Vi hjälper er att skapa en tydlig översikt över krav och risker inför den nya cybersäkerhetslagen som gäller från 1 januari 2025.
Vår metod består av två faser. Först en inledande workshop och hög nivå-granskning för att bedöma påverkan och omfattning. Sedan en fördjupad analys och en exekutiv handlingsplan med presentation för ledningen.
Vi förstår att sanktioner kan bli betydande och att ledningen kan få personligt ansvar. Därför kombinerar vi juridisk kompetens med praktiska affärsinsikter.
Som företag får ni konkreta tjänster som kartlägger styrning, processer, leverantörslandskap och kritiska beroenden. Resultatet ger tydliga prioriteringar, mätbara mål och ansvarsfördelning för att höja er informationssäkerhet snabbt och långsiktigt.
Viktiga slutsatser
- Tvåfasig metod ger snabb överblick och djup handlingsplan.
- Kombination av juridik och affärsinsikt för praktisk efterlevnad.
- Tydliga prioriteringar och mätbara mål för ledningen.
- Analys av leverantörer och beroenden minskar operativ risk.
- Leveransen anpassas efter bransch och organisationsstorlek.
Stärk er regelefterlevnad inför NIS2 och cybersäkerhetslagen
Förberedelser inför den kommande lagen handlar om att översätta krav till konkreta åtgärder. Vi hjälper organisationer att anpassa styrmodeller och processer så att ni når efterlevnad enligt nis2-direktivet och den svenska cybersäkerhetslagen.
Vår standardiserade process kombinerar juridisk rådgivning och praktiska tjänster i två faser. Det går bra att köpa faserna separat eller som ett paket.
Vi klargör vilka krav som gäller på hög nivå och bryter ner dem till kontroller, ansvar och rapportering som passar er miljö.
- Vi kartlägger behov av policyer, roller och tekniska åtgärder för att minska risk vid cyberattacker.
- Vi förklarar tidslinjen med oktober 2024 i EU och vad det innebär inför svensk tillämpning.
- Vi stödjer uppföljning, nyckeltal och ägarskap så att efterlevnad blir beständig och proportionerlig.
Resultatet är en tydlig prioritering av åtgärder som möter tillsynskrav och minskar ert operativa behov av ad hoc-lösningar.
Varför NIS2 är affärskritiskt just nu
Tidsbristen gör att företag måste prioritera åtgärder med omedelbar effekt. Regelverket träder i kraft i EU i oktober 2024 och i Sverige den 1 januari 2025.
Effekterna är konkreta. Tillsynsmyndigheter kan utfärda tillfälliga förbud för personer i ledande ställning. Dessutom finns betydande påföljder som liknar GDPR.
Tidslinje och praktiska milstolpar
Vi hjälper er att planera hösten med fasta milstolpar för analys, åtgärd och verifiering fram till januari.
Höga straff och ledningsansvar
Direktivet innehåller sanktionsnivåer beroende på om en enhet bedöms vara väsentlig eller viktig. Ledningsorgan kan bli personligt ansvariga vid bristande efterlevnad.
Skärpta tillsynskrav och gemensam nivå
Myndigheternas krav täcker styrning, incidentrapportering och leverantörskedjor. Vi visar hur ni etablerar en nivå för styrning som möter tillsynens förväntningar.
- Vi förtydligar hur oktober 2024 och januari 2025 påverkar ert företag.
- Vi förklarar när ledningen kan drabbas av personligt ansvar och tillfälliga förbud.
- Vi prioriterar åtgärder som minskar högsta risk först och uppfyller rapporteringskrav.
| Bedömning | Väsentlig enhet | Viktig enhet |
|---|---|---|
| Sanktionsnivå | Minst 10 MEUR eller 2 % av global omsättning | Minst 7 MEUR eller 1,4 % av global omsättning |
| Konsekvenser för ledning | Tillfälliga förbud och personligt ansvar möjliga | Tillfälliga förbud och personligt ansvar möjliga |
Omfattas er organisation av nis2-direktivet?
Vi kartlägger snabbt om er verksamhet räknas som samhällsviktig eller digital tjänst. Det påverkar vilka krav ni måste uppfylla och vilka resurser som krävs för efterlevnad.
