Vi hjälper er att koppla affärsmål, regelverk och operativ resiliens när krav på leveranskedjan blir hårdare. Som verksamhetsutövare behöver vi en tydlig process för urval, upphandling och uppföljning av externa tjänster.
nis2-direktivet skärper kraven på säkerhet i leveranskedjan och kräver att vi bedömer leverantörers sårbarheter, resiliens och utvecklingspraxis. I Sverige implementeras detta via cybersäkerhetslagen, där MSB och PTS har viktiga roller.
Vi prioriterar mätbara kriterier som kan kopplas till affärsnytta och riskaptit. Genom standardiserade kontroller och avtal säkerställer vi spårbarhet mellan lagstiftningen och våra utvärderingspunkter.
Nyckelpunkter
- Vi strukturerar urvalet så att krav och affärsmål hänger ihop.
- Verksamhetsutövare måste bedöma leverantörers säkerhet och resiliens.
- Cybersäkerhetslagen inför praktiska följder för upphandlingar i Sverige.
- Tydliga krav i avtal minskar leverantörsrelaterade risker.
- Löpande due diligence och mätetal ger bättre styrning och transparens.
Varför NIS2 leverantörer är affärskritiska för svensk verksamhet
När aktörer omfattas av nya regler måste vi ompröva hur vi köper och följer upp tjänster. För många verksamheter handlar det inte längre bara om teknik. Val av externa parter påverkar affärskontinuitet, regelefterlevnad och förtroende hos kunder och myndigheter.
Som verksamhetsutövare behöver vi tydliga krav för att säkerställa säkerhet i hela leveranskedjan. Det kräver att vi ställer krav, verifierar praxis och löpande följer upp förmågan att hantera risker.
Vi ser affärsnyttan i att prioritera tjänster efter kritikalitet. Externa brister kan ge större kostnader än licenser och drift. Förebyggande kontroller och snabb incidentrespons stärker både drift och förtroende.
”Rätt kravställning och kontinuerlig verifiering minskar både sannolikheten för avbrott och de ekonomiska konsekvenserna.”
- Prioritera kritiska tjänster utifrån målbild och störningsscenarier.
- Koppla avtal och revision till mätbara säkerhetskrav.
- Se leverantörer som en del av ert eget säkerhetssystem.
Översikt: vad gäller nu i Sverige
Vi ser att regelverket förändras snabbt och att flera av våra informationssystem behöver uppdaterad styrning. Den uppdaterade ramen gör att fler aktörer måste tydligt beskriva hur de hanterar risk i sina digitala tjänster.
Vad ersätter tidigare regler?
Det tidigare nis-direktivet ersätts av ett skarpare ramverk som lägger större vikt vid leveranskedjan och riskhantering. Direktivet kräver nu mer dokumentation kring hur nätverks- och informationssystem skyddas.
Vad betyder lagen som föreslås träder kraft 2025?
När lagen träder kraft måste vi registrera oss, uppdatera incidentrutiner och göra regelbundna riskbedömningar. Det påverkar planering, budget och förvaltning av IT-tjänster.
Rollfördelning och tillsyn
MSB föreslås bli övergripande tillsynsmyndighet medan PTS får sektoransvar för digital infrastruktur, post och rymd. Detta förändrar rapporteringsvägar och dialogen med myndigheter.
- Vi måste avgöra om hela koncernen ska omfattas eller bara en del.
- Reglerna innehåller möjlig sanktionsavgift vid bristande efterlevnad.
- Dokumentation av processer underlättar dialog med tillsynsmyndighet.
NIS2 leverantörer
Vi måste nu kartlägga vilka delar av vår verksamhet och externa tjänster som faller under lagens räckvidd.
Vilka aktörer och tjänster omfattas enligt direktivet och CSL
Aktörer inom digital infrastruktur, IKT‑förvaltning, rymd, post- och budtjänster samt digitala leverantörer är typiskt berörda.
Hela verksamhetsutövaren omfattas om den tillhandahåller tjänster som listas i bilagorna, oavsett hur liten en viss verksamhetsdel är.
Betydelsen av storleken på verksamhetsutövaren vs. verksamhetsdelen
Storlek bedöms enligt EU:s SME‑definition och inkluderar anknutna och partnerföretag.
Det är helheten av verksamhet som prövas, inte bara en enskild produktlinje. Detta påverkar hur vi prioriterar kontroller och avtal.
