augusti 12, 2025|4:42 e m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi hjälper er att uppfylla kraven i ny lagstiftning genom praktisk rådgivning och tydligt bevis på efterlevnad.
Direktivet skärper ledningsansvar, leveranskedjans säkerhet och riskhantering. Det ska vara implementerat i svensk lag senast 17 oktober 2024, och cybersäkerhetslagen träder i kraft 15 januari 2026.
Vi översätter juridiska krav till konkret cybersäkerhet och informationssäkerhet i er verksamhet. Vår metod identifierar viktiga risker och kopplar dem till kontroller, processer och mätbara resultat.
Vi etablerar en enkel dokumentationshierarki som fungerar i vardagen och vid granskning. Genom tydliga beslut och spårbarhet gör vi bevisen tillgängliga och oförändrade.
Vårt mål är att minska driftstörningar, stärka förtroendet hos intressenter och förbereda organisationen för kommande lagkrav.
Nya regler kräver tydliga bevis på hur organisationer arbetar med cybersäkerhet i praktiken. Vi hjälper er att förstå tidslinjen och vilka åtgärder som kommer först.
Implementering ska vara klar senast den 17 oktober 2024 och lagen träder kraft 15 januari 2026. Vi visar hur ni planerar stegvis för att uppfylla kraven i rätt ordning.
Lagen utökar omfattningen till 18 sektorer och skärper krav på riskhantering, incidentrapportering och ledningens ansvar. Sanktioner kan bli hårda, upp till 2 % av global omsättning.
| Förändring | Konsekvens | Vårt fokus |
|---|---|---|
| Utökade sektorer | Fler organisationer omfattas | Scope-analys och klassning |
| Skärpta krav | Mer dokumentation och spårbarhet | Policyer och bevis kopplade till ISO 27001 |
| Sanktioner & ansvar | Böter och ledningskonsekvenser | Tydliggöra ledningens ansvar och beslut |
Vi kopplar varje steg till konkreta åtgärder: fastställ ambitionsnivå, välj verktyg, utbilda personal och skapa spårbara beslut. För mer detaljer om innehållet i det här är nis 2-direktivet finns vägledning från myndigheter.
Vi kopplar dokumentation till verifierbara tekniska krav så att beslut och åtgärder blir spårbara. Varje policy ska kunna härledas till kontroller i drift och till underliggande loggar.
Vi länkar policys och riskregister till verifierbara kontroller enligt iso 27001. Det gör att information från system ger bevis i form av loggar, konfigurationsutdrag och ärendehistorik.
| Bevistyp | Syfte | Systemstöd |
|---|---|---|
| Policy & beslut | Visa ledningens ansvar | Dokumenthantering, versionskontroll |
| Loggar & spår | Verifiera tekniska åtgärder | SIEM, logghantering |
| Test & ändringsjournal | Bevisa säker utveckling | CI/CD, ärendehanteringssystem |
| Incidentrapporter | Rapportering och lärande | Rapportmallar, ärendeflöden |
Vi säkerställer att rapportering och analys visar att organisationens säkerhetsåtgärder fungerar löpande och att kraven nis2 kan bevisas när lagen träder kraft.
Vi kartlägger vilka delar av er verksamhet som omfattas av ny cybersäkerhetslagstiftning. Det ger en tydlig baseline för vidare arbete och minskar risken för överraskningar vid tillsyn.
Cybersäkerhetslagen täcker 18 sektorer och delar in aktörer i väsentliga eller viktiga. Båda grupperna måste uppfylla samma säkerhetskrav och incidentrapportering, men tillsynen skiljer sig.
Vi levererar en klassningsrapport för ledning och tillsynsmyndigheter. Rapporten visar juridisk grund, konsekvenser för säkerhet och praktiska rapporteringsflöden.
