Vi hjälper organisationer att snabbt tolka det nya direktivet och höja sin cybersäkerhet till rätt nivå. EU beslutade om NIS2 i december 2022 och det ersätter NIS-lagen från 2018. För många verksamhetsutövare betyder det fler krav på riskanalyser och tydligt ledningsansvar.
MSB är nationell samordnare och kontaktpunkt mot EU. En statlig utredning (SOU 2024:18) och en lagrådsremiss i juni 2025 visar vägen mot en svensk cybersäkerhetslag, med proposition väntad hösten 2025.
Vi kopplar ihop strategi och teknik genom konkreta tjänster som kartlägger nuläget, prioriterar gap och planerar åtgärder för maximal riskreduktion per krona. Vi arbetar nära ledningen för att säkerställa tydliga roller, styrning och rutiner för drift, övervakning och incidenthantering.
Nyckelpunkter
- Direktivet utökade omfattningen och skärpte kraven sedan 2018.
- Verksamhetsutövare måste identifiera om de omfattas och anmäla sig.
- MSB är svensk samordnare och EU-kontaktpunkt.
- Vi erbjuder rådgivning och tekniska tjänster från bedömning till implementering.
- Prioritera tidigt riskanalyser och ledningsinvolvering för bäst resultat.
Nuläget: NIS2, kommande cybersäkerhetslagen och vad det betyder just nu
Övergången från EU-beslut till svensk lagstiftning påverkar planeringen för många aktörer redan idag. Vi ser nu konkreta milstolpar som kräver tidig intern förberedelse.
Direktivet till lag: från EU-beslut till svensk lagstiftning under 2025
nis2-direktivet antogs i EU i december 2022 och ska införas i Sverige som en ny cybersäkerhetslagen under 2025. Regeringen lämnade en lagrådsremiss i juni 2025.
SOU 2024:18 och lagrådsremiss – vad vet vi och vad inväntar vi?
SOU 2024:18 innehåller ett förslag om hur reglerna kan utformas. Berörda aktörer har lämnat remissvar och Lagrådet ska yttra sig före propositionen i höst.
- Vad som är klart: fler sektorer omfattas, ledningsansvaret stärks och sanktionerna höjs.
- Vad som väntar: sektorsvisa föreskrifter från tillsynsmyndigheter och slutlig ordalydelse i propositionen.
| Period | Händelse | Praktisk påverkan |
|---|---|---|
| Oktober 2025 | Beslutspunkter i lagprocessen | Intern tidslinje för implementation |
| Hösten 2025 | Proposition publiceras | Förbered anmälningar och dokumentation |
| Efter proposition | Sektorsvisa föreskrifter | Detaljerade regler och tillsyn |
Vi rekommenderar att verksamhetsutövare börjar med riskbaserade åtgärder som följer befintliga standarder. Det minskar osäkerhet och ger tidiga vinster oavsett slutligt förslag.
NIS2 nätverkssäkerhet: vad omfattas och vem räknas som verksamhetsutövare?
Vi hjälper er att avgöra vilka sektorer och tjänster som omfattas och vilka roller som räknas som verksamhetsutövare. Här förklarar vi skillnaden mellan väsentliga och viktiga aktörer och visar konkreta exempel från de 18 sektorerna.
Väsentliga respektive viktiga aktörer och konsekvenser
Väsentliga verksamhetsutövare får striktare tillsyn och högre sanktionsrisk. Viktiga aktörer omfattas också, men får oftast en annan tillsynsprofil.
De 18 sektorerna i korthet
| Sektor | Typiska aktörer | Praktisk konsekvens |
|---|---|---|
| Energi | Kraftbolag, distribution | Hög tillsyn, krav på robust drift |
| Hälso- och sjukvård | Sjukhus, kliniker | Skydd av patientdata och kontinuitet |
| Offentlig förvaltning | Kommuner, statliga myndigheter | Rapportering och sektorsspecifika regler |
| Post & budtjänster | Budföretag, logistik | Leveranskedjeberoenden kan ge täckning |
| Avfallshantering & Produktion | Renhållning, fabrik | Fysiska processer och IT-beroenden |
Vi visar hur beroenden i infrastruktur och distribution kan göra att även små organisationer omfattas nis2. Tillsammans kartlägger vi era kritiska tjänster och dokumenterar er status som verksamhetsutövare.
