Vi lägger grunden för vår nya NIS2 beredskap genom klara mål och praktiska åtgärder. Direktivet ställer tydligare krav på verksamhetsutövare och vi måste anpassa våra processer för att möta dem.
Vi beskriver hur regelverket påverkar vår organisationens arbete och vilken nivå av cybersäkerhet och säkerhet som krävs idag. Vårt fokus är att skapa en styrmodell där risk, regelefterlevnad och teknik hänger ihop.
Som verksamhetsutövare samlar vi relevant information om aktörer och incidenter för att agera proaktivt. Vi prioriterar åtgärder som snabbt minskar sårbarheter och som stödjer efterlevnad av reglerna och kommande svensk lag.
Viktiga punkter
- Vi gör bedömningar som visar vilken nivå vi behöver hålla.
- Vi integrerar säkerhet i styrning, inte som ett sidoprojekt.
- Vi samlar information för snabb och korrekt rapportering.
- Vi använder extern vägledning för att undvika vanliga fallgropar.
- Vi säkerställer att verksamhetsutövare förstår sina ansvar.
Överblick: direktivet, tydligare krav och varför beredskap behövs nu
Vi ser att nis2-direktivet skärper regelverket och ökar kraven på styrning, teknik och processer. Det innebär tydligare krav på riskanalyser och systematisk uppföljning av säkerhetsåtgärder.
För oss betyder detta konkreta förändringar i informationssäkerhet. Ledning måste ha mandat, resurser och rutiner för att följa upp cybersäkerhet.
Från NIS till NIS2: vad som faktiskt förändras
Direktivet utvecklar tidigare ramverk med fler sektorer och skarpare krav. Bland annat krävs mer systematik i riskhantering och återkommande kontroll av säkerhetsåtgärder.
Ledningens ansvar i organisationens cybersäkerhetsarbete
Vår ledning ska rapportera, prioritera och säkerställa resurser. Vi bygger styrmodeller som gör cybersäkerhet till en del av ordinarie styrning.
Fler sektorer, fler tillsynsmyndigheter och högre sanktionsavgifter
Fler sektorer omfattas vilket ger fler tillsynsmyndigheterna uppdrag att granska verksamhetsutövare. Sanktionsnivåer höjs, och vår plan tar höjd för både rapportering och dokumentation inför kommande lag och föreskrifter.
| Ändring | Konsekvens för oss | Åtgärd |
|---|---|---|
| Tydligare krav på styrning | Ledning måste visa ansvar | Införa rapporteringsrutiner |
| Fler sektorer täcks | Ökad tillsynsaktivitet | Kartlägga om vi är verksamhetsutövare |
| Högre sanktionsnivåer | Ekonomisk och juridisk risk | Dokumentera riskanalyser och åtgärder |
Vem omfattas: sektorer, verksamhetsutövare och anmälan
För att avgöra om vi omfattas går vi igenom varje sektor och matchar våra tjänster mot direktivet och dess kriterier.
De 18 sektorerna och kategorierna väsentliga respektive viktiga
Direktivet täcker 18 sektorer, bland annat energi, transporter, bankverksamhet, hälso- och sjukvård, dricksvatten, digital infrastruktur, offentlig förvaltning, livsmedelsproduktion, tillverkning och forskning.
Det finns två kategorier: väsentliga och viktiga. Kraven är i stort sett desamma. Skillnaden syns i tillsynsgrad och sanktioner, vilket påverkar vår prioritering och resursfördelning.
Identifiera att vi omfattas och hur vi anmäler oss till tillsynsmyndigheten
Vi kartlägger vår verksamhet mot bilagor och artikel 3 i nis2-direktivet och bedömer på vilken nivå vi ligger.
Vårt arbete inkluderar att samla information om processer, tjänster och teknisk infrastruktur för att avgöra om vi är verksamhetsutövare. Exakta former för anmälan kommer i föreskrifter, men vi förbereder en mall med kontaktpunkter och efterlevnadsplan.
”Vi identifierar och dokumenterar så att anmälan till tillsynsmyndigheten blir snabb och korrekt.”
- Samla relevant information om affärsprocesser och aktörer.
