Vi hjälper er att gå från nuläge till tydliga, genomförbara beslut. EU beslutade om direktivet i december 2022 och Sverige arbetar nu med införandet. Vi förklarar vad som krävs av verksamhetsutövare och hur MSB:s samordningsansvar påverkar ert arbete.
Vårt angreppssätt täcker styrning, riskanalyser och incidentprocesser. Vi paketerar information så att ledning och verksamheter snabbt förstår prioriteringar och kan agera.
Vi identifierar om ni omfattas, stödjer anmälan och hjälper till att etablera roller och dokumentation som håller vid granskning. Våra leverabler inkluderar policyer, processpaket och mätetal för uppföljning.
Genom att integrera med ISO 27001/27701 och internkontroll undviker ni dubbelarbete. Vi kopplar åtgärder till affärsmål så att cybersäkerhet blir en möjliggörare.
Viktiga punkter
- Vi visar hur ni snabbt får en klar nulägesbild.
- Vi hjälper till med anmälan och ansvarsfördelning.
- Vi omvandlar gap till en realistisk roadmap.
- Vi integrerar planen med befintliga styrmodeller.
- Vi organiserar utbildning för ledning och nyckelpersoner.
- Läs mer om hur vårt arbete ger långsiktig självständighet.
Varför en NIS2 säkerhetsplan är avgörande just nu
Ökad tillsyn och bredare krav gör proaktivt arbete till en affärsmässig nödvändighet. Direktivet trädde i kraft i januari 2023 och krävde införlivande senast oktober 2024. I praktiken innebär det att tidigare regler (nis-direktivet) nu ersatts och att svenska förslag till ny lagstiftning rörande cybersäkerhet är under beredning.
Nu-läget i Sverige
SOU 2024:18 och en lagrådsremiss i juni 2025 pekar mot en ny svensk cybersäkerhetslag, med proposition aviserad hösten 2025. Det gör det viktigt att förbereda processer och roller redan nu.
Ökad ambitionsnivå
Direktivet höjer nivån genom att omfatta fler tjänster och sektorer. Kraven på riskhantering, rapportering och ledningens ansvar skärps. Medlemsstater ska också stärka leveranskedjesäkerhet och utbildning.
- Affärsnytta: minskade avbrott och lägre kostnader vid incidenter.
- Prioritet: förbättrad rapporteringsförmåga, leveranskedjor och ledningsutbildning.
- Förberedelse: vår metod spårar krav till nis2-direktivet och föreslagna föreskrifter.
Vilka verksamheter omfattas och vad innebär det i praktiken
Vi hjälper er att snabbt avgöra vilka delar av verksamheten som faktiskt omfattas och vad som krävs operativt. Kartläggningen fokuserar på sektor, storlek och funktion i värdekedjan.
Sektorer och väsentliga aktörer
Flera sektorer berörs, från energi och transport till digital infrastruktur och offentlig förvaltning. Vi identifierar vilka väsentliga verksamhetsutövare i er organisation som behöver prioriteras.
Storlek, system och leveranskedjor
Reglerna riktar sig främst mot medelstora och stora aktörer. Vi kartlägger informationssystem och leverantörsberoenden för att se hur verksamheter påverkas.
Tillsyn och myndighetsroll
I Sverige samordnar MSB nationellt, medan sektorsvisa myndigheter sköter tillsyn och föreskrifter. Vi förbereder dokumentation och rapporter så ni möter krav från olika myndigheter.
Ledningens ansvar och sanktionsnivåer
Ledningen måste visa styrning och beslutsunderlag. Föreslagna sanktionsnivåer kan nå upp till 10 000 000 kronor. Vi hjälper er att konkretisera ansvar och undvika höga böter.
| Aspekt | Vad vi levererar | Effekt för er |
|---|---|---|
| Sektorer | Kartläggning av berörda sektorer | Prioriterade insatser |
| Storlekskriterier | Bedömning av medelstor/stor påverkan | Rätt omfattning av resurser |
| Tillsyn & dokumentation | Färdiga rapportmallar och styrdokument | Snabbare efterlevnad och läs mer-material |
| Ledningsansvar | Beslutspunkter och ansvarsmatris | Minskad risk för sanktioner |
- Vi kartlägger om ni omfattas nis2 utifrån era system och leverantörer.
