augusti 12, 2025|4:50 e m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi beskriver varför en NIS2 risk assessment är mer än en checklista. Vi arbetar för att stärka er mot dagens hot och morgondagens emerging threats med en helhetssyn på compliance och security.
Direktivet ställer krav på en proaktiv cybersäkerhetskultur och tydlig sikt i leveranskedjan. Vi förklarar hur article 21–22 påverkar er organisation, från policies och measures till praktisk governance och management.
Vi visar hur vår metod kombinerar tekniska och icke-tekniska faktorer, hanterar beroenden i supply chain och minskar single points of failure. Vårt fokus är proportionell säkerhetsnivå, mätbara åtgärder och löpande compliance-kontroller.
En förändrad hotbild och nya regler tvingar fram snabbare prioriteringar i cybersäkerheten.
Direktivet antogs i november 2022, publicerades i december och gällde från januari 2023. Svenska verksamheter i scope har till 18 oktober 2024 för att uppfylla kraven. Vi uppmanar till snabb mobilisering av ledning, finansiering och governance.
Hotnivån har ökat globalt med fler attacker mot kritisk infrastruktur. Fjärrarbete och phishing har ökat sårbarheter i både nätverk och OT/IT-miljöer.
Direktivet ska harmonisera resiliens och ge bättre gemensam lägesbild i EU. Member states anpassar tillsyn och sanktioner, vilket höjer kraven på vår compliance och security.
Organisationer som omfattas får fler process- och kontrollkrav, skarpare incidentrapportering och högre bevisbörda för efterlevnad.
Supply chain framstår som en avgörande vektor. Kedjeberoenden kräver samlad hantering för att minska vulnerabilities och operativa störningar.
| Area | Beskrivning | Påverkan | Tidsfrist |
|---|---|---|---|
| Regelverk | Uppdaterad EU-directive för cybersäkerhet | Harmoniserad tillsyn | Gäller från 2023 |
| Operativ säkerhet | Ökade attacker via nätverk och fjärranslutningar | Fler kontroller och incidentrutiner | 18 okt 2024 |
| Leveranskedja | Kedjeberoenden och tredjepartsleverantörer | Krav på synlighet och leverantörsstyrning | Löpande |
Här visar vi hur en strukturerad genomgång av tillgångar och leverantörskedjor skapar tydlighet i säkerhetsarbetet.
Vi definierar vad en fullständig genomgång omfattar: identifiering av tillgångar, hot, sårbarheter och konsekvenser i hela verksamheten och i er supply chain. Detta inkluderar både tekniska och organisatoriska dimensioner.
Scope bestäms utifrån vilka tjänster, processer och leverantörsrelationer som omfattas av kraven. Vi säkerställer compliance över affärsenheter och geografier genom tydliga kriterier och styrdokument.
| Område | Vad vi gör | Nytta |
|---|---|---|
| Scope & krav | Kartläggning av tjänster och leverantörer | Klart ansvar och bättre styrning |
| Åtgärder | Tekniska och organisatoriska measures | Snabbare återhämtning |
| Uppföljning | KPI:er och kontinuerliga assessments | Minskat avbrott och ökad compliance |
Här går vi igenom vilka säkerhetsåtgärder som krävs enligt artikel 21(2) och hur artikel 22 samordnar bedömningar för kritiska leveranskedjor på EU‑nivå.
Artikel 21 kräver tekniska, operativa och organisatoriska åtgärder som är proportionerliga och state‑of‑the‑art. Åtgärderna omfattar bland annat policyer för informationssäkerhet, incidenthantering och kontinuitetsplaner.
Ytterligare punkter är supply chain security, säker anskaffning och vulnerability handling. Vi betonar också betydelsen av utbildning, behörighetsstyrning, multifaktorautentisering och kryptering.
Artikel 22 organiserar koordinerade bedömningar på EU‑nivå via Cooperation Group. Dessa identifierar kritiska tjänster, system och produkter per sektor.
Bedömningarna ser både tekniska och icke‑tekniska faktorer, som leverantörsberoenden. Resultaten styr vilka motåtgärder och bästa praxis som rekommenderas.
Proportionalitet innebär att åtgärder vägs mot verksamhetens storlek och konsekvens. Standarder och tekniska specifikationer fungerar som stöd för implementation.