- Vi kartlägger vilka aktörer och tjänster som typiskt omfattas och hur detta påverkar urval.
- Vi visar hur verksamhetsutövare klassificeras och hur gränsfall dokumenteras.
- Vi pekar ut särskilda fall, exempelvis operatörer enligt LEK, där lagen gäller oavsett storlek.
Krav på säkerhet i leveranskedjan enligt NIS2 artikel 21
Artikel 21 anger minimikraven för vilka riskhanteringsåtgärder vi bör införa för att skydda leveranskedjan och våra kritiska tjänster. Vi behöver en tydlig koppling mellan interna kontroller och externa avtal för att säkerställa spårbarhet och ansvar.
Riskhantering i nätverks- och informationssystem
Vi kartlägger hur hot påverkar våra nätverks- informationssystem och prioriterar åtgärder efter kritikalitet. Detta inkluderar kontinuerliga tester, patch-hantering och incidentberedskap för att minska driftstörningar.
Bedömning av leverantörers kvalitet, resiliens och cybersäkerhetspraxis
Vi ställer krav på att leverantörer visar processer för säker programvaruutveckling och bevis på teknisk kvalitet. Bedömningarna väger sårbarheter, produktresiliens och leverantörens operativa praxis.
Inbyggda riskhanteringsåtgärder i produkter och tjänster
Åtgärder ska vara designade inifrån produkten och tjänsten, inte lagda på i efterhand. Vi verifierar detta genom tekniska bevis och tredjepartsintyg.
Avtalskrav: införliva cybersäkerhetsåtgärder med direkta leverantörer
Vi föreslår avtalsklausuler som anger revisionsrätt, sårbarhetsrapportering och tidsfrister. På så vis säkerställer verksamhetsutövare att direktivet följs och att ansvar finns vid brister.
Managed Security Service Providers (MSSP): hög nytta, hög risk
Hanterade säkerhetstjänster sitter ofta nära vår operationsyta och kan både stärka och försvaga vår försvarsförmåga.
MSSP spelar en kritisk roll i upptäckt, förhindrande och respons vid incidenter. De levererar penetrationstester, forensiska insatser, kontinuerlig övervakning och revisioner som vi ofta saknar internt.
Samtidigt ökar risken. Djup integration innebär höga åtkomsträttigheter och möjlig lateral rörelse om leverantören blir komprometterad.
Varför dessa leverantörer utgör särskild risk
Vi ser att externa operatörer själva varit mål för attacker. Det innebär att en kompromiss kan slå direkt mot vår verksamhet.
Due diligence: vad vi kräver
Vi ställer skarpa krav på incidenthantering, detektion, forensik och pentestkapacitet. Vi kräver också oberoende revision, relevanta certifieringar och bevis på kontinuerlig förbättring.
- Granska åtkomstnivåer och principen om minst privilegium.
- Verifiera separat miljöhantering och dataskydd mellan kunder.
- Pröva uppdateringsrutiner, zero‑day‑beredskap och kommunikationsplaner.
- Säkerställ exit‑ och kontinuitetsplaner samt lärdomar från egna attacker.
Vi utvärderar tjänster utifrån hotbild och vår riskprofil. Endast då kan vi få både den operativa nyttan och den nödvändiga säkerheten i vår cyberryt.
Genomförandeförordningen som trädde i kraft 7 november 2024
Genomförandeförordningen trädde kraft den 7 november 2024 och ställer tydliga krav på flera digitala tjänster. Den preciserar vilka riskhanteringsåtgärder som krävs och vilka incidenter som är rapporteringspliktiga.
Specifika verksamhetsutövare med definierade åtgärder
Förordningen pekar ut ett antal aktörer. Bland dem finns DNS‑tjänster, TLD‑registries, molnleverantörer, datacenter, CDN, online‑marknadsplatser, sökmotorer, sociala nätverk och betrodda tjänster.
Dessa sektorer omfattas av detaljerade regler som visar vilka tekniska och organisatoriska riskhanteringsåtgärder som krävs.