Resultat: tydliga ansvarslinjer, kommunikationsvägar och en uppdateringsrutin så att klassning och scope följer verksamhetens förändringar över tid. Detta stödjer målet om en gemensam cybersäkerhetsnivå i hela organisationen.
En väl avvägd målbild ger ledningen möjlighet att prioritera säkerhet och resurser utifrån riskhantering och affärsnytta.
”Sätt ambitionsnivå efter risk och affärsmål.”
Vi underlättar beslut genom att koppla förslag till ert informationssäkerhetsarbete och verksamhetens mål.
Vi mappar iso 27001-kontroller mot era processer så att åtgärder blir proportionerliga och mätbara. Detta stödjer både utveckling och daglig drift.
Vår leverans beskriver konkreta steg: prioriterade initiativ, tidslinjer, ansvar och indikatorer. Vi visar hur organisationens resurser används effektivt för att möta kraven.
För stöd finns vår beslutsmall och en detaljerad rapport för ledningens genomgång, samt ett praktiskt beslutsunderlag som visar risk, kostnad och nytta.
Ett robust dokumentationssystem gör det enkelt att svara på tillsyn och genomföra säkerhetsskanningar. Vi skapar en klar uppdelning mellan styrande, stödjande och resultatdokument så att rätt information är lätt att visa upp.
Vi ser till att varje policy har tydligt ägarskap, versionshantering och koppling till iso 27001. Det gör att ledningens beslut syns vid granskning.
Processer och utbildning kompletterar policys. Vi dokumenterar närvaro, kunskapstest och praktiska rutiner för att visa efterlevnad.
Testprotokoll, åtgärdsplaner och ledningens genomgång skapar spårbarhet. Dessa dokument visar att säkerhetsåtgärder följs och förbättras.
Vi implementerar ärendehantering, loggning och metadata för enkel sökning och rapportering. Dashboard-visning ger överblick över organisationens dokumentationshälsa och kommande förfallodatum.
Riskhantering måste vara praktisk, tydlig och mätbar för att skydda verksamhetens kritiska funktioner.
Vi etablerar en process som visar hur risker identifieras, bedöms och behandlas. Rollen för riskägare, frekvens för genomgångar och acceptanskriterier dokumenteras tydligt.
Vi beskriver metodiken för riskanalys och hur åtgärder väljs utifrån sannolikhet och konsekvens. Effekten av säkerhetsåtgärder mäts och följs upp över tid.
Kontinuitetsplaner kopplas till affärskritiska tjänster och testas regelbundet. Testresultat och förbättringar sparas för uppföljning.
Vi inför krav säkerhet i inköp och leverantörsstyrning. Due diligence, avtal och kontroller i leveranskedjan dokumenteras för spårbarhet.
I utveckling och förvärv integrerar vi hotmodellering, kodgranskning, sårbarhetshantering och change management.
Cyberhygien och åtkomstkontroller beskrivs konkret: policyer för lösenord, autentisering och privilege management.
Vi dokumenterar kryptografistrategier, nyckelhantering och hur avvikelser åtgärdas. Sårbarheter prioriteras och patchprocessen spåras.
En tydligt definierad kedja för varning och anmälan säkerställer snabba beslut när timmar räknas. Vi upprättar praktiska rutiner så att rätt information lämnas i rätt tid till myndighet och berörda mottagare.
Varning ska skickas inom 24 timmar till CSIRT/CERT‑SE med minimiinnehåll, kontaktvägar och ansvar utsatt. Vi tar fram mallar som visar vad som måste ingå: identifierad påverkan, grundläggande tidpunkt, och kontaktperson.
Inom 72 timmar levererar vi en fullständig anmälan med bedömning av allvarlighet, konsekvenser, och angreppsindikatorer (IoC).
Vi säkerställer att anmälan innehåller påverkan på tjänster, föreslagna åtgärder och spårbar information för tillsyn enligt lagen.
På begäran lämnas delrapport med lägesbild. En slutrapport ska levereras inom en månad efter hantering, eller följa upp med lägesrapport om ärendet löper.