Så tar vi reda på om ni omfattas av nis2-direktivet och anmäler er korrekt
Vi går igenom era tjänster och leverantörsberoenden för att avgöra om ni behöver anmäla er. Processen är strukturerad och bygger på sektortillhörighet och storlekströsklar enligt direktivet.
Kriterier, storlekströsklar och sektortillhörighet
Vi kartlägger om er verksamhet hamnar bland de 18 sektorerna som pekas ut. Vi analyserar omsättning, anställda och kritikalitet för att bedöma trösklar.
Eventuella svenska tillägg beaktas tills lagen och föreskrifterna publiceras. Därför använder vi även praxis från tidigare regler och MSB:s vägledningar som vägledande referenser.
Anmälan till rätt tillsynsmyndighet och vad föreskrifter kommer klargöra
Verksamhetsutövare måste själva anmäla sig till utsedd tillsynsmyndighet. Exakta anmälningsformulär fastställs i föreskrifter, men vi förbereder all dokumentation redan nu.
- Identifiera ansvarig myndighet (PTS, Energimyndigheten, Finansinspektionen med flera).
- Beskriv era tjänster, beroenden i infrastruktur och leverantörer tydligt.
- Skapa en intern RACI och kommunikationsplan för dialog efter anmälan.
| Steg | Vad vi levererar | Praktisk effekt |
|---|---|---|
| Kartläggning | Beslutslogik och checklista | Snabbt svar på om ni omfattas |
| Myndighetsval | Identifiering och dokumentpaket | Korrekt anmälan första gången |
| Efter anmälan | RACI och kommunikationsplan | Kontinuerligt ansvar och spårbarhet |
Bygg ett systematiskt informationssäkerhetsarbete som uppfyller kraven
Vi hjälper er skapa ett hållbart ramverk för informationssäkerhet som ger verksamheten trygghet. Arbetet kopplar riskanalyser till konkreta åtgärder och tydliga roller hos ledningen.
Riskanalyser, säkerhetsåtgärder och ledningens ansvar i praktiken
Vi etablerar ett ledningssystem som samlar styrdokument, riskkriterier och mätetal. Det gör att ni kan prioritera insatser efter affärspåverkan och höja skyddsnivå över tid.
Tekniska och organisatoriska åtgärder för nätverk, infrastruktur och leverantörer
Vi utformar en portfölj av tekniska och organisatoriska åtgärder för identitet, endpoint, infrastruktur och leverantörer. Processer för patchning, loggning och incidentrespons integreras med era tjänster.
Utbildning, styrning och kontinuerlig förbättring
Ledningen får beslutsstöd och utbildning för att ta aktivt ansvar. Vi inför KPI:er, revisioner och en förbättringscykel som säkrar att arbetet utvecklas i takt med hotbilden.
| Område | Vad vi levererar | Praktisk effekt |
|---|---|---|
| Ledningssystem | Policy, RACI, mätetal | Tydigt ansvar och spårbarhet |
| Tekniska åtgärder | Patch, övervakning, endpoint | Minskad exponering och snabb respons |
| Leverantörsstyrning | Due diligence, SLA-krav | Kontinuerligt riskkontroll av tjänster |
Incidentrapportering: rapportera incidenter i rätt tid och till rätt aktör
Snabb och korrekt rapportering avgör hur väl en incident hanteras och begränsas. Vi hjälper er etablera processer som levererar rätt information i rätt tid.
Tidslinje och innehåll
Verksamhetsutövare ska lämna en varning inom 24 timmar, en inledande incidentanmälan inom 72 timmar och en fullständig slutrapport inom en månad.
Om incidenten pågår efter en månad lämnas en lägesrapport och slutrapport en månad efter avslut. Enligt SOU 2024:18 rapporteras till MSB som vidarebefordrar till tillsynsmyndighet.