Vad gäller fram till dess att CSL träder i kraft i Sverige
Fram tills CSL blir nationell lag styrs dessa aktörer av EU‑förordningen. Vi rapporterar incidenter enligt förordningens tidsramar och nationell ordning till MSB som tillsynsmyndighet.
| Aktörer omfattas | Huvudsakliga krav | Rapportering |
|---|---|---|
| Moln, datacenter, CDN | Incidentrapportering; kontinuerlig övervakning | MSB enligt förordning |
| Hanterade tjänster, hanterade säkerhetstjänster | Åtkomstkontroll; separata miljöer; revisionsspår | Rapportera incidenter snabbt |
| Online‑marknadsplatser, sociala nätverk | Sårbarhetshantering; transparenskrav | EU‑tidtabeller för incidenter |
- Uppdatera kontrollbiblioteket mot förordningens krav.
- Kontraktsfäst leverantörer hanterade och hanterade säkerhetstjänster med exit‑ och revisionsklausuler.
- Påbörja gap‑analys och justera SLA, mätetal och rutiner i er verksamhet.
”Att harmonisera numinska dubbelarbete när nationell lag träder i kraft.”
Riskhanteringsåtgärder i praktiken: så bygger vi ett systematiskt arbetssätt
Vi bygger ett praktiskt ramverk för riskhantering som kopplar ansvar, processer och teknik. Målet är att informationssäkerhet blir en del av vår dagliga förvaltning och stödjer verksamhetens mål.
Organisatoriska åtgärder och tydlig rollfördelning
Vi etablerar organisatoriska åtgärder som definierar roller för riskägare, tjänsteägare, CISO, inköp och juridik. Varje roll har klara ansvar för att följa upp avtal och drift.
Genom återkommande riskmöten och rapporter säkerställer vi att förvaltning får input till budget och prioritering.
Allriskperspektiv och proportionerliga åtgärder
Vi arbetar med ett allriskperspektiv där åtgärder skalas efter exponeringsnivå och datakänslighet. Tröskelvärden och kontrollmål styr när vi testar och stärker försvar.
- Integrera kritiska tjänster i BCM/DR med RTO/RPO.
- Koppla kontrollstyrka till mätetal och förbättringscykler.
- Inför en återkommande riskcykel för identifiering, behandling och testning.
Incidentrapportering: betydande incidenter och rapporteringsflöden
Snabb och korrekt incidentrapportering skyddar både drift och förtroende vid allvarliga händelser.
Endast händelser som utgör betydande påverkan ska rapporteras. Det innebär skada eller risk för allvarlig driftsstörning för tjänsten, ekonomisk förlust eller materiell/immateriell skada för tredje part.
Definition och egen bedömning
Vi avgör snabbt om en händelse når tröskeln för betydande genom en enkel checklista. Fokus ligger på påverkan på kunder, ekonomi och sekundära effekter mot nätverks- informationssystem.
Tidslinjer och rapporteringskanal
Klockan börjar ticka när verksamhetsutövaren får kännedom. Vi organiserar snabb kvalificering, eskalering och därefter rapportera incidenter till MSB enligt gällande tidsramar.
Gränsöverskridande incidenter
Vid internationell påverkan rapporterar vi i medlemslandet för huvudsakligt etableringsställe och bedömer om ytterligare rapportering krävs i andra länder. Vi dokumenterar beslut för att minska risken för dubbelbestraffning och potentiell sanktionsavgift.
- Roller och mallar: tydliga ansvar och evidenskrav.
- Avtal: SLA för initialrapport, uppföljning och slutrapport.
- Övning: tabletop för att träna bedömning och rapportering.
Bransch- och sektorsperspektiv: vem omfattas och hur
I praktiken träffar regelverket olika sektorer på olika sätt, och tolkningen påverkas av tjänstens tekniska beroenden.
Vi beskriver här vilka aktörer och tjänster som typiskt omfattas och hur förvaltning bör agera för att uppfylla lagstiftningen.
Digital infrastruktur, IKT-tjänster och digitala leverantörer
PTS föreslås ansvara för sektorerna kring digital infrastruktur och förvaltning av IKT‑tjänster samt digitala leverantörer.
Vi rekommenderar att verksamhetsutövare mappar tjänesten, tillgångar och beroenden för att dimensionera kontroller.
Post- och budtjänster och beroendet av informationssystem
Post‑ och budtjänster omfattar minst ett led i postkedjan: insamling, sortering, transport eller distribution.
Om tjänsten är beroende av nätverks- och informationssystem påverkar det om ni omfattas. Vi bedömer beroenden tidigt.