- Vi tydliggör ansvar för väsentliga verksamhetsutövare inom relevanta sektorer.
NIS2 säkerhetsplan: vår beprövade metod från risk till resultat
Genom en stegvis analys kopplar vi risker till prioriterade åtgärder som går att genomföra. Vi börjar med en spårbar gap-analys som visar vilka delar av er verksamhet som saknar efterlevnad.
Gap-analys mot direktivet och föreskrifter
Vi kartlägger avvikelser mot krav och föreskrifter och mappade dessa till era policys, processer och kontroller. Resultatet blir en tydlig lista över vad som behövs för att nå efterlevnad.
Riskbedömning, informationssäkerhet och proportionella åtgärder
Vår riskmodell prioriterar proportionella åtgärder utifrån verksamhetens riskaptit och affärsmål. Fokus ligger på informationssäkerhet och teknisk motståndskraft.
Styrning och utbildning: förankring hos ledning och personal
Vi etablerar en styrmodell med roller, beslutspunkter och mätetal. Samtidigt tar vi fram utbildningar för styrelse, ledning och nyckelpersoner.
Plan för kontinuerlig förbättring och uppföljning
Vi formaliserar en plan för löpande förbättring med regelbundna kontroller, internrevision och ledningens genomgång. Change management säkerställer adoption över förvaltning och linjeorganisation.
- Integrerat stöd: tjänster för sårbarhetshantering, incidentberedskap och efterlevnad.
- Spårbar information: hantering från klassning till loggning och rapportering.
- Klart uppdrag: ansvar, milstolpar och rapportvägar för alla team.
Vill ni läsa mer om bakgrund och samordning från myndighetssidan finns tydlig information hos MSB om direktivet.
Incidenthantering och rapporteringskrav som fungerar i verkligheten
När en betydande händelse inträffar krävs klara tidslinjer och tydliga eskaleringsvägar. Vi hjälper er bygga processer som fungerar under press och som uppfyller krav från myndigheter.
Från upptäckt till rapport: tidslinjer, betydande incidenter och innehåll
Vi designar en end-to-end-process som täcker upptäckt, triage och beslut. Ett första underlag för myndigheter bör kunna lämnas inom 24 timmar när det krävs.
- Upptäckt: övervakning av informationssystem och logghantering för snabb detektion.
- Triagering: prioritering baserad på affärs- och riskbedömning.
- Rapportering: hur och vad ni ska rapportera för att rapportera incidenter korrekt och i tid.
CSIRT-samverkan, informationsutbyte och EU-CyCLONe vid storskaliga händelser
Vi kopplar er till CSIRT-nätverk och etablerar kanaler för säkert informationsutbyte. Det gör samarbete enklare både nationellt och inom EU.
- Kontaktvägar för CSIRT och EU-CyCLONe vid koordinerad hantering.
- Playbooks för drift, juridik och kommunikation som underlättar respons.
- Övningar som säkrar att samarbete och informationsflöde fungerar i praktiken.
Vi svarar gärna på frågor om era nuvarande rutiner och kan leverera mallar, playbooks och integration mot ticketing- och GRC-verktyg för full spårbarhet. Stärker ni detta får ni bättre beslut under press och högre motståndskraft i er cybersäkerhet.
Styrning, tillsyn och efterlevnad: så bygger vi hållbar förvaltning
Vi bygger en styrningsmodell som gör efterlevnad synlig och operativ i vardagen. Denna modell hjälper er att möta tillsyn från myndigheter och ger klarhet i vem som gör vad i organisationen.