Vad som räknas som betydande
Kriterier för en betydande incident specificeras i kommande föreskrifter. Vi definierar tröskelvärden i er kontext.
- Beslutsmatris: klar gräns för när vi måste rapportera incidenter.
- Eskalering: roller och kontaktvägar för snabba beslut.
- Bevishantering: bevarande av spår och teknisk triage.
Stöd från CERT-SE
CERT-SE kan ge rådgivning, lindra påverkan och hjälpa till med återställning. Vi förbereder samverkansrutiner så att ni snabbt kan begära och ta emot stöd.
- Vi sätter upp operativ process för att rapportera inom 24/72 timmar.
- Vi integrerar rapportering med SOC och ärendehantering för kvalitetssäkring.
- Vi tränar roller, testar mallar och genomför efteranalyser för lärdomar.
Tillsyn, föreskrifter och sanktioner: så undviker vi kostsamma fallgropar
Tillsynen blir kärnan i hur organisationer visar efterlevnad och hanterar risker framöver.
Myndigheterna agerar sektorsvis och har både stödjande roller och rätt att ge förelägganden. Vi förbereder era bevis och processer så att krav enligt föreskrifter och kommande regler möts.
Tillsynsmodeller för väsentliga och viktiga aktörer
Väsentliga verksamhetsutövare blir föremål för proaktiv tillsyn. Det innebär regelbundna granskningar och krav på dokumentation.
För viktiga verksamhetsutövare är tillsynen mer reaktiv och startar vid misstanke om brister. Vi hjälper er skapa en egenkontrollplan som visar kontinuerlig förbättring.
Sanktionsnivåer, förelägganden och hur vi säkerställer efterlevnad
Föreslagna sanktioner kan bli betydande. Väsentliga aktörer riskerar upp till det högsta av 2% av global omsättning eller 10 miljoner euro. Viktiga kan nå 1,4% eller 7 miljoner euro.
Offentliga aktörer kan få sanktionsavgifter upp till 10 miljoner kronor. SOU 2024:18 och lagrådsremissen förtydligar ansvar inför cybersäkerhetslagen och direktivet.
- Bevisföring: policyer, riskregister, åtgärdsplaner och incidentloggar.
- Egenkontroll: interna revisioner, gap-uppföljning och ledningens genomgång.
- Dialog: vi stödjer er kontakt med tillsynsmyndigheter för snabba och korrekta svar.
| Typ | Tillsyn | Typiska sanktioner |
|---|---|---|
| Väsentlig verksamhetsutövare | Proaktiv, regelbunden granskning | Upp till 2% av global omsättning eller 10 M€ |
| Viktig verksamhetsutövare | Reaktiv vid misstanke | Upp till 1,4% eller 7 M€ |
| Offentlig organisation | Sektorsvisa kontroller | Upp till 10 MSEK i sanktionsavgift |
Slutsats
Slutsats
Det är dags att omvandla regelverkets krav till praktiska insatser i er verksamhet. Vi rekommenderar att ni omedelbart startar riskbaserade åtgärder, leverantörskontroller och styrningsrutiner för att möta kommande föreskrifter.
Ledningens ansvar är avgörande: vi ser till att informationssäkerhet blir en del av verksamhetens beslutsfattande och att incidentrapportering fungerar enligt 24/72-tidsramarna.
Våra tjänster täcker allt från bedömning till implementering i sektorer som offentlig förvaltning, sjukvård, produktion och distribution. Har ni frågor eller vill ha stöd, kontakta oss gärna eller läs vår sammanställning i denna djupstudie.
Vi hjälper er prioritera åtgärder så att ni minimerar fall av efterlevnadsbrist och bygger verklig motståndskraft inför lagstiftningen i höst.
FAQ
Vad innebär direktivet och när blir det svensk lag?
Direktivet om nätverkssäkerhet har översatts till förslag i SOU 2024:18 och en lagrådsremiss förväntas följas av ny lagstiftning under 2025. Vi följer processen noga och hjälper er tolka vilka krav som träder i kraft och när.