Operatörer enligt LEK och överlapp med CSL
Operatörer enligt LEK omfattas av CSL oavsett storlek och måste göra separat anmälan under CSL.
Det innebär dubbel rapportering, särskild tillsyn och krav på tydlig registrering.
| Sektor | Ansvarig myndighet | Typiska krav |
|---|---|---|
| Digital infrastruktur | PTS | Kontinuitet, åtkomstkontroll, incidentrapportering |
| IKT‑tjänster | PTS | Förvaltning, dokumenterad styrning, revisionsbevis |
| Post & bud | PTS / nationell tillsyn | Beroendeavstämning, spårbarhet i postkedjan |
| Operatörer enligt LEK | CSL tillsyn | Separat anmälan, särskild tillsyn oavsett storlek |
- Vi ger exempel på hur förvaltning dokumenterar styrning och evidens.
- Vi visar hur sektorer med olika mognad kan använda proportionella kontroller.
Avtal och upphandling: kravställning på NIS2-relaterade tjänster
Vi behöver skriva avtal som binder in riskhanteringsåtgärder och gör säkerhet till ett mätbart åtagande. Kontrakten ska tydligt ange vilka tekniska och organisatoriska krav som gäller för tjänster och leverans.
Leverantörers säker utveckling och livscykelkrav
Avtalet ska innehålla krav på säker programvaruutveckling, SBOM och patch‑SLA. Vi kräver bevis på testprocesser, kodgranskning och hantering av sårbarheter.
SLA för incidenthantering, loggning, rapportering och bevisföring
Vi definierar svarstider för detektion och incidenthantering samt loggretention och forensik. Avtalet ska ange när och hur parterna ska rapportera händelser och leverera revisionsbevis.
Tredjepartsberoenden, underleverantörer och kedjeansvar
Kontrakten reglerar kedjeansvar, revisionsrätt och skyldighet att godkänna underleverantörer. Vi ställer särskilda krav för leverantörer hanterade säkerhetstjänster, inklusive miljöisolering och oberoende revisioner.
- Bindande mätetal: tydliga KPI:er och påföljder vid avvikelser.
- Kontrollrätt: rätt att genomföra revisioner och penetrationstester.
- Exit‑plan: överlämning av data och bevis vid avslut.
Vi säkerställer att leverantörer hanterade och andra parter visar robust cybersäkerhet kopplat till affärskritiska flöden.
Utvärderingskriterier för NIS2-leverantörer: vår checklista
Vi använder en poängbaserad metod för att bedöma leverantörers motståndskraft och operativa mognad. Metoden hjälper oss att jämföra kandidater objektivt och koppla bedömningen till affärsnytta.
Bedömningspunkter: resiliens, mognad, certifieringar och praxis
Vi värderar teknisk resiliens, utvecklingspraxis och dokumenterad mognad. Poängsättningen inkluderar certifieringar som ISO/IEC 27001 och SOC 2 samt bevis på efterlevnad.
Viktiga områden är inbyggda säkerhetsåtgärder i arkitektur, snabba patch‑rutiner och separata driftsmiljöer. Vi säkerställer att verksamhetsutövaren kan visa kontinuitet och återställningsförmåga vid större störningar.
Praktiska prov: tabletop-övningar, penetrationsprov och revision
Vi testar tjänsten genom tabletop-övningar, etiska penetrationsprov och oberoende revisioner med krav på åtgärdsplaner. Testresultat väger tungt i slutbedömningen.
| Kriterium | Mätvärde | Acceptnivå |
|---|---|---|
| Resiliens & DR | RTO/RPO, återställningstester | < 4 timmar RTO, dokumenterade tester |
| Mognad & process | SDLC, SBOM, patch‑SLA | Regelbunden kodgranskning, 30‑dagars patch |
| Certifieringar | ISO/IEC 27001, SOC 2 | Minst en relevant certifikat |
| Revision & test | Pentest, oberoende revision | Åtgärdsplan inom 30 dagar |
Sammanfattning: Vi väger informationssäkerhet, dataskydd och affärskritikalitet mot hotbilden. Resultatet ger verksamhetsutövaren ett klart beslutsunderlag vid val av partner.
Ekosystem och data: akademi, forskningsinstitut och dataanalystjänster
Samarbeten med universitet och forskningsinstitut kräver tydliga gränsdragningar för att skydda känsliga data och immateriella tillgångar.