- Bedöm om vi är väsentlig eller viktig verksamhetsutövare.
- Förbered anmälan och koordinering med tillsynsmyndigheterna.
NIS2 beredskap i praktiken: vårt systematiska informationssäkerhetsarbete
Vårt fokus är att bygga ett systematiskt informationssäkerhetsarbete som styrs från ledningen. Vi binder riskanalyser till prioriteringar och ser till att åtgärder är proportionella mot verksamhetens riskprofil.
Riskanalyser och säkerhetsåtgärder anpassas efter kritiska informationssystem och driftbehov. Vi definierar policy, tekniska kontroller och mätetal, bland annat identitetsstyrning, patchhantering och kontinuitetsplaner.
Ledning och chefer får riktad utbildning för att ta beslut och följa upp arbetet. Vi stärker linjeorganisationen med rollbaserade rutiner och övningar som bekräftar beredskap.
Styrning av leverantörer inkluderar SLA:er, säkerhetsbilagor och revisioner. Loggning, övervakning och incidenthantering samordnas end-to-end så att våra informationssystem är skyddade.
Inför kommande föreskrifter mappar vi direktivet mot dagens kontroller, identifierar gap och förbereder snabba uppdateringar.
| Område | Vad vi gör | Mätetal |
|---|---|---|
| Riskanalys | Prioritering efter påverkan på verksamheten | Gap‑index, riskpoäng |
| Utbildning | Ledning och operativa roller | Genomförandegrad, övningsresultat |
| Leverantörer | SLA och säkerhetsrevision | Efterlevnadsgrad, antal avvikelser |
| Teknik & drift | Patch, loggning, övervakning | MTTR, patch‑täcke |
”Vi kopplar dokumentation och evidens till styrningen för att visa efterlevnad vid intern och extern granskning.”
Incidenter och incidentrapportering: tider, innehåll och stöd
Vi fastställer tydliga tider och ansvar för att snabbt hantera it-händelser.
Vår process kräver att vi varnar inom 24 timmar, lämnar en inledande incidentanmälan inom 72 timmar och levererar en slutrapport inom en månad. Om incidenten fortsätter lämnar vi en lägesrapport varje månad tills ärendet är avslutat.
Varning, initial rapport och slutrapport
Vid upptäckt klassificerar vi och dokumenterar initial bedömning. Den inledande anmälan ska innehålla sannolik orsak, påverkan och vidtagna åtgärder.
Betydande störningar och föreskrifter
Vad som räknas som betydande störningar bestäms i föreskrifter. Tills dess använder vi tydliga tröskelvärden och dokumenterar besluten så att verksamhetsutövaren kan visa spårbarhet.
Stöd från CERT‑SE
Vid allvarliga incidenter aktiverar vi CERT‑SE för teknisk rådgivning och samordning. Detta stärker vår förmåga att begränsa konsekvenser och följa lag och rapporteringskrav.
- Vi säkerställer att loggar och forensiska bevis bevaras för analys och incidentrapportering.
- Roller i SOC och IRT är tydligt definierade för att möjliggöra snabba beslut inom angivna timmar.
- Vi testar processen med övningar och post‑mortems för att förbättra svarstider och återställning.
| Moment | Tidsfrist | Innehåll |
|---|---|---|
| Varning | 24 timmar | Initialt meddelande om pågående incident |
| Incidentanmälan | 72 timmar | Inledande bedömning, sannolik orsak, konsekvenser |
| Slutrapport | 1 månad | Full analys, åtgärder och lärdomar |
”Vi prioriterar snabb rapportering och tydlig dokumentation för att minimera påverkan och visa efterlevnad.”
Tillsyn, reglerna och sanktionsrisk: vårt förhållningssätt
För att möta inspektioner strukturerar vi bevis och ansvar så att svar blir snabba och korrekta. Vi förbereder verksamhetsutövaren för att kunna visa efterlevnad av krav i rätt sektor.
Vi upprättar en kontrollkalender för informationssäkerhet och cybersäkerhet. Kalendern innehåller interna revisioner, gap‑analyser mot föreskrifter och planerade revisioner mot tillsynsmyndigheterna.