Samhällsviktiga och digitala tjänster: exempel på sektorer
Regelverket täcker fler sektorer än tidigare. Bland annat omfattas avloppsvatten, avfallshantering, fjärrvärme/-kyla, vätgas och mat.
Det inkluderar också offentlig förvaltning, hälso- och sjukvård, läkemedel, medicinteknik och tillverkningsindustri, bland annat datorer, elektronik, maskiner och fordon.
Digital infrastruktur och it-tjänster som DNS, datacenter och molntjänster faller också inom räckvidden.
Bedömning av tillämplighet och påverkan på verksamheten
Vi bedömer om er organisation omfattas utifrån storlek, sektor och tjänsternas kritikalitet.
- Vi beskriver tröskelvärden och kategoriseringar för ledningen.
- Vi analyserar påverkan på processer, personal och investeringar.
- Vi dokumenterar tillämplighet för dialog med tillsynsmyndighet.
| Sektor | Exempel på tjänster | Primär påverkan |
|---|---|---|
| Hälso- och sjukvård | Laboratorier, läkemedel, medicinteknik | Rapportering, säker drift, leverantörskedja |
| Infrastruktur | Avloppsvatten, avfall, fjärrvärme | Kritikalitet i försörjning, ökad tillsyn |
| Tillverkning och digitala tjänster | Datorer, elektronik, datacenter, moln | IT-säkerhet, leverantörsövervakning |
Vill ni veta mer om vilka sektorer som ingår i det här är nis2-direktivet hjälper vi till med en tydlig bedömning och en rekommendation för nästa steg.
NIS2 gap-analys
Första steget är en målstyrd workshop som skapar en gemensam bild av vad som ska analyseras. Vi fastställer nuläge, mål och omfattning så att insatsen blir tydlig och kostnadseffektiv.
Inledande workshop: nuläge, mål och omfattning
Workshopen identifierar vilka delar av organisationen som omfattas och vilka processer som kräver fokus. Vi dokumenterar workshopen i en kort rapport som visar påverkan och initiala förslag.
Granskning på hög nivå av processer, risker och leverantörer
Vi genomför en granskning på hög nivå av styrning, risker, processer och leverantörer för att snabbt peka ut gap.
Data samlas in via dokument och intervjuer så att odokumenterade rutiner också tas med.
Resultat: översikt, mognad och prioriterad handlingsplan
Slutleveransen är en översikt över organisationen med mognadsbedömning och en prioriterad handlingsplan. Vi gör en riskanalys kopplad till kontrollområden och viktar åtgärder efter affärspåverkan.
- Steg 1: Inledande workshop och hög nivå-analys — 20 000 SEK exkl. moms.
- Steg 2: Fördjupad gapanalys med rapport och exekutiv presentation — 45 000–90 000 SEK exkl. moms.
- Förslag på proportionerliga åtgärder och stegvis implementering med KPI-styrning.
Vad vår NIS2 gap-analys och handlingsplan levererar
Vi levererar en konkret handlingsplan som översätter regelkrav till praktiska åtgärder. Rapporten visar var ni står i förhållande till kraven och skapar prioriteringar kopplade till affärsnytta och risker.
Styrning och informationssäkerhet jämfört med kraven
Vi granskar er styrning och praxis mot direktivet och konkretiserar gap område för område.
Resultat: tydliga åtgärder för policy, roller och kontrollbibliotek som underlättar uppföljning.
Incidenthantering och rapportering enligt direktivet
Vi stärker incidenthanteringsförmågan och etablerar rutiner för snabb upptäckt, bedömning och rapportering.
Det inkluderar mallar, tidpunkter för rapportering och övningar som höjer operativ kvalitet.
Samspel med GDPR och sektorsspecifik lagstiftning
Efterlevnad synkas med relevant lagstiftning som GDPR, DORA och MDR. Vi identifierar konfliktpunkter och ger lösningar som minskar dubbelarbete.
Utbildning, workshops och ledningspresentation
”Vi förbereder ledningspresentationer som möjliggör beslut om finansiering, riskacceptans och tidplaner.”
Vi genomför workshop och utbildningar för att förankra nya arbetssätt. Vi klargör ansvar i leveranskedjan och hur nyckelleverantörer ska följas upp.