Member states ska införa genomförandeakter, bland annat för moln, datacenter och tjänsteleverantörer, senast 17 oktober 2024. För mer detaljerad vägledning, se vår länk till MSB:s sammanställning.
| Område | Konkreta åtgärder | Operational nytta |
|---|---|---|
| Policyer & processer | Informationssäkerhet, incidentrutiner, utvärdering | Klart ansvar, snabbare incidenthantering |
| Supply chain | Leverantörsbedömningar, secure development, disclosure | Minskad exposure i kedjan |
| Tekniska measures | MFA, kryptering, kontinuerlig övervakning | Starkare skydd av system och networks |
För att uppnå verklig efterlevnad måste vi ha fullständig synlighet i hela leveranskedjan. Detta ger oss förutsättningar att hitta beroenden och single points of failure snabbt.
Vi använder telemetri, SBOM och leverantörsdata för att kartlägga relationer och uppdateringsflöden. På så sätt identifierar vi vulnerabilities och security risk innan de blir incidenter.
Beslut kan drivas av icke‑tekniska faktorer. BIS bedömde kopplingar till statliga intressen och åtkomst till känslig data. Bitsight TRACE visade miljoner kontakter mot uppdateringsservrar globalt.
Detta visar att management måste ha realtidsalerting när förbjudna eller högriskprodukter används.
Sammanfattning: god sikt i chain och systematisk dokumentation stärker både compliance och operationell motståndskraft.
Vi guidar er genom en praktisk arbetsgång för att stänga identifierade brister snabbt och metodiskt.
Starta med scope och gap‑kartläggning. Fastställ om ni är en essential eller important entity och gör en strukturerad gap assessment mot aktuella krav. Detta ger en prioriteringslista för compliance, finansiering och förändringsstyrning.
Vi kartlägger tjänster, processer och leverantörer. Detta skapar tydlighet i ansvar och ger mätbara delmål.
Vårt program använder en all‑hazards‑ansats med hotmodellering, sårbarhetsskanning och konsekvensanalys.
Det ger underlag för prioriterade measures och förankring i ledningen.
Vi prioriterar åtgärder i ett program som omfattar BCDR, tydliga incidentrutiner och reporting obligations.
Parallellt etablerar vi TPRM för supply chain, kontraktskrav och styrning av tredje‑ och fjärdepart.
| Steg | Aktivitet | Resultat |
|---|---|---|
| 1. Scope | Fastställ entitetstyp och kritiska tjänster | Klart ansvar, prioriteringsunderlag |
| 2. Gap & finans | Matcha mot requirements och säkra budget | Mätbara åtgärder och resurser |
| 3. Tekniska analyser | Hotmodellering, skanning, konsekvensanalys | Prioriterade technical measures |
| 4. Åtgärdsprogram | BCDR, incidenthantering, rapportering | Färdiga playbooks och SLA |
| 5. TPRM & governance | Kontrakt, leverantörsstyrning, roller | Robust supply‑styrning och beslutsvägar |
| 6. Iteration | Uppföljning, utbildning, kontinuerliga assessments | Verifierad efterlevnad och förbättrad security |
Ledningen bär huvudansvaret för att säkerställa att compliance och security är integrerade i verksamhetens beslut. Vi hjälper styrelse och högsta ledning att etablera tydliga mandat, godkännandeprocesser och uppföljning.
För essentiella enheter kan sanktioner uppgå till 10 miljoner euro eller 2 % av global omsättning. För viktiga enheter ligger gränsen vid 7 miljoner euro eller 1,4 % av omsättningen.
Vi beskriver hur ledningens övervakning ska fungera i praktiken. Detta innefattar policybeslut, accepterade nivåer för controls och regelbunden rapportering till styrelsen.
Vi använder kontinuerliga assessments och kontroller för att bevisa efterlevnad och förbättra styrningen över tid. Det inkluderar krav mot supply chain och processer för spårbar evidens vid myndighetsdialog.
| Område | Vad vi levererar | Effekt för organisationen |
|---|---|---|
| Ledningsstyrning | Mandat, policyer, uppföljning | Snabbare beslut och tydligt ansvar |
| Sanktioner & åtgärder | Konsekvensanalys och handlingsplaner | Minskad juridisk och operativ exponering |
| Rapportering | Processer för incidentrapportering och dokumentation | Effektivare myndighetsdialog och spårbarhet |
| Kontinuerlig förbättring | Periodiska assessments och KPI:er | Verifierad efterlevnad över tid |
Mätbara indikatorer och verktyg gör det möjligt att styra compliance och förbättra security löpande.
Vi definierar KPI:er och KRI:er som mäter mål såsom MTTD/MTTR, patch‑latens, utbildningsgrad och leverantörers uppföljningsgrad. Dessa nyckeltal kopplas till ledningens styrkort för tydligt ägarskap.
Vi rekommenderar automatiserad datainsamling från systems, loggkällor och leverantörsportaler. Det ökar transparensen och ger underlag för prioriteringar i management.