Vi analyserar risker i sådana samarbeten och identifierar hur vi kan hantera risker för läckage av företagshemligheter. Det innebär krav på åtkomstkontroll, dataklassning och rollbaserad behörighet.
För dataanalystjänster ställer vi krav på dataetik, tydliga datadelningsavtal och säker hantering av rådata. Avtal och MoU ska innehålla evidenskrav för processer och spårbarhet.
- Tekniska kontroller: datalokalisering, kryptering i vila och transit, samt loggning.
- Avtal: sekretess, IP-skydd och revisionsrätt i samarbets‑MoU.
- Processer: due diligence, kontinuerlig övervakning och incidentrutiner.
Vi kopplar informationssäkerhet samhällsviktiga till forskningssamarbeten genom mätbara krav. Som verksamhetsutövare säkerställer vi att tredje parter uppfyller både tekniska och juridiska villkor.
Relationen mellan NIS2 och CER-direktivet: dubbla krav för kritiska verksamheter
Flera sektorer står nu inför överlappande regelkrav som kräver gemensam styrning och tydliga roller. Direktivet och CER kompletterar varandra genom att skydda tjänster som är centrala för samhällsfunktioner.
Identifiering av kritiska verksamhetsutövare och tillsyn
Vi kartlägger vilka aktörer som ska omfattas utifrån kriterier som samhällsviktig tjänst och kritisk infrastruktur enligt lagen. Kommuner och regioner kan bli identifierade som kritiska beroende på tjänsternas funktion.
En klar rollfördelning mot en ansvarig tillsynsmyndighet är nödvändig för att undvika dubbelrapportering och för att samordna granskningar.
Riskbedömning, åtgärder, bakgrundskontroller och incidentrapportering
Vi kräver systematiska riskbedömningar som inkluderar tekniska och organisatoriska åtgärder samt bakgrundskontroller för känsliga roller. Dessa åtgärder kopplas till befattningsanalyser och säkerhetsprövning.
Vid incidenter som utgör betydande påverkan beskriver vi när och hur vi ska rapportera incidenter i samklang med etablerade rapportflöden. Snabbhet och tydliga rutiner minskar skadeverkningar.
Sanktionsavgifter och samordning med lagen om cybersäkerhet
Syftet med sanktionsavgift är att skapa incitament för regelefterlevnad. Vi ser att nivåerna kan bli jämförbara med dem som följer av lagen om cybersäkerhet.
Praktiskt bör vi bygga en implementeringsmodell som undviker dubbelarbete, harmoniserar bevisning och visar hur överträdelser hanteras mellan regelverken.
| Område | Praktisk åtgärd | Ansvar |
|---|---|---|
| Identifiering | Kartlägg tjänster, dokumentera kritikalitet | Verksamhetsägare + tillsynsmyndighet |
| Risk & bakgrund | Riskbedömning, befattningsanalys, bakgrundskontroller | Säkerhetsteam |
| Incidenthantering | Definiera tröskelvärden, rapportera incidenter snabbt | Drift & CIRT |
| Efterlevnad | Samordnade revisioner, dokumenterad spårbarhet | Compliance |
Sammanfattning: Vi prioriterar samordnad styrning mellan regelverken, tydlig tillsyn och en robust modell för att hantera sanktionsavgift och granskning. Det ger verksamhetsutövare bättre förutsättningar att visa efterlevnad.
Plan för införande: från nulägesanalys till löpande tillsyn och efterlevnad
För att gå från krav till verklig styrning behöver vi en tydlig plan. Vi kopplar kartläggning, tekniska tester och förvaltning till en roadmap. På så vis blir ansvar och budget konkreta.
Kartläggning av leveranskedja och prioritering av risker
Vi börjar med en nulägesanalys som visar vilken roll varje tjänst och underleverantör spelar för vår drift.
Utifrån gap‑analysen prioriterar vi risker och skapar en handlingsplan per leverantör och tjänst.
- Stegvis: nulägesanalys → gap → prioritering → handlingsplan.
- Ägarskap: verksamhetsutövaren ansvarar för kontroller och mätetal.
- Dokument: registrera krav i policyer, standarder och avtal.
Implementering, test, uppföljning och förbättringscykler
Implementeringen omfattar tekniska tester, tabletop‑övningar och leverantörsrevisioner.