Hur avgör vi om vår verksamhet omfattas av regelverket?
Vi kartlägger era tjänster, sektor, omsättning och anställda mot de kriterier och storlekströsklar som föreslås. Därefter fastställer vi om ni klassas som väsentlig eller viktig verksamhetsutövare och vilken tillsynsmyndighet ni ska anmäla er till.
Vilka sektorer berörs och vad betyder det för sjukvård och offentlig förvaltning?
Totalt omfattas 18 sektorer, inklusive energi, sjukvård, avfallshantering, budtjänster och offentlig förvaltning. För sjukvård och offentlig förvaltning innebär detta skärpta krav på informationssäkerhet, incidentrapportering och leverantörsstyrning.
Vilka tekniska och organisatoriska åtgärder måste vi vidta?
Vi rekommenderar riskanalyser, segmentering av nätverk, redundans i infrastruktur, leverantörsbedömningar, kontinuerliga sårbarhetsskanningar och dokumenterade rutiner för ledning och styrning. Åtgärderna anpassas efter er verksamhets risknivå.
Hur ser kravbilden ut för incidentrapportering?
Vid en incident ska vi först varna berörda parter snabbt, ofta inom 24 timmar, göra en initial anmälan inom 72 timmar och leverera en fullständig slutrapport inom en månad. Vi hjälper er att bedöma om en händelse är betydande och att rapportera korrekt till rätt myndighet eller CERT-SE.
Vad räknas som en betydande incident?
En betydande incident påverkar tillgång, konfidentialitet eller integritet i sådan grad att tjänsternas leverans, patient- eller kundsäkerhet eller kritisk infrastruktur hotas. Vi använder en praktisk mall för bedömning och dokumentation som underlag för anmälan.
Vilken roll har leverantörer och underleverantörer?
Leverantörer måste ingå i ert säkerhetsarbete genom kravställning, avtal och kontinuerlig granskning. Vi hjälper er skapa leverantörsavtal som tydliggör ansvar, rapportering och säkerhetskrav för att minimera tredjepartsrisker.
Hur ser tillsyn och sanktioner ut om vi inte uppfyller kraven?
Tillsynen skiljer mellan väsentliga och viktiga aktörer. Myndigheter kan utfärda förelägganden och administrativa sanktioner. Vi erbjuder stöd för att förebygga brister, förbereda föreskrifter och hantera tillsynsprocesser.
Hur hjälper ni oss att implementera ett systematiskt informationssäkerhetsarbete?
Vi utvecklar praktiska rutiner för riskanalyser, incidenthantering, utbildning och kontinuerlig förbättring. Vi integrerar tekniska lösningar med ledningsprocesser och ser till att ansvar och dokumentation följer föreslagen lagstiftning.
Vad kan CERT-SE bidra med vid en större incident?
CERT-SE erbjuder teknisk rådgivning, stöd vid återställning och analys för lärdomar. Vi koordinerar kontakter med CERT och myndigheter samt tar fram handlingsplaner för att snabbt återupprätta drift och minska påverkan.
Hur påverkar de nya reglerna leverans- och produktionstider?
Kraven kan medföra nya processer, ytterligare tester och längre godkännandefaser, vilket kan påverka leveranstider. Vi arbetar med er för att minimera driftstörningar och optimera tidplaner genom riskbaserade prioriteringar.
Vad innebär förslaget om föreskrifter och hur tydliga blir de?
Föreskrifterna kommer att specificera tekniska och organisatoriska krav, rapporteringsformat och tillsynsprocedurer. Tydligheten ökar när myndigheterna publicerar sina föreskrifter, och vi hjälper er att tolka och implementera dem i praktiken.
Hur snabbt bör vi agera för att bli redo inför lagändringarna i oktober och 2025?
Vi rekommenderar att påbörja kartläggning och riskanalyser omedelbart. Ju tidigare vi arbetar med åtgärdsplaner och leverantörsgranskning desto bättre står ni rustade inför skarpa krav och tillsyn.