Kontrolltestning, internrevision och ledningsgenomgång visar att våra measures fungerar och möter kraven i directive. Rapporter visualiserar security risk och styr investeringsbeslut.
| Mått | Vad vi mäter | Nytta |
|---|---|---|
| MTTD / MTTR | Tid till upptäckt och åtgärd | Kortare driftstörningar |
| Patch‑latens | Tid från patchrelease till installation | Minskad sårbarhetsexponering |
| Training coverage | Andel personal med aktuella utbildningar | Färre misstag och snabbare incidenthantering |
| Leverantörsuppföljning | Compliance‑grad i leverantörsportaler | Starkare supply chain security |
Sammanfattningsvis, vi ser att ett framgångsrikt genomförande av nis2 directive kräver tydliga krav, praktisk styrning och kontinuerlig uppföljning.
Vi menar att nis2 compliance är en resa mot robust security där key nis2‑krav omsätts i vardagsbeslut. Synlighet i supply chains gör det möjligt att undvika högriskleverantörer och stärka chain security.
Kontinuerliga assessments och löpande riskhantering behövs för att möta emerging threats throughout supply. Dokumentation, mätetal och testade scenarier ger spårbarhet inför regulations och tillsyn.
Vi hjälper er att stänga gap, etablera processer och verktyg, och att gå från nuläge till verifierad compliance för trygg drift och minskad risk.
En korrekt genomförd analys ger oss en tydlig bild av sårbarheter, hot och konsekvenser för våra nätverk och informationssystem. Vi kartlägger kritiska leverantörer, identifierar svaga länkar i leveranskedjan och prioriterar åtgärder utifrån påverkan och sannolikhet. På så sätt kan vi styra resurser mot de viktigaste skyddsåtgärderna och förbättra vår efterlevnad.
Vi börjar med att fastställa om vi tillhandahåller samhällsviktiga eller viktiga tjänster inom områden som energi, transport, hälsa eller digital infrastruktur. Därefter jämför vi verksamhetens omfattning, antal användare och beroenden med tillämpliga nationella riktlinjer. Om vi är inom scope måste vi införa policyer, tekniska kontroller och rapporteringsrutiner enligt regelverket.
Vi rekommenderar att börja med grundläggande cybersäkerhet: segmentering av nätverk, åtkomstkontroller, patchhantering och övervakning. Parallellt tar vi fram incidenthantering, backup- och återställningsplaner samt leverantörsgranskningar för att säkra tredjepartsberoenden. Åtgärderna ska vara proportionerliga och baserade på vår specifika verksamhetskritikalitet.
Vi upprättar tydliga krav i avtal, genomför due diligence vid upphandlingar och löpande bedömer leverantörers säkerhetsnivå via kontroller och revisioner. Vi inför också kontinuerlig övervakning av leverantörers incidenter och säkerställer redundans där det behövs. Data-driven insikt och transparens i kedjan minskar överraskningar.
Vi rekommenderar minst årliga genomgångar eller tidigare vid större förändringar i system, tjänster eller hotbild. Kontinuerlig övervakning och regelbundna övningar säkerställer att åtgärdsprogram och återställningsplaner förblir effektiva och aktuella.
Vi måste ha rutiner för att snabbt upptäcka, eskalera och rapportera incidenter enligt nationella krav. Det innefattar intern rapportering till ledning, notifiering till nationella myndigheter inom angivna tidsramar och dokumentation av åtgärder. Vi övar dessa processer och ser till att kontaktvägar med leverantörer och myndigheter är etablerade.
Vi skapar riskbaserade policies där skyddsnivån kopplas till affärskritikalitet. Genom att använda etablerade standarder och ramverk kan vi välja kostnadseffektiva tekniska lösningar och flexibla processer som minimerar driftstörning. Prioritering och tydlig styrning från ledningen hjälper oss hitta balans.
Vi lär oss att icke-tekniska faktorer—som styrning, transparens och juridiska avtal—ofta avgör hur snabbt en incident hanteras. Vi inför starkare avtalsvillkor, förbättrar informationsdelning och skapar gemensamma spelregler med leverantörer för att minska konsekvenser vid incidenter.
Vi använder indikatorer som tid till upptäckt, tid till återställning, antal avvikande leverantörer och andel patchade system. Verktyg för sårbarhetsskanning, SIEM, kontinuerlig övervakning och leverantörsbedömningar ger oss datadriven insikt och underlag för förbättringar.
Vi förankrar ansvar i styrelse och ledning genom policyer och regelbunden rapportering. Vi definierar roller för informationssäkerhet, incidentchef och kontaktpersoner mot myndigheter. Ledningen får löpande beslutsunderlag så att prioriteringar och resurser kan fastställas effektivt.