Policystruktur, roller och ansvar i verksamheten
Vi skapar en policy- och styrdokumentstruktur med koppling till direktivet och den föreslagna lagen. Dokumenten får tydliga ägare och revisionsspår.
Roller definieras så att verksamhetsutövare lätt kan visa ansvar vid granskning. Vi säkerställer även att avtal med leverantörer innehåller verifierbara krav.
Kontroller, mätetal och internrevision för nätverk och informationssystem
Vi definierar tekniska kontroller för nätverk och informationssystem och sätter mätetal som leder till regelbunden uppföljning.
En internrevisionsplan och ledningens genomgång knyter ihop risker, åtgärder och resultat inom cybersäkerhet. Vi organiserar arbetet tvärs sektor- och funktionsgränser för att undvika stuprör.
- Governance-forum: möten för risk, IT, juridik och affär.
- Rapporteringskalender: synkroniserar regulatoriska händelser med interna milstolpar.
- Spårbarhet: dokumentation av beslut, avvikelser och avslutade åtgärder.
NIS2 och CER: samordnad motståndskraft över cyber och fysisk säkerhet
Genom att förena riskbedömningar minskar vi dubbelarbete och skapar spårbara beslut för både drift och anläggning. CER:s syfte är att stärka kritiska verksamhetsutövares motståndskraft så att samhällsviktiga tjänster kan upprätthållas.
Medlemsstater ska peka ut aktörer inom bland annat energi, digital infrastruktur och offentlig förvaltning. De berörda aktörerna måste göra riskbedömningar, införa tekniska och organisatoriska åtgärder och rapportera incidenter snabbt.
Kopplingar mellan kraven: riskbedömning, åtgärder och rapportera incidenter
Vi säkerställer att åtgärder täcker både tjänster och anläggningar. Det inkluderar tillträdeskontroller, kontinuitetsplaner och robust leveranskedja.
Incidentflöden synkas så att ni kan lämna första rapporten inom 24 timmar till MSB utan onödigt dubbelarbete.
Kritiska verksamhetsutövare: identifiering, bakgrundskontroller och sanktioner
Vi hjälper er identifiera kritiska enheter i dialog med sektorsmyndigheter och dokumentera konsekvensanalyser.
Vi tar fram befattningsanalyser för bakgrundskontroller, beskriver hur personer bedöms och hur beslut dokumenteras.
- Koordinering: vi kopplar krav från direktivet och CER så att samma bedömning räcker för cyber och fysisk säkerhet.
- Samarbete: vi stärker länkar mot medlemsstaternas forum, CSIRT-miljöer och branschgrupper.
- Revisorbarhet: vi integrerar krav på produkter och drift med mätbara mål.
Slutsats
Avslutningsvis pekar vi på konkreta steg som styrker er förmåga att möta nya krav och tillsyn.
Vi rekommenderar att ni först fastställer om ni omfattas nis2 och därefter etablerar styrning för rapportera incidenter och löpande informationssäkerhet. Lagstiftning och direktivet kräver tydlighet i roller för verksamhetsutövare och spårbar dokumentation.
Våra tjänster täcker gap‑analys, tekniska åtgärder och utbildning. Vi hjälper er prioritera leveranskedjor, produkter och energiflöden och att koppla arbete till ledningens uppdrag.
Behöver ni svar på frågor eller hjälp att komma igång så stödjer vi er från analys till drift och samverkan i nätverk och CSIRT‑kanaler.
FAQ
Vilka verksamheter omfattas av det nya direktivet och hur vet vi om vår organisation berörs?
Vi omfattas om vår verksamhet faller inom angivna sektorer som energi, digital infrastruktur eller offentlig förvaltning och om vi uppfyller storlekskriterierna eller klassas som väsentlig verksamhetsutövare. Vi börjar med en kartläggning av tjänster, informationssystem och leveranskedjor för att avgöra om regelverket gäller för oss.
Vad innebär kravet på ledningens ansvar och vilka påföljder finns vid bristande efterlevnad?
