Skapa en NIS2 Säkerhetsplan med Våra Experter

Vi hjälper er att gå från nuläge till tydliga, genomförbara beslut. EU beslutade om direktivet i december 2022 och Sverige arbetar nu med införandet. Vi förklarar vad som krävs av verksamhetsutövare och hur MSB:s samordningsansvar påverkar ert arbete.

Vårt angreppssätt täcker styrning, riskanalyser och incidentprocesser. Vi paketerar information så att ledning och verksamheter snabbt förstår prioriteringar och kan agera.

Vi identifierar om ni omfattas, stödjer anmälan och hjälper till att etablera roller och dokumentation som håller vid granskning. Våra leverabler inkluderar policyer, processpaket och mätetal för uppföljning.

Genom att integrera med ISO 27001/27701 och internkontroll undviker ni dubbelarbete. Vi kopplar åtgärder till affärsmål så att cybersäkerhet blir en möjliggörare.

Viktiga punkter

• Vi visar hur ni snabbt får en klar nulägesbild.
• Vi hjälper till med anmälan och ansvarsfördelning.
• Vi omvandlar gap till en realistisk roadmap.
• Vi integrerar planen med befintliga styrmodeller.
• Vi organiserar utbildning för ledning och nyckelpersoner.
• Läs mer om hur vårt arbete ger långsiktig självständighet.

Varför en NIS2 säkerhetsplan är avgörande just nu

Ökad tillsyn och bredare krav gör proaktivt arbete till en affärsmässig nödvändighet. Direktivet trädde i kraft i januari 2023 och krävde införlivande senast oktober 2024. I praktiken innebär det att tidigare regler (nis-direktivet) nu ersatts och att svenska förslag till ny lagstiftning rörande cybersäkerhet är under beredning.

Nu-läget i Sverige

SOU 2024:18 och en lagrådsremiss i juni 2025 pekar mot en ny svensk cybersäkerhetslag, med proposition aviserad hösten 2025. Det gör det viktigt att förbereda processer och roller redan nu.

Ökad ambitionsnivå

Direktivet höjer nivån genom att omfatta fler tjänster och sektorer. Kraven på riskhantering, rapportering och ledningens ansvar skärps. Medlemsstater ska också stärka leveranskedjesäkerhet och utbildning.

• Affärsnytta: minskade avbrott och lägre kostnader vid incidenter.
• Prioritet: förbättrad rapporteringsförmåga, leveranskedjor och ledningsutbildning.
• Förberedelse: vår metod spårar krav till nis2-direktivet och föreslagna föreskrifter.

Vilka verksamheter omfattas och vad innebär det i praktiken

Vi hjälper er att snabbt avgöra vilka delar av verksamheten som faktiskt omfattas och vad som krävs operativt. Kartläggningen fokuserar på sektor, storlek och funktion i värdekedjan.

Sektorer och väsentliga aktörer

Flera sektorer berörs, från energi och transport till digital infrastruktur och offentlig förvaltning. Vi identifierar vilka väsentliga verksamhetsutövare i er organisation som behöver prioriteras.

Storlek, system och leveranskedjor

Reglerna riktar sig främst mot medelstora och stora aktörer. Vi kartlägger informationssystem och leverantörsberoenden för att se hur verksamheter påverkas.

Tillsyn och myndighetsroll

I Sverige samordnar MSB nationellt, medan sektorsvisa myndigheter sköter tillsyn och föreskrifter. Vi förbereder dokumentation och rapporter så ni möter krav från olika myndigheter.

Ledningens ansvar och sanktionsnivåer

Ledningen måste visa styrning och beslutsunderlag. Föreslagna sanktionsnivåer kan nå upp till 10 000 000 kronor. Vi hjälper er att konkretisera ansvar och undvika höga böter.

• Vi kartlägger om ni omfattas nis2 utifrån era system och leverantörer.
• Vi tydliggör ansvar för väsentliga verksamhetsutövare inom relevanta sektorer.

NIS2 säkerhetsplan: vår beprövade metod från risk till resultat

Genom en stegvis analys kopplar vi risker till prioriterade åtgärder som går att genomföra. Vi börjar med en spårbar gap-analys som visar vilka delar av er verksamhet som saknar efterlevnad.

Gap-analys mot direktivet och föreskrifter

Vi kartlägger avvikelser mot krav och föreskrifter och mappade dessa till era policys, processer och kontroller. Resultatet blir en tydlig lista över vad som behövs för att nå efterlevnad.

Riskbedömning, informationssäkerhet och proportionella åtgärder

Vår riskmodell prioriterar proportionella åtgärder utifrån verksamhetens riskaptit och affärsmål. Fokus ligger på informationssäkerhet och teknisk motståndskraft.

Styrning och utbildning: förankring hos ledning och personal

Vi etablerar en styrmodell med roller, beslutspunkter och mätetal. Samtidigt tar vi fram utbildningar för styrelse, ledning och nyckelpersoner.

Plan för kontinuerlig förbättring och uppföljning

Vi formaliserar en plan för löpande förbättring med regelbundna kontroller, internrevision och ledningens genomgång. Change management säkerställer adoption över förvaltning och linjeorganisation.

• Integrerat stöd: tjänster för sårbarhetshantering, incidentberedskap och efterlevnad.
• Spårbar information: hantering från klassning till loggning och rapportering.
• Klart uppdrag: ansvar, milstolpar och rapportvägar för alla team.