”Snabb rapportering är inte slutmålet — lärdomarna och åtgärderna är det.”
Vi utvecklar kommunikationsplaner för att informera mottagare av tjänster och ge råd om skydds‑ och motåtgärder. Roller, eskalering och jour ansvar dokumenteras tydligt.
Ledningen måste visa tydligt hur beslut om risk och resurser fattas och följas upp i praktiken. Vi hjälper er att göra styrning synlig, spårbar och kopplad till konkreta mål.
Vi dokumenterar hur ledningen fattar beslut som rör risk, resurser och prioriteringar. Beslut kopplas till protokoll, beslutspunkter och uppföljningsloggar.
Vi definierar KPI:er som visar mätbar effekt av åtgärder. Dessa KPI:er speglar minskad risk och ökad motståndskraft mot incidenter.
Vi tar fram ett utbildningsprogram där ledningen genomgår obligatorisk utbildning i cybersäkerhet och informationssäkerhet. Kursdeltagande, testresultat och intyg registreras för spårbarhet.
”Aktiv styrning och utbildning skapar en kultur där åtgärder följs upp och förbättras kontinuerligt.”
Vi förbereder underlag för tillsyn så att er lednings styrning kan granskas och godkännas. Detta säkerställer att organisationen har resurser och processer för att uppfylla kraven.
Tillsynsberedskap börjar med ordning i dokument, tydliga roller och praktiska rutiner. Vi hjälper er strukturera information och system så att granskning blir effektiv och förutsägbar.
Myndigheter övervakar väsentliga enheter proaktivt och gör riktade kontroller mot viktiga aktörer vid behov. Vi förklarar vad som typiskt efterfrågas i underlag och intervjuer.
Vid tillsyn kan myndigheten begära uppgifter, få tillträde till lokaler och göra säkerhetsskanningar. Vi förbereder svaren så att efterlevnad kan visas utan stress.
Vår checklista täcker dokumentlistor, systemutdrag, kontaktpersoner och sekretessrutiner. Vi kvalitetssäkrar att dokumentation och information är konsekventa och åtkomliga.
Vi säkerställer att organisationens roller, delegationsordning och beslutsloggar är tydliga och kopplade till kontrollernas spårbarhet.
En strukturerad slutbild visar hur säkerhetsåtgärder och beslut skyddar verksamheten i praktiken. Vi hjälper organisationen att koppla krav och risker till konkreta åtgärder i system och processer.
Ledningen måste prioritera resurser och styra informationssäkerhet med mätbara mål. ISO 27001 ger en stabil ram för ett moget informationssäkerhetsarbete och efterlevnad.
Bygg dokumentation som håller för tillsyn, revision och säkerhetsskanning. Skala lösningar över organisationer och sektorer, anpassa lokalt och förbättra proaktivt.
Vi rekommenderar en snabb nulägesanalys, en gap‑bedömning mot kraven nis2 och en handlingsplan med ansvar och tidslinjer för fortsatt utveckling mot en hög gemensam cybersäkerhetsnivå.
Vi levererar strukturerade handlingar som visar hur er verksamhet uppfyller krav på informationssäkerhet, riskhantering och incidentrapportering. Våra leveranser inkluderar policys, riskregister, rutiner, utbildningsunderlag och ledningsbeslut som är spårbara och redo för tillsyn.
Kraven kommer av ett bredare regelverk som utökar berörda sektorer och skärper ledningens ansvar. Dokumentation visar att vi har infört säkerhetsåtgärder, hanterar risker och kan rapportera incidenter inom angivna tidsramar — något som minskar sanktionsrisk och stärker driftssäkerheten.
Direktivet trädde i kraft i EU och implementeras löpande i medlemsstaterna. I Sverige kompletteras detta av nationell lagstiftning och tillsynsregler som skärps mot 2026. Vi hjälper er tolka milstolpar och anpassa dokumentationen så att den följer både EU- och svensk praxis.