- Konkreta kontroller och mätetal för prioriterade risker.
- Processförbättringar för bättre spårbarhet och evidens.
- Kontaktstöd med behöriga myndigheter vid behov.
Pris, paket och engagemangsmodell
Våra paket är utformade för att ge snabb överblick och konkreta beslutspunkter för ledningen.
Steg ett är ett fast pris där inledande workshop och analys på hög nivå ger en klar översikt av påverkan enligt cybersäkerhetslagen.
Steg ett: påverkan och omfattning – fast prisnivå
Pris: 20 000 SEK exkl. moms. Vi levererar en kort rapport som visar påverkan, ansvar och prioriteringar.
Steg två: fördjupad gap-analys och exekutiv handlingsplan
Pris: 45 000–90 000 SEK exkl. moms. Detta steg inkluderar en detaljerad rapport över brister, prioriteringar och en exekutiv presentation.
- Flexibilitet: Engagemang kan köpas separat eller kombineras för snabbare leverans.
- Vi anpassar upplägget efter ert behov och beskriver leverabler, tidslinjer och ansvar.
- Workshopen sätter ramarna för datainsamling och förväntade utkomster.
- Resultatet levereras i ett format som direkt kan användas av ledning och styrgrupp.
| Steg | Innehåll | Pris (exkl. moms) |
|---|---|---|
| 1 | Inledande workshop, hög nivå-analys, översikt av påverkan | 20 000 SEK |
| 2 | Fördjupad analys, bristanalys, handlingsplan, exekutiv presentation | 45 000–90 000 SEK |
| Flex | Kombinerat paket eller anpassade tjänster baserat på organisationens behov | Enligt offert |
”Vi förbereder underlag för beslut om finansiering och prioritering i kommande budgetcykler.”
Från gap-analys till implementering och “soft audit”
Efter analysen omvandlar vi rekommendationerna till en tydlig operativ plan som går att genomföra i praktiken. Vi sätter steg, milstolpar och mätetal så att ledningen kan följa framsteg och beslut.
Operativ färdplan, partnersamordning och uppföljande granskning
Vi samordnar era IT-, säkerhets- och operativa partners för att säkerställa att leveranskedjan fungerar i praktiken. Detta minskar dubbelarbete och skapar tydligt ägarskap.
Vi håller en workshop med team och leverantörer för att förankra processer och kommunikationsvägar. Därefter genomför vi en uppföljande granskning — en ”soft audit” — som testar efterlevnad mot cybersäkerhetslagen och dokumentationsnivå.
- Vi översätter slutsatser till en operativ färdplan med tydliga steg och mätetal.
- Vi hjälper er att anpassa nis2-krav till befintliga ramverk för rätt nivå av bevis.
- Vi etablerar kontinuerlig förbättring baserat på lessons learned och övningar.
Vårt mål är att göra efterlevnad mätbar och hållbar. Vi stödjer er även vid externa revisioner och justerar färdplanen utifrån soft audit så att åtgärder får mätbar effekt.
”Implementering är inte slutpunkten — verifiering och förbättring gör skyddet bestående.”
Risker, leveranskedjan och affärsnytta med efterlevnad
Risker i leveranskedjan måste hanteras proaktivt för att säkra drift och kundförtroende.
Vi knyter tekniska och organisatoriska kontroller till konkreta affärsmål så att åtgärder får mätbar effekt.
Genom krav i avtal och SLA:er får ni bättre kontroll över leverantörer. Det minskar sårbarhet i leveranskedjan och underlättar tredjepartsrevisioner.
Vi minskar sannolikheten för cyberattacker genom förbättrad kontinuitet, snabbare detektion och effektiv respons. Det ger färre avbrott och lägre total riskkostnad för ert företag.
- Vi kopplar riskregister till styrning, budget och roadmap för finansierade åtgärder.
- Vi adresserar sektorer med hög beroendegrad som infrastruktur, kraft och avfallshantering.
- Vi implementerar leverantörsbedömningar och tredjepartsrevisioner på ett effektivt och skalbart sätt.
Resultatet blir en verksamhet där riskhantering är integrerad, mätbar och leder till ökad affärsnytta. Det stärker både drift och kundrelationer.