Vi etablerar en förbättringscykel där vi regelbundet mäter och justerar åtgärder.
- Definiera testplaner och pentestfrekvens.
- Inför onboarding, exit‑rutiner och kontinuitetsplaner för kritisk verksamhet.
- Säkerställ att verksamhetsutövaren ska vidta riskhanteringsåtgärder och samt rapportera incidenter enligt krav från myndighet.
Roadmap och styrning: budget, riskacceptans och en ägarlista gör efterlevnaden mätbar.
Genom att operationalisera lagstiftningen i rutiner säkerställer vi informationssäkerhet i hela verksamhetens livscykel.
Slutsats
Avslutningsvis visar lagstiftningen att vi måste förankra ansvar, avtal och praktiska kontroller för våra tjänster.
nis2-direktivet höjer ribban jämfört med tidigare nis-direktivet, bland annat för avtal, due diligence och kontinuerlig uppföljning.
Vi rekommenderar att verksamhetsutövare tidigt anpassar styrning och processer inför att CSL träder kraft. Det minskar risken för sanktionsavgift och driftstörningar.
Vid incidenter bör vi samt rapportera och dela lärdomar för att stärka resiliensen i hela ekosystemet. Nästa steg är att besluta ansvar, säkra finansiering och sluta avtal enligt lagen i dialog med tillsynsmyndighet.
FAQ
Vad menar vi med ”Hitta rätt NIS2 leverantörer för din organisation”?
Vi avser processen att identifiera, värdera och välja externa tjänsteleverantörer som kan stödja vår verksamhet samtidigt som de uppfyller nya säkerhetskrav. Det innefattar kartläggning av leveranskedjan, kravställning i avtal och kontroller av leverantörers incidenthantering och tekniska skyddsåtgärder.
Varför är dessa leverantörer affärskritiska för svensk verksamhet?
De tjänster som levereras påverkar tillgänglighet, sekretess och integritet i våra informationssystem. Avbrott eller säkerhetsbrister hos en extern aktör kan snabbt få konsekvenser för våra kärnprocesser, efterlevnad mot regler och vårt anseende.
Vad ersätter den nya lagen det tidigare NIS-direktivet?
Den nya europeiska ram som införts skärper kraven och utvidgar tillämpningsområdet jämfört med det tidigare direktivet. Detta innebär fler kategorier av tjänster och skärpta skyldigheter för riskhantering, leverantörskontroll och incidentrapportering.
CSL föreslås träda i kraft 2025 — vad betyder det för oss?
När lagen börjar gälla måste vi ha implementerat strukturer för riskhantering, incidentrapportering och tillsynsberedskap. Vi behöver uppdatera avtal, genomföra leverantörsbedömningar och säkerställa att tekniska och organisatoriska åtgärder är på plats.
Hur fördelas roller mellan MSB, PTS och andra tillsynsmyndigheter?
Myndigheterna får olika ansvar beroende på sektor och typ av tjänst. MSB har en bred samordnande roll i nationell cybersäkerhet, medan PTS fokuserar på telekommunikation. Vi måste förstå vilken myndighet som ansvarar för vår verksamhet för att följa rätt rapporterings- och tillsynsprocedurer.
Vilka aktörer och tjänster omfattas enligt direktivet och CSL?
Flera sektorer omfattas, bland annat digital infrastruktur, IKT-tjänster, betalningssystem och kritiska offentliga funktioner. Vi bedömer vilka av våra verksamhetsdelar som faller inom regelverket utifrån tjänstens natur och samhällsviktighet.
Hur påverkar företagets storlek bedömningen av omfattningen?
Reglerna tar hänsyn till både verksamhetsutövarens storlek och betydelsen av den specifika verksamhetsdelen. Större aktörer eller enheter som levererar samhällskritiska tjänster får oftare strängare krav än mindre, icke-kritiska delar.
Vad innebär krav på säkerhet i leveranskedjan enligt artikel 21?
Vi måste säkerställa att cybersäkerhet integreras i hela leveranskedjan — från kravställning till drift. Det innebär tekniska skydd, säkerhetskrav i avtal, leverantörsrevisioner och kontinuerlig bedömning av tredjepartsrisker.
Hur arbetar vi med riskhantering i nätverks- och informationssystem?
Vi implementerar en systematisk process för identifiering, analys och åtgärd av risker. Det inkluderar sårbarhetshantering, säkerhetsuppdateringar, kontinuitetsplaner och regelbundna övningar.