Vår ledning måste visa styrning, riskhantering och beslutsunderlag för cybersäkerhet. Myndigheter som MSB kan utöva tillsyn och utfärda sanktioner vid bristande efterlevnad. Vi hjälper till att dokumentera ansvar, beslutsprocesser och rapportera avvikelser för att minimera risk för påföljder.
Hur ser en effektiv incidenthanteringsprocess ut enligt de nya kraven?
En effektiv process täcker upptäckt, bedömning av betydelse, tidslinjer för rapportering och innehåll i incidentrapporter. Vi etablerar rutiner för intern eskalering, extern rapportering till relevanta myndigheter och samverkan med CSIRT för informationsutbyte vid större händelser.
Vilka tekniska och organisatoriska åtgärder krävs för att uppfylla föreskrifterna?
Åtgärderna inkluderar riskbedömning, informationssäkerhet, nätverksskydd, leverantörskontroller och rutiner för kontinuerlig förbättring. Vi anpassar skyddsnivåer proportionellt, inför styrning och utbildning och implementerar kontroller som kan mätas och följas upp.
Hur arbetar vi med leverantörs- och leveranskedjerisker?
Vi identifierar kritiska leverantörer, ställer säkerhetskrav i avtal och genomför leverantörsgranskningar. Regelbunden uppföljning och krav på incidentrapportering från tredjepartsleverantörer stärker vår motståndskraft i hela leveranskedjan.
Vad innefattar gap-analysen och hur lång tid tar den?
Gap-analysen jämför befintlig informationssäkerhet mot direktivets krav och nationella föreskrifter. Den kartlägger brister i styrning, tekniska kontroller och processer. Tid för genomförande varierar med verksamhetens storlek, men vi levererar en tydlig handlingsplan för prioriterade åtgärder.
Hur förankrar vi säkerhetsarbetet i ledning och bland anställda?
Vi utvecklar policyer, roller och ansvar samt utbildningsprogram anpassade efter målgrupp. Genom ledningsrapportering, workshoppar och praktiska övningar får både ledning och personal nödvändiga verktyg för att agera vid incidenter och säkerställa kontinuerlig förbättring.
Vilka tidskrav finns för att rapportera betydande incidenter och vad ska rapporten innehålla?
Det finns tydliga tidslinjer för initial rapportering och uppföljning. Rapporten ska beskriva incidentens natur, påverkan på tjänster, vidtagna åtgärder och kontaktuppgifter. Vi hjälper till att ta fram mallar och processer för att säkerställa att rapporterna uppfyller myndigheternas krav.
Hur samverkar vi med CSIRT och andra aktörer vid storskaliga cyberhändelser?
Vi etablerar samverkansrutiner för informationsutbyte med nationella och EU-nivå aktörer, inklusive EU-CyCLONe vid större händelser. Det innebär klara kontaktvägar, delning av indikatorer och samordnade åtgärder för att begränsa skada och återställa drift.
Vad krävs för att bygga en hållbar styrningsmodell för cybersäkerhet inom vår verksamhet?
En hållbar modell bygger på en tydlig policystruktur, definierade roller, mätetal och internrevision. Vi inför kontroller för nätverk och informationssystem, följer upp med mätbara KPI:er och säkerställer att styrningen integreras i ordinarie förvaltning.
Hur hanterar vi kopplingen mellan cyberkrav och fysisk säkerhet för kritiska anläggningar?
Vi utför gemensamma riskbedömningar som täcker både digitala och fysiska aspekter, implementerar bakgrundskontroller där det behövs och säkerställer att åtgärder och rapporteringsrutiner samordnas för att stärka helhetsmotståndskraften.
Kan ni hjälpa oss att ta fram dokumentation och rutiner som myndigheter accepterar vid tillsyn?
Ja, vi tar fram styrdokument, rutiner för incidentrapportering, leverantörsavtal och bevis för efterlevnad som är anpassade efter tillsynskrav. Vårt arbete syftar till att göra revision och internkontroll effektiv och transparent för myndigheter som MSB.