Branscher och verksamheter där vi skapar effekt
Vi levererar branschspecifika lösningar som minskar risk och underlättar efterlevnad i era kritiska verksamheter.
Hälso-, tillverkning, energi/kraft samt avfall och avloppsvatten
Hälso-sektorn stödjer vi med lösningar som tar hänsyn till MDR och patientdatalagen. Det ger säkrare processer och tydlig dokumentation.
För tillverkning prioriterar vi segmentering, OT-säkerhet och kontinuitet i produktion.
Inom kraft och vatten fokuserar vi på redundans och robust incidentrapportering för avloppsvatten och avfallshantering.
Digital infrastruktur, it-tjänster och offentlig förvaltning
Vi arbetar med digital infrastruktur och it-tjänster, bland annat DNS, datacenter och moln. Kraven vi adresserar handlar om tillgänglighet, loggning och leverantörsstyrning.
Offentlig förvaltning får stöd i styrning, uppföljning och dokumentation som möter tillsynens förväntningar.
- Proportionerliga kontroller: tydliga beroendekartor för samhällsviktiga tjänster.
- Prioritering: vi vägleder er organisation att välja investeringar med högst riskreduktion per krona.
- Leverantörer: stöd vid upphandling och kravställning mot partners i kritiska kedjor.
| Sektor | Primärt fokus | Exempelåtgärd |
|---|---|---|
| Hälso- och sjukvård | Patientdata, MDR | Policy, spårbarhet, incidenthantering |
| Tillverkning | Produktionskontinuitet | OT-segmentering, backup-processer |
| Kraft & vatten | Driftsäkerhet | Redundans, rapporteringsrutiner |
| Digital infrastruktur | Tillgänglighet | Loggning, SLA-krav mot leverantörer |
Varför välja oss för NIS2-rådgivning
Med erfarenhet från flera länder hjälper vi er att skapa en hållbar efterlevnadsmodell. Vi kombinerar juridisk precision med praktiska metoder så att ledningen kan fatta snabba, välgrundade beslut.
Kombination av djup juridisk expertis och praktiska affärsinsikter
Vi kombinerar juridisk expertis om nis2-direktivet med verktyg som fungerar i er vardag. Våra tjänster översätter lagstiftning till kontroller, roller och prioriteringar som ger konkret affärsnytta.
Gränsöverskridande erfarenhet och kontakt med behöriga myndigheter
Vi har erfarenhet av att stödja organisationer i flera jurisdiktioner och arbetar nära nationella tillsynsmyndigheter. Det ger praxisförankrade lösningar för rapportering och uppföljning.
- Vi levererar exekutiva rapporter och presentationer för ledning.
- Vi erbjuder workshop och utbildning för att bygga intern förmåga.
- Vi tar ansvar från analys till implementering och soft audit.
”Vårt mål är att göra efterlevnad mätbar, begriplig och anpassad för ert företag.”
Vill ni veta mer om hur vi arbetar med kravtolkning och implementering, läs mer via vår guide om nis2-direktivet.
Slutsats
Rätt förberedelser omvandlar komplexa krav till konkreta åtgärder. Med oktober 2024 i EU och januari 2025 i Sverige behöver ledningen prioritera snabbt. Det minskar risken för oväntade påföljder och personligt ansvar.
Vi rekommenderar att organisationen startar med vår tvåstegsmodell. Då får ni tydliga förslag, en prioriterad handlingsplan och ett dokumenterat resultat för beslutsfattande.
Direktivet ställer högre krav på styrning och rapportering. nis2-direktivet medför skärpta påföljder som gör att tydlig uppföljning är nödvändig.
Våra tjänster tar er från analys till implementering och verifiering. Kontakta oss för en inledande dialog så skapar vi en skräddarsydd plan för ert företag och tidsätter insatser omgående.
FAQ
Vilka företag och sektorer omfattas av direktivet?
Vi granskar er verksamhet mot kriterier för samhällsviktiga och digitala tjänster. Vanliga sektorer är hälso- och sjukvård, energi/kraft, tillverkning, avfall och avloppsvatten, digital infrastruktur och it-tjänster. Genom en tidig bedömning avgör vi om ni blir skyldiga enligt regelverket och vilka delar av verksamheten som påverkas.