Vid tillsyn ger verksamhetsutövaren tillträde till lokaler och dokument enligt krav. Vi organiserar en svarsfunktion där juridik, säkerhet och verksamhet agerar tillsammans för effektiva inspektioner.
För att minska sanktionsrisk arbetar vi med riskbaserade säkerhetsåtgärder, robust dokumentation och tydlig styrning av leverantörer. Avvikelsehantering är spårbar så att korrigerande åtgärder visas snabbt.
”Vi säkerställer att ledningsrapportering fångar status, risker och prioriteringar kopplade till tillsyn och sanktionsrisk.”
- Harmonisering av kontroller över affärsenheter för att undvika dubbelarbete.
- Roller definieras för att hantera uppföljningsåtgärder effektivt.
Samspel med CER: stärkt motståndskraft bortom cybersäkerhet
Ett nära samspel med CER gör att vi kan bygga motståndskraft över hela kedjan från produktion till leverans. Vi integrerar CER‑kraven i våra rutiner för att skydda både IT och fysisk drift.
Riskbedömning, åtgärder och bakgrundskontroller för kritiska verksamhetsutövare
Vi genomför allriskbedömningar som täcker tekniska och organisatoriska risker. Resultatet styr vilka åtgärder och bakgrundskontroller vi kräver för känsliga befattningar.
Identifiering som kritisk innebär skärpt styrning, snabb rapportering och större ansvar gentemot tillsynsmyndigheter. Incidentrapportering måste kunna ske inom 24 timmar.
Planering för störningar i produktion, bearbetning och distribution
Vi planerar och övar för störningar i produktion, bearbetning och distribution så att leverans av samhällsviktiga tjänster säkras. Övningar inkluderar scenarier för drift, OT och IT i samverkan.
”Vi investerar i redundans, fysisk säkerhet och kompetens för att uppnå mätbar motståndskraft.”
- Harmonisering av informationssystem för snabb återhämtning.
- Flexibla styrdokument för att snabbt anpassa oss till nya föreskrifter.
- Tydlig rapportering och samordning mellan NIS‑ och CER‑processer.
Slutsats
Vi sammanfattar vår strategi som bygger en robust beredskap som uppfyller nis2-direktivet och samtidigt höjer motståndskraften i hela verksamheten.
Våra prioriteringar framåt är att stärka styrning, öka kompetens och förbättra tekniska kontroller, bland annat i processer nära produktion och distribution.
Nästa steg är att slutföra gap‑analys, accelerera implementation och förbereda evidens för incidentrapportering och tillsyn.
Vi följer upp med nyckelmått så att säkerhet och efterlevnad blir en del av hur vi styr verksamheten kontinuerligt.
Vi åtar oss att uppdatera planer vid nya föreskrifter och hålla beredskap levande genom övningar och kontinuerligt lärande.
FAQ
Vad innebär det nya direktivet och varför är nu krav på beredskap tydligare?
Vi ser en skärpning av reglerna jämfört med tidigare ramverk. Direktivet kräver att verksamheter höjer sin informationssäkerhet och motståndskraft genom tydligare krav på riskanalyser, ledningens ansvar och formella säkerhetsåtgärder. Syftet är att minska störningar i kritiska tjänster och stärka kontinuitet i produktion och distribution.
Hur skiljer sig den nya lagen från den tidigare NIS-regeln?
Förändringarna gäller större omfattning av sektorer, fler tillsynsmyndigheter och skarpare krav på rapportering av incidenter. Kraven blir mer specifika kring leverantörsstyrning, incidenthanteringstider och ledningens roll i informationssäkerhetsarbetet. Detta ökar både ansvar och sanktionsrisk för berörda verksamhetsutövare.
Vad förväntas av vår ledning i det systematiska säkerhetsarbetet?
Ledningen måste fastställa policyer, avsätta resurser och integrera cybersäkerhet i styrningen. Det innefattar utbildning av personal, genomförande av regelbundna riskanalyser, godkännande av säkerhetsåtgärder och kontinuerlig uppföljning samt rapportering till tillsynsmyndigheten vid allvarliga incidenter.
Vilka sektorer och verksamheter omfattas av kraven?
