augusti 12, 2025|4:53 e m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi hjälper svenska verksamheter att möta det uppdaterade directive som skärpt krav på riskhantering, incidentrapportering och leverantörskedjesäkerhet.
Vår helhetsmetod gör compliance spårbar och praktisk. Vi kopplar services och leverabler till konkreta krav så att insatser blir mätbara över time.
Vi arbetar nära ledning och team för att stärka cybersecurity och skapa ett gemensamt framework för security och governance. Det innebär tydliga practices, standards och tekniska kontroller.
Direktivet trädde i kraft 16 januari 2023 och skulle införlivas i nationell lag senast oktober 2024. I Sverige omfattas fler sektorer, från energi till hälso- och sjukvård.
Efter publiceringen i december 2022 blev det tydligt att fler aktörer måste stärka sitt skydd mot digitala hot.
Europaparlamentet antog directive den 10 november 2022, publicerades 27 december 2022 och trädde i kraft 16 januari 2023. Medlemsstaterna hade deadline 18 oktober 2024 för införlivande i nationell lag.
Regelverket utökar scope till fler entities och businesses. Det innebär skärpta krav på incidentrapportering, riskhantering och leverantörsled. Detta påverkar allt från energi och transport till vård och digitala leverantörer.
Hotbilden har ökat med geopolitisk osäkerhet. Därför behöver vi en gemensam framework för att öka cyberresiliens över sektorer.
Behöriga myndigheter och competent authorities i Sverige samordnar tillsyn tillsammans med ENISA. Det skapar tydligare processer och större krav på dokumentation för compliance.
| Datum | Vad | Påverkan |
|---|---|---|
| 10 nov 2022 | Antagande i Europaparlamentet | Startpunkt för nya krav |
| 27 dec 2022 | Publicering | Formell information om updates |
| 18 okt 2024 | Införlivande i nationell lag | Fler verksamheter måste uppfylla compliance |
Vi går igenom vilka aktörer som granskar, hur inspektioner planeras och vad en organisation behöver kunna visa upp för att visa compliance.
Huvuddelen av granskningarna utförs av nationella competent authorities. Dessa authorities leder processen och tolkar rules i det aktuella directive.
Kunder kan kräva bevis i leverantörskedjan och revisionsfirmor anlitas ofta för att ge oberoende stöd. Vi hjälper ert management att paketera dokumentation och services så att bevisen blir spårbara.
För ”essential” aktörer väntas slumpmässiga kontroller. För ”important” är granskningar vanligtvis incidentdrivna.
Det betyder olika time och förberedelse för era team. Vi mappar risker mot era processer så att cybersecurity och security-kontroller snabbt kan demonstreras vid behov.
Verksamheter får typiskt två veckors skriftligt besked för att ta fram evidens. Vanlig begäran omfattar policies, riskhantering, övervakning, tekniska kontroller och incidentprocesser.
Vill ni fördjupa er i regelverket hänvisar vi till det här direktivet för mer detaljer.
Vi klargör vilka verksamheter som omfattas och hur prioriteringar avgörs i praktiken.
Scope breddas till fler sektorer, bland annat energi, transport, hälso- och sjukvård, digital infrastruktur och utvalda digitala tjänster. Detta påverkar både offentliga och privata businesses som levererar kritiska tjänster.
Vilka entities som räknas beror på påverkan mot samhällsviktiga funktioner och infrastructure. Authorities väger risk, beroende av påverkan på kontinuitet och allmän säkerhet.
Ledningen får tydligt ansvar för beslut, uppföljning och resurser för compliance. Kraven kräver policyer för riskanalys, incidenthantering, leverantörsled och sårbarhetshantering.
| Aspekt | Konsekvens | Datum |
|---|---|---|
| Klassificering | Påverkar tillsyn och penalties | — |
| Svensk införlivning | Lagstiftning och rules implementeras | 18 okt 2024 |
| Sanktionsnivå | Essential: minst 10M€ eller 2%; Important: minst 7M€ eller 1,4% | — |
Med en prioriterad åtgärdslista minimerar vi risker och skapar tydliga milstolpar. Vi börjar med en kort, operativ plan som fördelar ansvar och budget.
Vi genomför en gaps-analys och tar fram en prioriterad plan med konkreta measures och tidsstämplar. Resultatet visar vad som saknas och vad som måste prioriteras.
