Tillsyn, förelägganden och samverkan med tillsynsmyndigheterna
Tillsynsprocessen ställer krav på tydlighet, dokumentation och snabbt samarbete mellan myndighet och verksamhet.
Sektorsvisa tillsynsmyndigheter och mandat
Vi listar vilka myndigheter som ansvarar per sektor och vilken befogenhet de har. Exempel är Energimyndigheten, Transportstyrelsen, Finansinspektionen, IVO, Läkemedelsverket, Livsmedelsverket och PTS.
Dessa tillsynsmyndigheterna kan granska, förelägga åtgärder och i vissa fall besluta om påföljder.
Tillsyn i praktiken: tillträde, information och kravuppföljning
Vid inspektion måste verksamhetsutövaren ge tillträde till lokaler och lämna begärd information och underlag.
Tillsynsmyndigheten kan utfärda förelägganden vid brister. För viktiga verksamhetsutövare krävs befogad anledning innan särskilda ingripanden blir aktuella.
| Aspekt | Vad myndigheten gör | Vad vi bör göra |
|---|---|---|
| Platsinspektion | Begär tillträde och observationer | Ha ansvarig kontakt, ID och tillträdesrutiner |
| Begäran om information | Granskar register, loggar och rapporter | Säkerställ spårbarhet och färdiga utdrag |
| Föreläggande | Ställer krav på åtgärder och tidsram | Dokumentera åtgärder och rapportera tillbaka |
| Löpande vs händelsedriven | Regelbunden uppföljning eller incidentutlöst granskning | Förbered både rutiner och snabb incidenthantering |
Vi betonar att samarbete minskar risken för längre åtgärder. Anpassning till lag och föreskrifter är avgörande när detaljkrav uppdateras.
Incidentrapportering som påverkar sanktionsrisk
Tidsfrister och kvalitet i anmälan styr hur tillsynsmyndigheten bedömer ert fall. Vi beskriver vad verksamheten måste lämna och när, så att ni kan undvika onödiga följder.
Tidslinje för rapportering
Verksamhetsutövare ska skicka en varning inom 24 timmar efter upptäckt. En fullständig incidentanmälan ska lämnas inom 72 timmar.
Slutrapport krävs inom en månad. Om incidenten pågår lämnas en lägesrapport inom en månad och en slutrapport en månad efter avslut.
CERT‑SE och rapportflödet
MSB tar emot rapporter och vidarebefordrar till tillsynsmyndighet. Kriterier för betydande incidenter och rapporteringssätt klargörs i kommande föreskrifter under cybersäkerhetslagen.
”Snabbt agerande och korrekt information minskar risken för förvärrade konsekvenser.”
- Vilket underlag behövs: omfattning, påverkan på tjänster, åtgärder och verifierad information.
- CERT‑SE kan ge tekniskt stöd för att begränsa störningar och återställa funktion.
- Dokumentera lärdomar efter varje fall och uppdatera rutiner.
- Ha en checklista för roller, beslutspunkter och kommunikation för snabba svar på frågor.
Systematiskt arbete med informationssäkerhet och tydligare krav
Vi ser hur strukturerat säkerhetsarbete ger både efterlevnad och ökad motståndskraft i verksamheten.
Riskanalyser, säkerhetsåtgärder och ledningens ansvar
Riskanalyser ska vara återkommande och kopplas till konkreta åtgärder. Vi rekommenderar att ni använder både kvantitativa och kvalitativa metoder.
Resultaten prioriteras efter påverkan på kritiska tjänster och budgeteras tydligt.
Ledningen måste sätta mål, avsätta resurser och följa upp resultat i styrgrupp eller styrelse.
Föreskrifter på väg: hur vi förbereder verksamheten redan nu
Föreskrifterna kommer att ge tydligare krav, men ni kan redan nu börja med gapanalyser och programplaner.
Vi föreslår att ni mappar befintliga kontrollramverk mot de kommande kraven och dokumenterar uppföljning.
| Område | Handlingsförslag | Effekt |
|---|---|---|
| Styrning | Policy, roller, ansvar | Tydligt ledningsansvar och snabb beslutsväg |
| Riskanalys | Årlig analys + incidentdriven rev | Prioriterade åtgärder och bättre riskbild |
| Kontroller | Tekniska och organisatoriska åtgärder | Minskad sårbarhet och spårbarhet |
| Leverantörskedja | Leverantörsbedömningar och krav | Säkrare beroenden och kontinuitet |
Väsentliga kontra viktiga verksamhetsutövare
Vi skiljer här praktiskt mellan de två kategorierna och vad det innebär för er tillsynsinsats.
