om de omfattas och anmäla sig till respektive tillsynsmyndighet. Bedömningar baseras på verksamhetsdefinitioner, storlekskriterier och affärsmodell.
För offentliga verksamheter finns särskilda samordningsfrågor för offentlig förvaltning. Vi rekommenderar att ni sparar all kommunikation och refererar till det här direktivet vid kontakten med tillsynsmyndigheterna.
Ett strukturerat angreppssätt för riskanalyser ger er bättre kontroll och prioritering. Vi hjälper er att bygga ett systematiskt arbete informationssäkerhet som binder ihop styrning, processer, roller och utbildning.
Vi beskriver hur ni sätter policyer, roller och utbildningar för ledning och personal. Genom tydliga processer blir uppföljning och ansvar enklare att visa vid tillsyn.
Riskanalyser planeras och utförs med sannolikhet och konsekvens, samt acceptansnivåer. Resultaten kopplas till kontroller och en roadmap för prioriterade åtgärder.
Praktiska kontroller inkluderar segmentering, patchning, EDR, IAM och loggning. Organisatoriska åtgärder omfattar policyer, övningar och leverantörsuppföljning.
Verksamhetsutövare ska skapa en förbättringscykel med regelbundna översyner och kontrolltester. Vi dokumenterar metodik för riskanalyser så att era beslut blir revisionsbara och mätbara.
Snabb och korrekt incidentrapportering minskar skadan och underlättar samordning med myndigheter. Vi visar hur verksamhetsutövare ska organisera processer så att information når rätt mottagare i tid.
Definitionen av betydande incident kommer att preciseras i föreskrifter. Tills dess bör ni använda trösklar baserade på påverkan på drift, integritet och sekretess.
Varning skickas inom 24 timmar. En inledande anmälan lämnas inom 72 timmar. Slut- eller lägesrapport ska levereras inom en månad.
Enligt SOU 2024:18 rapporterar verksamhetsutövare till MSB som vidarebefordrar till respektive tillsynsmyndighet. CERT-SE kan ge teknisk rådgivning och hjälpa till att begränsa störningar.
Vi beskriver vem som granskar er verksamhet och vad tillsynen konkret innebär i varje sektor.
Enligt SOU 2024:18 pekas flera myndigheter ut för olika sektorer. Exempel är Energimyndigheten (energi), Transportstyrelsen (transporter), Finansinspektionen (bank och finansmarknadsinfrastruktur) och PTS (digital infrastruktur).
Livsmedelsverket, IVO och Läkemedelsverket får särskilda roller för vatten, vård och medicinteknik. Flera länsstyrelser ansvarar för regionalt tillsynsarbete.
Tillsyn riktas olika beroende på om en aktör är väsentlig eller viktig. Väsentliga verksamhetsutövare granskas mer proaktivt och får tätare uppföljning.
Viktiga verksamhetsutövare granskas vid befogad anledning. Myndigheten har rätt till tillträde, begära dokumentation och följa upp incidenter och åtgärder.
Sanktionsavgifter kan bli betydande. För väsentliga aktörer kan avgiften uppgå till det högsta av 2% eller 10 000 000 euro.
För viktiga verksamhetsutövare kan avgiften bli det högsta av 1,4% eller 7 000 000 euro. Offentliga verksamhetsutövare kan drabbas av upp till 10 000 000 kr.
Med CER införs krav på riskbedömningar, bakgrundskontroller och snabb rapportering för kritiska aktörer. Direktivet syftar till att stärka fysisk och organisatorisk motståndskraft i sektorer som energi, transporter och vård.
CER (2022/2257) kräver systematiska riskanalyser, åtgärdsplaner och bakgrundskontroller för berörd personal. Rapportering av allvarliga störningar ska ske snabbt, med första anmälan till MSB inom 24 timmar.
Vi ser en tydlig överlappning mellan digital säkerhet och fysisk resiliens. För verksamhetsutövare innebär det att informationssäkerhet samhällsviktiga digitala system måste kopplas till drift- och fastighetsskydd.
”Syftet är att uppnå hög motståndskraft i kritiska sektorer genom integrerade åtgärder för både digitala system och fysisk drift.”
Vi rekommenderar att ni integrerar incidentrapportering och processer för störningar så att de fungerar både för CER och NIS2. På så vis blir era riskanalyser både bredare och mer handfasta.
Avslutningsvis ger vi konkreta steg för att snabbt höja er säkerhetsberedskap.
Vi rekommenderar att ni omgående startar ett systematiskt arbete med informationssäkerhet. Etablera styrning, roller och uppföljning samt plan för gap-analys, risk och åtgärder fram till kommande cybersäkerhetslagen.