Hur bedömer vi leverantörers kvalitet, resiliens och cybersäkerhetspraxis?
Vi använder kriterier som certifieringar, historik av incidenthantering, penetrationstestresultat, revisionsrapporter och referenser. Praktiska prov som tabletop-övningar hjälper oss validera leverantörens förmåga att hantera störningar.
Vad menas med inbyggda riskhanteringsåtgärder i produkter och tjänster?
Säkerhet ska vara en del av produktens livscykel — design, utveckling, distribution och drift. Vi kräver säkerhetsfunktioner, uppdateringsmekanismer och dokumentation som visar hur risker hanteras tekniskt och organisatoriskt.
Vilka avtalskrav bör vi ställa för att införliva cybersäkerhetsåtgärder med direkta leverantörer?
Avtalen bör reglera krav på incidentrapportering, loggning, säkerhetsuppdateringar, revisionsmöjligheter, sekretess och ansvarsfördelning vid säkerhetsbrister. Vi inkluderar även specifika SLA för återställning och kommunikation.
Varför utgör leverantörer av hanterade säkerhetstjänster särskild risk?
MSSP får djup åtkomst till kritiska system och data. Ett fel hos dessa aktörer kan sprida sig snabbt till våra verksamheter. Därför kräver vi starkare kontroller, bakgrundskontroller och kontinuerlig uppföljning.
Hur genomför vi due diligence för MSSP, inklusive incidenthantering och pentest?
Vi begär detaljerade säkerhetspolicys, testresultat, redovisning av incidenthistorik och rutiner för penetrationstester. Vi genomför också revisioner och scenariobaserade övningar för att verifiera leverantörens kapacitet.
Vad innehåller genomförandeförordningen från 7 november 2024 för vår verksamhet?
Förordningen preciserar vilka verksamheter som måste följa särskilda riskåtgärder och hur incidentrapportering ska ske. Vi måste kontrollera vilka krav som gäller för våra tjänster under övergångsperioden fram till nationell lagstiftning.
Vad gäller fram till dess att CSL träder i kraft i Sverige?
Vi följer de bestämmelser som finns i genomförandeförordningen och tillämpar befintliga nationella regler. Under övergången måste vi förbereda oss för skärpta krav och anpassa processer och avtal.
Hur bygger vi ett praktiskt systematiskt arbetssätt för riskhanteringsåtgärder?
Vi etablerar roller, rutiner och styrdokument för kontinuerlig riskidentifiering, prioritering och åtgärd. Vi kombinerar tekniska kontroller med organisatoriska åtgärder och genomför regelbundna tester och förbättringscykler.
Vilka organisatoriska åtgärder och rollfördelning behöver vi ha?
Vi definierar ägarskap för riskområden, utser incidentansvariga och säkerställer tydliga eskaleringsvägar till ledning samt externa kontakter med tillsynsmyndigheter och leverantörer.
Hur ser ett allriskperspektiv och proportionerliga åtgärder ut i praktiken?
Vi bedömer konsekvenser för verksamheten och inför åtgärder som står i proportion till risken. Kritiska delar får mer omfattande skydd medan mindre system hanteras mer lättviktigt men ändå säkert.
Vad är definitionen av en betydande incident och hur gör vi egen bedömning?
En betydande incident påverkar tillgång till, konfidentialitet eller integritet i sådan omfattning att samhällsviktiga funktioner eller stora delar av verksamheten påverkas. Vi använder kriterier för påverkan, räckvidd och varaktighet för att bedöma allvaret.
Vilka tidslinjer gäller för incidentrapportering — när startar klockan och vart rapporterar vi?
Tidsfrister för rapportering varierar beroende på incidentens art, men vi börjar räkna från det tillfälle vi blir medvetna om incidentens betydelse. Rapporter skickas till ansvarig tillsynsmyndighet enligt gällande riktlinjer och interna rutiner.
Hur hanterar vi gränsöverskridande incidenter och risk för dubbelrapportering?
Vi koordinerar rapportering med berörda tillsynsmyndigheter och följer regler för gränsöverskridande notifiering. Vår kommunikationsplan säkerställer att information delas korrekt för att undvika onödig dubbelrapportering.
Vilka branscher och sektorer omfattas och hur avgörs det?