Skillnader i tillsyn och sanktionsregler enligt direktivet
Kraven i lag är i grunden lika för båda grupperna, men tillsynen skiljer sig i metod och intensitet.
Väsentliga verksamhetsutövare möter ofta mer proaktiv tillsyn. Myndigheterna kan granska löpande och kräva snabba åtgärder.
Viktiga verksamhetsutövare får oftast ingripanden först när det finns befogad anledning att anta brister.
- Sektor och tjänsters kritikalitet avgör vilken kategori ni hamnar i.
- Föreskrifter kommer att precisera skillnader i uppföljning och rapportering.
- Vid tillsyn efterfrågas vanligtvis dokumentation av riskbedömningar, loggar och åtgärdsplaner.
- Vi rekommenderar att resurser prioriteras efter risk för att uppnå likvärdig mognad i båda kategorierna.
”Tydlig dokumentation och proportionerliga åtgärder minskar sanktionsrisken.”
Samverkan mellan lag, tillsyn och interna processer avgör hur efterlevnad bedöms. Visa spårbarhet för att underlätta bedömningen.
Vårt stöd: minska sanktionsrisk genom efterlevnad och smarta åtgärder
Vi hjälper er att skapa en praktisk handlingsplan för att minimera risker kopplade till efterlevnad och tillsyn.
Identifiera om ni omfattas, anmälan och arbete med informationssäkerhet
Vi hjälper er att avgöra om ni omfattas nis2 och att förbereda en korrekt anmälan.
Det inkluderar insamling av underlag, dokumentation av kritiska tjänster och kontakt med tillsynsmyndigheterna.
Processer för att rapportera incidenter och samarbete med tillsynsmyndigheten
Vi designar processer för att snabbt rapportera incidenter och säkerställa samarbete med MSB och tillsynsmyndigheten.
Snabbt, korrekt och spårbart agerande minskar risken för fördjupad granskning.
Helhetsperspektiv: kopplingen till CER, sektorerna och informationssystem
Vi kopplar regelverket till CER och hanterar beroenden i era informationssystem.
Det ger ett helhetsperspektiv på sektorerna, tjänster och leverantörskedjor som påverkar verksamheten.
”Vi driver arbetet från nuläge till efterlevnad genom prioriterade initiativ och mätbar effekt.”
- Praktisk hjälp med anmälan och dialog med tillsynsmyndigheterna.
- Stöd i arbete med informationssäkerhet, policy, risk och kontroller.
- Design av åtgärder för att rapportera incidenter och öva tillsynsberedskap i lokaler.
Slutsats
Vi rekommenderar att ni agerar nu — nis2-direktivet ska införlivas genom cybersäkerhetslagen och lagrådsremissen från juni 2025 följs av en proposition i höst.
Lagstiftningen för sektorerna kommer också att ge föreskrifter som preciserar krav på tjänster och processer. Sanktionstaken ligger på bland annat 10 000 000 euro/2 % och 7 000 000 euro/1,4 %, samt nivåer i kronor för offentlig verksamhet.
Vi föreslår en gapanalys, en handlingsplan och tydliga mätetal. Prioritera kritiska tjänster, dokumentera åtgärder och säkerställ kontinuitet i leverantörskedjan.
Sammanfattningsvis: agera proaktivt, validera ofta och samordna med tillsyn och andra nyckelaktörer så får ni svar och beredskap när detaljerna faller på plats.
FAQ
Vad innebär de nya reglerna och vem omfattas i Sverige?
De nya bestämmelserna innebär att verksamheter inom 18 sektorer får tydligare krav på informationssäkerhet och rapportering. Vi omfattar både privata och offentliga verksamhetsutövare som bedriver samhällsviktiga tjänster, till exempel energi, transport och hälsa. Myndigheter och företag måste göra riskanalyser, införa tekniska och organisatoriska åtgärder samt rapportera incidenter till tillsynsmyndigheten och i vissa fall till CERT‑SE.
Vilka typer av sanktioner kan ett företag möta vid bristande efterlevnad?
Sanktionerna brukar bestå av förelägganden, åtgärdskrav och i vissa fall administrativa avgifter. För allvarliga eller upprepade brister kan tillsynsmyndigheten besluta om högre avgifter eller andra rättsliga påföljder. Vi rekommenderar att verksamheter arbetar proaktivt med säkerhet för att minimera sådana risker.