Identifiera omfattas och påbörja identifiera omfattas anmäla-processen tidigt. Säkerställ att verksamhetsutövare ska kunna rapportera inom 24/72/30 dagar och testa rutiner i övningar.
Flera sektorer påverkas och offentlig förvaltning behöver samordna tvärfunktionellt. Tillsyn kan innebära kännbara sanktioner upp till 000 000-nivåer, så agera proaktivt.
Vi erbjuder stöd för tolkning, implementering av kontroller och förberedelse av underlag inför tillsyn på rätt nivå.
Det innebär att vi måste anpassa våra rutiner och styrdokument till nya juridiska krav som snart får nationell verkan. Lagen konkretiserar ansvar för ledningen, ställer krav på systematiskt arbete med informationssäkerhet och ger tillsynsmyndigheter befogenheter att utfärda föreskrifter och genomföra kontroller.
Vi kartlägger verksamhetens kritiska funktioner mot de 18 sektorer som omfattas, bland annat energi, hälso- och sjukvård, offentlig förvaltning och digitala leverantörer. Om våra tjänster bedöms väsentliga eller viktiga måste vi anmäla oss till respektive tillsynsmyndighet enligt de kriterier som myndigheterna anger.
Väsentliga aktörer omfattas av striktare tillsyn, högre krav på rapportering och potentiellt hårdare sanktioner. Viktiga aktörer har mindre omfattande skyldigheter, men måste fortfarande visa systematiskt informationssäkerhetsarbete och följa föreskrifter från sin tillsynsmyndighet.
Vi genomför allriskanalyser med fokus på verksamhetens kritiska funktioner, bedömer proportionerlighet och dokumenterar kontinuerliga förbättringar. Analysen bör täcka tekniska, organisatoriska och leverantörsrelaterade risker samt konsekvenser för samhällsviktiga tjänster.
Vi implementerar åtgärder som systematiskt åtkomstkontroll, patchhantering, incidenthantering, kontinuitetsplaner och utbildning. Åtgärderna ska vara proportionerliga mot riskbilden och tydligt förankrade i ledningens ansvar för informationssäkerheten.
Vi följer den föreslagna tidslinjen: om vi upptäcker en betydande incident varnar vi tillsynsmyndigheten inom 24 timmar, skickar en inledande anmälan inom 72 timmar och lämnar en slut- eller lägesrapport inom en månad. Lokala föreskrifter kan ge fler detaljer kring innehåll och kanal för rapporteringen.
En betydande incident är en händelse som påverkar tillgång, konfidentialitet eller integritet för tjänster som är viktiga för samhälls- eller verksamhetskritiska funktioner. Bedömningen ska dokumenteras och vägledas av föreskrifter från tillsynsmyndigheten.
Myndigheter som MSB och CERT-SE samordnar stöd, delar information och erbjuder tekniskt och operativt stöd vid större incidenter. De fungerar även som centrala kontaktpunkter för samverkan mellan myndigheter och privata aktörer.
Tillsynsmyndigheterna genomför granskningar, begär dokumentation av riskanalyser och säkerhetsåtgärder, och kan utföra platsbesök. För väsentliga aktörer är kontrollaktiviteten mer omfattande och kan leda till sanktioner vid brister.
Sanktioner kan inkludera administrativa böter vars nivåer varierar beroende på aktörens kategori. Offentlig verksamhet kan dessutom omfattas av särskilda avgifter. Sanktionernas storlek relateras till överträdelsens allvar och verksamhetens storlek.
Vi rekommenderar att ledningen formellt tar ansvar genom att besluta om strategi, allokera resurser, godkänna policys och säkerställa att styrning, processer och utbildning finns på plats. Ledningens engagemang är avgörande för ett systematiskt säkerhetsarbete.
Vi behöver införa krav på leverantörssäkerhet, göra leverantörsbedömningar och säkerställa att avtal innehåller relevanta säkerhetsvillkor. Leverantörsrisker ska ingå i våra riskanalyser och kontroller bör följas upp löpande.
Offentliga verksamheter omfattas av både generella regelverk för myndigheters informationssäkerhet och de nya bestämmelserna som införs via den kommande lagen. De kan också omfattas av särskilda sanktionsnivåer och rapporteringsskyldigheter.
Vi kartlägger överlappande krav och harmoniserar rutiner så att både digital och fysisk motståndskraft hanteras. Genom gemensamma riskbedömningar och styrdokument minskar vi dubbelarbete och säkerställer konsekvent efterlevnad.
Vi rekommenderar att påbörja omfattande riskanalyser, stärka ledningsstyrning, uppdatera incidenthantering och granska leverantörsavtal. Tidiga åtgärder minskar sanktionsrisk och ger bättre beredskap när föreskrifter träder i kraft.