Vi gör en assessment av risk och risks kopplade till nätverk och informationssystem. Hotmodellering hjälper oss att rangordna åtgärder.
Fokus ligger på IAM, MFA, kryptering, patchning och sårbarhetsskanning. Vi inför konfigurationsbaselines och regelbundna updates.
Vi designar roller, flöden och rapportering. Träning och övningar säkerställer att management och team vet hur de agerar vid incident.
Vi formaliserar tredjepartsgranskning med due diligence, avtalskrav och uppföljning. Detta minskar leverantörsrelaterade gaps.
”En tydlig plan och dokumentation gör det enkelt att visa compliance och förbättra säkerheten över tid.”
| Fokusområde | Primär åtgärd | Resultat |
|---|---|---|
| Gapanalys | Prioriterad plan och milestones | Synliga gaps och åtgärdslista |
| Risk management | Assessment och hotmodellering | Prioriterade risks och mitigering |
| Kontroller | MFA, kryptering, patchning | Förbättrad cybersecurity och stabilitet |
| Incident & response | Roller, playbooks, rapportering | Snabbare återställning och tydlig eskalering |
Vi sammanställer en tydlig katalog med bevis som visar att våra security-measures verkligen fungerar.
På granskningsdagen förväntas dokumentation som visar hur information skyddas i praktiken.
Informationssäkerhetspolicyer, riskanalysdokument och riskhanteringsplan ska finnas tillgängliga. Dessa visar ansvar och hur management följer standards och krav från nis2 directive.
En incidenthanteringsplan och en krisplan med roller, triggers och response-flöden är centrala. Vi visar loggar som dokumenterar incidents och rapporteringstid.
Scanningrapporter, patch-fönster, undantag och godkännanden bevisar sårbarhetshantering. Det visar att measures genomförs enligt plan.
Åtkomstpolicys (lösenord, MFA, zero trust), nätverkssegmentering, backupprotokoll och återställningstester med RPO/RTO ingår.
Bevis för supply chain security omfattar avtal, tredjepartsbedömningar och uppföljningsrapporter. Vi sammanställer allt i en strukturerad katalog som förenklar audits och ökar compliance.
”En tydlig och testad bevismapp minskar friktion och visar att skydden fungerar i verkligheten.”
På granskningsdagen visar vi steg för steg hur verksamhetens skydd fungerar i praktiken. Vi börjar med en kort företagsöversikt som ramar in vilka services och affärsprocesser som är mest kritiska.
Vi sätter en tydlig agenda för audits: översikt av organization, services, risker och de åtgärder som säkerställer compliance i praktiken.
Presentationerna inkluderar policyer, riskmatriser och en kort genomgång av ansvarsfördelning i management.
Vi demonstrerar security- och cybersecurity-kontroller live. Det kan vara dashboards, loggar och konfigurationer som visar response-flöden end-to-end.
Vi förbereder team och ledning för intervjuer så att svaren blir konsekventa. Authorities kan ställa tekniska frågor och be att se bevis på processernas effektivitet.
Efter dagen sammanfattar vi en åtgärdslista med ansvariga. Det ger en tydlig plan för uppföljning och minskar tid till åtgärd i det fortsatta business-caset.
”En strukturerad genomgång och tydliga demos minskar friktion och visar att skydden fungerar i praktiken.”
Efterlevnad kräver tydliga ramar för ledning, mätning och snabba förbättringar.
Fines och penalties kan bli kraftfulla verktyg. För essential entities kan sanktionsavgifter vara minst 10 miljoner euro eller 2 % av global omsättning. För important entities gäller minst 7 miljoner euro eller 1,4 %.
Ledningen kan hållas ansvarig. Det kan innebära tillfälliga förbud mot ledningspersoner och suspension av tjänster.
Vi etablerar KPI:er för att mäta effektiviteten i våra measures. Regelbundna audits och uppdateringar visar hur practices förbättras över tid.
”Spårbarhet från krav till evidens stärker både compliance och trust.”
Vi operationaliserar supply chain security med TPRM, due diligence och avtalade säkerhetskrav.