När började kraven gälla i EU och i Sverige?
EU antog regelverket i oktober 2024. I Sverige trädde de nationella bestämmelserna i kraft den 1 januari 2025 som en del av cybersäkerhetslagen. Vi hjälper er att tolka tidslinjen och prioritera åtgärder för att uppfylla löpande tillsynskrav.
Vad ingår i er inledande workshop?
Workshopen kartlägger nuläget, definierar mål och avgränsar omfattningen. Vi samlar ledning och nyckelpersoner för att identifiera kritiska processer, leverantörer och beroenden. Resultatet blir en tydlig bild som styr följande analyssteg.
Hur genomförs granskningen av processer, risker och leverantörer?
Vi gör en hög nivå-analys av styrning, incidenthantering och leverantörskedjans sårbarheter. Metoden kombinerar dokumentgranskning, intervjuer och riskbedömningar för att mäta mognad och exponering mot cyberattacker.
Vad innehåller resultatet från analysen?
Vi levererar en översikt över mognadsnivå, gap mot regelkrav och en prioriterad handlingsplan. Den innehåller konkreta åtgärder, uppskattad tid till genomförande och ansvarsfördelning för att reducera risker och säkerställa regelefterlevnad.
Hur hanterar ni incidentrapportering och ledningskrav?
Vi kartlägger era rutiner för incidenthantering och anpassar processer för att uppfylla rapporteringskrav mot tillsynsmyndigheter. Vi stödjer även ledningsrapportering och utveckling av policyer för ansvar och eskalering.
Påverkar detta även GDPR och andra lagar som DORA eller MDR?
Ja. Vi säkerställer att informationssäkerhet och styrning samspelar med GDPR och relevanta sektorsregler som DORA och MDR. Målet är att skapa harmoniserade rutiner utan konflikt mellan regelverk.
Vilka paket och prisnivåer erbjuder ni?
Vi erbjuder ett stegvis upplägg: en första fast prisnivå för påverkan och omfattning, följt av ett fördjupat paket med detaljerad analys och exekutiv handlingsplan. Paketens innehåll anpassas efter organisationens storlek och komplexitet.
Vad ingår i implementeringsfasen och en “soft audit”?
Implementeringen omfattar operativ färdplan, samordning med partners och uppföljande granskning. En “soft audit” simulerar extern revision för att verifiera att åtgärder fungerar innan formell tillsyn.
Hur arbetar ni med leverantörs- och kedjerisker?
Vi identifierar kritiska leverantörer, bedömer beroenden och rekommenderar krav på informationssäkerhet i avtal. Detta inkluderar leveranskedjeinspektioner och åtgärder för att minska tredje partsrisker.
Vilka påföljder riskerar organisationer vid bristande efterlevnad?
Regelverket innebär höga påföljder och tydligt ledningsansvar. Tillsyn kan leda till sanktioner, krav på åtgärder och i vissa fall ekonomiska straff. Vi hjälper er minimera risken genom prioriterade åtgärder och dokumentation.
Hur anpassar ni rekommendationerna till vår bransch?
Våra rekommendationer tar hänsyn till sektorsspecifika risker och regler. För hälsosektorn, energi, tillverkning eller offentlig förvaltning utformar vi åtgärder som både skyddar drift och uppfyller branschlagstiftning.
Hur stöder ni utbildning och ledningspresentationer?
Vi levererar anpassade workshops, utbildningsmaterial och presentationer för ledningen som förklarar risker, krav och prioriterade investeringar. Syftet är att säkra styrning och beslutsunderlag för åtgärder.
Hur snabbt kan vi få en första översikt och handlingsplan?
Efter inledande workshop kan vi leverera en hög nivå-översikt inom några veckor. En fördjupad analys och exekutiv handlingsplan brukar ta längre tid beroende på verksamhetens omfattning.
Vilken erfarenhet har ni av gränsöverskridande rådgivning och myndighetskontakt?
Vi kombinerar juridisk expertis med praktisk affärserfarenhet och har erfarenhet av att rådgöra organisationer inför tillsyn samt kommunicera med behöriga myndigheter för att säkerställa korrekt efterlevnad.