Hur skiljer sig reglerna för väsentliga och viktiga verksamhetsutövare?
Väsentliga verksamhetsutövare omfattas av hårdare krav och striktare tillsyn än viktiga aktörer. Det gäller både omfattningen av åtgärder, rapporteringskrav och möjlig nivå på avgifter. Skillnaderna påverkar även vilka föreskrifter som tillämpas och hur ofta tillsyn sker.
Vilka beloppsnivåer kan gälla vid allvarliga överträdelser?
För väsentliga verksamheter kan avgifter bli mycket höga, medan viktiga verksamheter får något lägre nivåer. Offentliga verksamhetsutövare kan också få särskilda nivåer uttryckta i kronor. Vi följer utvecklingen i lagstiftningen och föreskrifterna för att ge konkreta siffror när de fastställs.
Hur fungerar tillsynen och vilka befogenheter har tillsynsmyndigheterna?
Tillsynsmyndigheterna har mandat att granska efterlevnad, kräva information, begära tillträde till lokaler och förelägga åtgärder. De samarbetar sektorsvis och kan ge stöd eller besluta om sanktioner. Vi rekommenderar nära samarbete med ansvarig myndighet för att hantera frågor om tillstånd och uppföljning.
Vilka rutiner gäller för incidentrapportering och tidsfrister?
Vid en betydande incident ska vi först utföra en intern varning och, där det krävs, meddela tillsynsmyndigheten inom 24 timmar; en formell anmälan görs vanligen inom 72 timmar och en slutrapport kan krävas inom en månad. Dessa tidslinjer är avgörande för att minska sanktionsrisk och visa efterlevnad.
Hur kan CERT‑SE hjälpa vid betydande incidenter?
CERT‑SE erbjuder tekniskt stöd, analys och samordning vid större cybersäkerhetsincidenter. Vi kan använda deras rådgivning för snabb bedömning, begränsning av skador och för att stärka incidentrapporteringen gentemot tillsynsmyndigheten.
Vilka konkreta åtgärder bör vi genomföra för att uppfylla kraven?
Vi bör genomföra regelbundna riskanalyser, dokumentera säkerhetspolicyer, införa tekniska skydd och utbilda personal. Ledningen måste säkerställa resurser och ansvar. Föreskrifter ställer krav på kontinuerligt arbete med informationssäkerhet och vi bör ha klara processer för incidenthantering och anmälan.
Hur förbereder vi verksamheten inför kommande föreskrifter och den nya lagen?
Vi kartlägger vilka informationssystem och tjänster som är kritiska, uppdaterar policys och incidentplaner, samt genomför tester och övningar. Det är viktigt att dokumentera åtgärder och samverka med branschens tillsynsmyndigheter för att ligga steget före när föreskrifterna träder i kraft.
Hur vet vi om vår verksamhet räknas som väsentlig eller viktig?
Klassificeringen beror på verksamhetens samhällsviktighet, påverkan vid störning och vilken sektor vi tillhör. Vi kan göra en kartläggning mot sektorslistan och rådfråga ansvarig tillsynsmyndighet för en bedömning.
Vilken roll spelar riskanalyser i att minska sanktionsrisken?
Riskanalyser identifierar hot, sårbarheter och konsekvenser, vilket gör att vi kan prioritera åtgärder och visa proaktivt arbete inför tillsynsmyndigheten. God dokumentation av analyser och åtgärder är ofta avgörande vid en tillsynsbedömning.
Hur hanterar vi tillsynsmyndighetens begäran om information eller tillträde?
Vi svarar snabbt, lämnar efterfrågad information och ger tillträde enligt lagens ramar. Transparens och samarbete minskar risken för hårdare åtgärder. Vi bör också ha tydliga interna rutiner för hantering av sådana förfrågningar.
Hur kopplas era åtgärder till sektorerna och verksamhetens informationssystem?
Våra åtgärder utgår från verksamhetens specifika sektorskrav och den tekniska miljön. Vi ser över informationssystemens skydd, redundans och återhämtningsplaner samt säkerställer kopplingar till kritiska tjänster och leverantörer.
Vilket stöd erbjuder ni för att minska risken för avgifter och förelägganden?
Vi erbjuder stöd i att identifiera om ni omfattas, upprätta anmälningar, bygga processer för informationssäkerhet, genomföra riskanalyser och träna incidenthantering. Målet är att förbättra efterlevnad och därigenom minimera sanktionsrisk.