Träning, BCDR-processer och snabba rapporteringsflöden minskar risk och stödjer långsiktig compliance.
| Område | Primär åtgärd | Effekt |
|---|---|---|
| Sanktionsram | Policyer och eskalering | Förståelse för fines och penalties |
| Ledning | Mandat och rapportering | Klart ansvar för compliance |
| Leverantör | Due diligence och revision | Stärkt supply chain security |
För svenska verksamheter innebär förändringen tydligare ansvar och krav på spårbarhet i säkerhetsarbetet. nis2 directive höjer ribban för cybersecurity genom utökat omfång, skärpta rapporteringskrav och krav på supply chain security.
Vi rekommenderar en praktisk plan som täcker risk management, assessment, response och mätbara measures. När framework, roller och team är på plats blir en nis2 audit hanterbar över time.
Proaktivt arbete minskar risken för fines och penalties, och visar för competent authorities att information, services och infrastructure är skyddade. Slutligen: låt oss hjälpa er omsätta krav till vardagliga rutiner — besök vår blog för fler artiklar och kontakta oss för ett case-baserat planeringssamtal.
En granskning kontrollerar att vi uppfyller nya krav på cybersäkerhet och riskhantering för kritisk infrastruktur. Vi visar upp policys, tekniska kontroller och rutiner för incidentrapportering för att bevisa regelefterlevnad gentemot kompetenta myndigheter och kunder.
Svenska myndigheter som MSB och Datainspektionen samt namngivna tillsynsinstanser i respektive sektor kan agera. De kan också samarbeta med andra EU-myndigheter vid gränsöverskridande incidenter.
Inspektioner kan vara både slumpmässiga och incidentdrivna. I vissa fall får vi två veckors förvarning, men vid allvarliga incidenter kan kontroll ske utan förvarning. Vi måste därför ha löpande beredskap och dokumentation.
Essential-aktörer har striktare krav och högre förväntningar på ledningsansvar och tekniska skyddsåtgärder. Important-aktörer omfattas också men med viss differentiering i omfattning och rapporteringsfrekvens.
Sektorer som energi, transport, finans, hälsa, digital infrastruktur och offentliga tjänster brukar ingå. Vi behöver kartlägga vår roll i leveranskedjan för att avgöra om vi omfattas.
Ledningen ansvarar för strategi, resurstilldelning, riskprioritering och att säkerställa att ansvarsfördelning och rapportering finns dokumenterade och praktiseras i hela organisationen.
Vi genomför en gap-analys mot kraven, prioriterar åtgärder i en plan, stärker tekniska kontroller och övar incidenthantering. Vi dokumenterar även leverantörsstyrning och sparar bevismaterial för revision.
Identifiera hot och sårbarheter, bedöm konsekvenser och sannolikhet, prioritera risker och implementera åtgärder. Vi följer en cyklisk process med mätning och kontinuerlig förbättring.
Åtkomstkontroller inklusive MFA, regelbunden patchning, kryptering där det krävs samt segmentering och säkerhetsövervakning. Vi rekommenderar även backup- och återställningsrutiner samt principer för zero trust.
Vi måste kunna presentera incident- och krishanteringsplaner, roller, rapporteringsflöden, övningsloggar och exempel på tidigare incidenthantering inklusive notifiering till relevanta myndigheter.
Vi behöver visa leverantörsavtal, due diligence, säkerhetskrav i kontrakt och löpande uppföljning. Bevis på leverantörstester och tredjepartsgranskningar är ofta efterfrågat.
Policys för informationssäkerhet, riskbedömningar, sårbarhetshantering, patchrutiner, identitets- och åtkomstpolicyer, säkerhetsarkitekturbeskrivningar och backup- samt återställningsplaner.
Revisorn vill ha en företagsöversikt, visa tjänster och kritiska system, se tekniska kontroller i drift och intervjua nyckelpersoner. Vi bör ha en tydlig agenda och ansvariga personer på plats.
Brister kan leda till administrativa sanktionsavgifter, krav på åtgärdsplaner och i värsta fall rättsliga påföljder. Ledningen kan hållas ansvarig för bristande styrning och kontroll.
Vi etablerar mätetal, spårbarhet, regelbundna kontroller och revisioner samt kontinuerlig uppföljning av leverantörer. En kultur för cybersäkerhet och löpande förbättring är avgörande för långsiktig compliance.