Digital infrastruktur, IKT-tjänster, transport, finans, energi och offentlig förvaltning är exempel på sektorer som omfattas. Bedömningen baseras på tjänstens samhällsvikt och dess beroende av informationssystem.
Hur påverkas post- och budtjänster samt deras beroende av informationssystem?
Dessa tjänster är ofta beroende av digitala spårnings- och logistiksystem. Vi måste säkerställa att leverantörer inom dessa sektorer har robusta säkerhetsåtgärder för att förhindra driftstörningar och dataläckor.
Hur överlappar operatörer enligt LEK med de nya kraven?
Vissa teleoperatörer omfattas både av LEK och de nya cybersäkerhetskraven. Vi kartlägger överlapp för att undvika duplicerad rapportering och för att säkerställa att åtgärder möter båda regelverken.
Vilka avtals- och upphandlingskrav bör vi ställa på relaterade tjänster?
Vi inkluderar krav på säker utveckling, livscykelhantering, SLA för incidenthantering, loggning och bevisföring samt villkor för tredjepartsberoenden och kedjeansvar i alla avtal.
Hur säkerställer vi leverantörers säker utveckling av programvara?
Vi kräver att leverantörer följer säkra utvecklingsmetoder, dokumenterar säkerhetsprocesser, genomför kodgranskningar och levererar uppdateringsplaner för hela produktens livscykel.
Vilka SLA-krav bör finnas för incidenthantering, loggning och bevisföring?
SLA bör specificera svarstider, återställningstider, krav på central logghantering, bevarandetider för bevis och rutiner för överlämning vid utredningar.
Hur hanterar vi tredjepartsberoenden och underleverantörer i kedjan?
Vi kartlägger alla underleverantörer, ställer krav genom avtal och genomför regelbunden uppföljning och revision för att minska risker från tredje part.
Vilka utvärderingskriterier använder vi i vår checklista för leverantörer?
Vi bedömer resiliens, mognad, certifieringar, incidenthistorik, tekniska kontroller och praxis för kontinuerlig förbättring. Vi väger dessa faktorer mot affärskritiska behov.
Hur använder vi praktiska prov som tabletop-övningar och penetrationstest i utvärderingen?
Genom att genomföra realistiska scenarier och tekniska tester utvärderar vi leverantörens incidentberedskap och tekniska motståndskraft. Resultaten informerar våra beslut om godkännande eller krav på förbättringar.
Hur involverar vi akademi och forskningsinstitut i ekosystemet för data och analys?
Vi samarbetar med akademiska aktörer för kompetensutveckling, analysstöd och utveckling av avancerade säkerhetslösningar. Sådana samarbeten stärker vår förmåga att hantera komplexa datafrågor.
Hur förhåller sig de nya kraven till CER-direktivet för kritiska verksamheter?
Vissa kritiska verksamheter omfattas av båda regelverken och kan därför få dubbla krav. Vi säkerställer samordning mellan regelverken för att undvika konflikt och säkerställa full efterlevnad.
Hur identifieras kritiska verksamhetsutövare och vilken tillsyn gäller?
Tillsynsmyndigheter identifierar kritiska aktörer baserat på samhällspåverkan. Dessa aktörer får mer omfattande krav på riskbedömning, bakgrundskontroller och rapportering.
Vilka sanktionsavgifter och samordning gäller med lagen om cybersäkerhet?
Överträdelse kan leda till administrativa påföljder. Vi prioriterar efterlevnad och tydlig rapportering för att minimera risken för sanktioner och säkerställa samordning mellan myndigheter.
Hur planerar vi införande från nulägesanalys till löpande tillsyn?
Vi börjar med en nulägesanalys, kartlägger leveranskedjan, prioriterar risker och genomför implementering, testning och uppföljning. Därefter etablerar vi löpande tillsyns- och förbättringsprocesser.
Hur kartlägger vi leveranskedjan och prioriterar risker?
Vi gör en detaljerad inventering av externa beroenden, bedömer deras kritikalitet och sannolikhet för påverkan, och prioriterar åtgärder baserat på den affärsmässiga konsekvensen.
Vad omfattar implementering, test, uppföljning och förbättringscykler?
Vi implementerar tekniska och organisatoriska åtgärder, testar dem regelbundet, mäter resultat och justerar processer. En iterativ cykel säkerställer att skydden förblir effektiva över tid.