Bristfällig dokumentation kan leda till sanktioner, krav på snabba åtgärder, minskat förtroende från kunder och leverantörer samt ökad sårbarhet vid leveranskedjeincidenter. Ledningen kan också hållas ansvarig om beslut och resurser inte är dokumenterade.
Vi rekommenderar en kombination av styrande dokument (policys), stödjande material (rutiner, utbildningar), tekniska loggar och revisionsspår samt resultatdokument som incidentrapporter och testprotokoll. Dessa bevis ska kopplas till verifierbara tekniska åtgärder.
Vi mappar varje krav mot konkreta kontroller — t.ex. åtkomststyrning, loggning och kryptering — och visar var bevis finns: systemkonfigurationer, revisionsloggar och testresultat. Detta gör det enkelt att visa upp för revisorer och tillsynsmyndigheter.
Vi går igenom verksamhetens kritikalitet, verksamhetsområde och leveranskedjor för att avgöra om ni räknas som väsentlig eller viktig aktör. Klassningen styr omfattningen av dokumentationskrav, rapporteringsplikt och ledningsansvar.
Vi hjälper er definiera mål baserat på risknivå, verksamhetsmål och regulatoriska krav. Ambitionsnivån fastställs i ledningsbeslut och bryts ner till mätbara åtgärder och rapporter som följs upp regelbundet.
Ett robust system innehåller styrande dokument (policys, ledningsbeslut), stödjande material (processer, rutiner, utbildningar), resultatdokument (incidentrapporter, testprotokoll) samt systemstöd för ärendehantering, loggning och spårbarhet enligt relevanta standarder som ISO 27001.
Vi föreslår en arbetsgång med riskanalys, riskbehandling och kontinuitetsplaner. Åtgärder dokumenteras i riskregister, handlingsplaner och uppföljningslistor. Vi inkluderar även leverantörsbedömningar och krav på säker utveckling vid förvärv av system.
Vi skapar mallar och processer för tidig varning inom 24 timmar, formell anmälan inom 72 timmar och del-/slutrapporter inom en månad. Rutinerna beskriver ansvar, kontaktvägar till CERT-SE, informationsinnehåll och IoC-hantering.
Den ska ge en kortfattad samlad lägesbild: typ av incident, berörd funktion, pågående påverkan, kontaktpunkt hos oss och preliminära åtgärder. Syftet är att snabbt ge tillsynsmyndigheter möjlighet att bedöma behov av stöd.
En mer utförlig bedömning med konsekvensanalys, tekniska indikatorer (IoC), åtgärder som vidtagits och plan för fortsatt hantering. Vi säkerställer att anmälan är spårbar och kan kompletteras vid behov.
Vi tar fram mallar för kundkommunikation som är transparenta men kontrollerade, med tydlig ansvarsfördelning för meddelanden, tidsplan och sekretesshantering. Målet är att bevara förtroende och minimera spridning av felaktig information.
Ledningen måste fatta och dokumentera beslut om säkerhetsambitioner, resurser och styrande dokument. Vi spårar obligatorisk utbildning och närvaro med certifikat och uppföljning för att visa mätbar effekt.
Vi ordnar ordning i dokumentationen, skapar en checklista inför revision och säkerställer att tillträdesrutiner för revisorer och säkerhetsskanningar finns dokumenterade. Vi hjälper er genom provrevisioner och åtgärdsplaner.
Nyckelposter är uppdaterade policys, riskregister, incidentloggar, testprotokoll, utbildningsbevis, leverantörsavtal och tekniska loggar. Vi verifierar att allt är spårbart och länkad till ledningens beslut.
Vi anpassar dokumentationen så den uppfyller både lagkrav och best practice enligt ISO 27001. Det innefattar gap-analyser, implementeringsstöd, mallar och processer för kontinuerlig förbättring och revision.