Vill ni läsa mer om bakgrund och samordning från myndighetssidan finns tydlig information hos MSB om direktivet.

Incidenthantering och rapporteringskrav som fungerar i verkligheten

När en betydande händelse inträffar krävs klara tidslinjer och tydliga eskaleringsvägar. Vi hjälper er bygga processer som fungerar under press och som uppfyller krav från myndigheter.

Från upptäckt till rapport: tidslinjer, betydande incidenter och innehåll

Vi designar en end-to-end-process som täcker upptäckt, triage och beslut. Ett första underlag för myndigheter bör kunna lämnas inom 24 timmar när det krävs.

• Upptäckt: övervakning av informationssystem och logghantering för snabb detektion.
• Triagering: prioritering baserad på affärs- och riskbedömning.
• Rapportering: hur och vad ni ska rapportera för att rapportera incidenter korrekt och i tid.

CSIRT-samverkan, informationsutbyte och EU-CyCLONe vid storskaliga händelser

Vi kopplar er till CSIRT-nätverk och etablerar kanaler för säkert informationsutbyte. Det gör samarbete enklare både nationellt och inom EU.

• Kontaktvägar för CSIRT och EU-CyCLONe vid koordinerad hantering.
• Playbooks för drift, juridik och kommunikation som underlättar respons.
• Övningar som säkrar att samarbete och informationsflöde fungerar i praktiken.

Vi svarar gärna på frågor om era nuvarande rutiner och kan leverera mallar, playbooks och integration mot ticketing- och GRC-verktyg för full spårbarhet. Stärker ni detta får ni bättre beslut under press och högre motståndskraft i er cybersäkerhet.

Styrning, tillsyn och efterlevnad: så bygger vi hållbar förvaltning

Vi bygger en styrningsmodell som gör efterlevnad synlig och operativ i vardagen. Denna modell hjälper er att möta tillsyn från myndigheter och ger klarhet i vem som gör vad i organisationen.

Policystruktur, roller och ansvar i verksamheten

Vi skapar en policy- och styrdokumentstruktur med koppling till direktivet och den föreslagna lagen. Dokumenten får tydliga ägare och revisionsspår.

Roller definieras så att verksamhetsutövare lätt kan visa ansvar vid granskning. Vi säkerställer även att avtal med leverantörer innehåller verifierbara krav.

Kontroller, mätetal och internrevision för nätverk och informationssystem

Vi definierar tekniska kontroller för nätverk och informationssystem och sätter mätetal som leder till regelbunden uppföljning.

En internrevisionsplan och ledningens genomgång knyter ihop risker, åtgärder och resultat inom cybersäkerhet. Vi organiserar arbetet tvärs sektor- och funktionsgränser för att undvika stuprör.

• Governance-forum: möten för risk, IT, juridik och affär.
• Rapporteringskalender: synkroniserar regulatoriska händelser med interna milstolpar.
• Spårbarhet: dokumentation av beslut, avvikelser och avslutade åtgärder.

NIS2 och CER: samordnad motståndskraft över cyber och fysisk säkerhet

Genom att förena riskbedömningar minskar vi dubbelarbete och skapar spårbara beslut för både drift och anläggning. CER:s syfte är att stärka kritiska verksamhetsutövares motståndskraft så att samhällsviktiga tjänster kan upprätthållas.

Medlemsstater ska peka ut aktörer inom bland annat energi, digital infrastruktur och offentlig förvaltning. De berörda aktörerna måste göra riskbedömningar, införa tekniska och organisatoriska åtgärder och rapportera incidenter snabbt.

Kopplingar mellan kraven: riskbedömning, åtgärder och rapportera incidenter

Vi säkerställer att åtgärder täcker både tjänster och anläggningar. Det inkluderar tillträdeskontroller, kontinuitetsplaner och robust leveranskedja.

Incidentflöden synkas så att ni kan lämna första rapporten inom 24 timmar till MSB utan onödigt dubbelarbete.

Kritiska verksamhetsutövare: identifiering, bakgrundskontroller och sanktioner

Vi hjälper er identifiera kritiska enheter i dialog med sektorsmyndigheter och dokumentera konsekvensanalyser.

Vi tar fram befattningsanalyser för bakgrundskontroller, beskriver hur personer bedöms och hur beslut dokumenteras.

• Koordinering: vi kopplar krav från direktivet och CER så att samma bedömning räcker för cyber och fysisk säkerhet.
• Samarbete: vi stärker länkar mot medlemsstaternas forum, CSIRT-miljöer och branschgrupper.
• Revisorbarhet: vi integrerar krav på produkter och drift med mätbara mål.

Slutsats

Avslutningsvis pekar vi på konkreta steg som styrker er förmåga att möta nya krav och tillsyn.

Vi rekommenderar att ni först fastställer om ni omfattas nis2 och därefter etablerar styrning för rapportera incidenter och löpande informationssäkerhet. Lagstiftning och direktivet kräver tydlighet i roller för verksamhetsutövare och spårbar dokumentation.

Våra tjänster täcker gap‑analys, tekniska åtgärder och utbildning. Vi hjälper er prioritera leveranskedjor, produkter och energiflöden och att koppla arbete till ledningens uppdrag.

Behöver ni svar på frågor eller hjälp att komma igång så stödjer vi er från analys till drift och samverkan i nätverk och CSIRT‑kanaler.