Det nya regelverket omfattar ett större antal sektorer, indelade i väsentliga och viktiga kategorier. De täcker bland annat energi, transport, hälsa, finans och digital infrastruktur. Vi måste identifiera om vår verksamhet faller under dessa kategorier och i så fall anmäla oss till relevant tillsynsmyndighet.
Hur identifierar vi om vår organisation omfattas och hur anmäler vi oss?
Vi kartlägger verksamhetens funktioner mot listan över sektorer och bedömer påverkan på samhället vid driftstörningar. Om vi omfattas följer vi tillsynsmyndighetens anvisningar för registrering eller anmälan och upprättar den dokumentation som krävs för tillsyn.
Vilka praktiska åtgärder ska vi genomföra för att uppfylla kraven?
Vi genomför systematiska riskanalyser, inför tekniska och organisatoriska säkerhetsåtgärder, säkrar leverantörskedjan och skyddar kritiska informationssystem. Vi dokumenterar policys, utbildar personal och förbereder rutiner för incidentrapportering enligt de angivna tidsfristerna.
Hur ofta ska vi göra riskanalyser och uppdatera säkerhetsåtgärder?
Riskanalyser bör vara löpande och anpassas efter verksamhetens förändringar. Vi rekommenderar minst årliga genomgångar samt omedelbara uppdateringar vid betydande förändringar i leverantörskedjan, teknik eller hotbild.
Hur styr vi leverantörer och partners för att minimera risker?
Vi ställer krav i avtal, utför leverantörsbedömningar och följer upp säkerhetsnivåer regelbundet. Kritiska leverantörer får särskilda krav på redundans, incidentrapportering och åtkomstkontroller för att säkerställa kontinuitet i produktion och distribution.
Vilka tider gäller för incidentrapportering till tillsynsmyndigheten?
Vid allvarliga incidenter måste vi varna myndigheten inom 24 timmar, lämna en första rapport inom 72 timmar och en slutrapport efter ungefär en månad. Innehållet ska beskriva påverkan, åtgärder och plan för återskapande av drift.
Hur definieras en betydande störning och var hittar vi detaljerna?
Definitionen av betydande störning preciseras i kommande föreskrifter och bedöms utifrån påverkan på tillgänglighet, integritet och konfidentialitet samt samhällspåverkan. Under tiden bygger vi våra bedömningar på verksamhetens kritikalitet och leverantörsberoenden.
När och hur kan vi få stöd från CERT-SE vid en allvarlig it-incident?
Vi kontaktar CERT-SE vid stora eller komplexa incidenter för tekniskt stöd, samordning och återställning. CERT-SE kan bistå med analys, kommunikation och råd om åtgärder för att begränsa skada och återställa drift.
Vad innebär ökad tillsyn och vilka konsekvenser riskerar vi vid brister?
Tillsynsmyndigheterna får vidgade befogenheter att genomföra revisioner och ställa krav. Vid brister kan det bli sanktionsavgifter eller andra påföljder. Vi måste därför dokumentera arbetet, visa kontinuerlig förbättring och vara transparenta i rapporteringen.
Hur samverkar detta regelverk med CER och andra motståndskraftinsatser?
Regelverket kompletterar arbete med samhällsskydd och beredskap genom att koppla cybersäkerhet till fysisk kontinuitet. Vi planerar för störningar i produktion, bearbetning och distribution och inför åtgärder som stärker motståndskraften bortom rena it-skydd.
Vilka bakgrundskontroller och riskbedömningar krävs för kritiska verksamhetsutövare?
Kritiska aktörer behöver genomföra fördjupade bakgrundskontroller, regelbundna riskbedömningar och särskilda säkerhetsåtgärder för personal och leveranskedjor. Dessa åtgärder ska minska insiderhot och säkra kontinuitet i kritiska funktioner.
Hur förbereder vi oss innan föreskrifterna blir helt klara?
Vi kartlägger dagens gap, upprättar grundläggande policyer, prioriterar skydd av kritiska system och startar utbildningar. Genom att bygga flexibla rutiner och dokumentera beslut blir vi redo att snabbt anpassa oss när föreskrifterna publiceras.