Vi ger en tydlig väg framåt. Direktivet har skärpt kraven för många företag för att möta ökade cyberhot och skapa en enhetlig nivå av cybersäkerhet i EU.
Vårt mål är att leda er från nuläge till robust efterlevnad. Vi beskriver vilka steg som krävs: omfattning, gap-analys, prioritering och genomförande.
Du får praktisk information om incidentrapporteringens tre steg, kraven på bevis och hur styrelse och ledning behöver agera.
Vi fokuserar på mätbar förbättring. Arbetet kräver löpande styrning, leverantörskontroll, utbildning och budgetering för att bli hållbart.
Vill du fördjupa dig i varje punkt och se konkreta exempel, läs mer längre ner i artikeln.
Viktiga punkter
- Vi sätter ramverket för vår checklista och stegvisa åtgärder.
- Vi förklarar praktiska krav för svenska verksamheter inför januari 2025.
- Vi listar beviskrav: policyer, processer, loggar och incidentrapporter.
- Vi går igenom incidentrapporteringens tre steg och ansvarsfördelning.
- Vi betonar proportionellt arbete utifrån risk och uppföljning.
Översikt: NIS2-direktivet, cybersäkerhet och varför vi behöver agera nu
Tiden för förberedelser är nu — lagstiftningen ställer tydliga krav på alla nivåer. Vi förklarar kort vad ramverket syftar till och varför det påverkar oss i Sverige.
Vår läsanledning: vad du får ut av guiden
Syftet med nis2-direktivet är att stärka digital motståndskraft för samhällskritiska verksamheter i hela EU.
Vi visar vilka tekniska och organisatoriska åtgärder som behövs. Fokus ligger på riskbaserade insatser, styrning, rapportering och leverantörsstyrning.
Tidslinje i Sverige: genomförande och nästa steg
EU-implementeringen slutfördes 2024, och svensk lag väntas träda i kraft januari 2025. Det innebär att vi måste börja nu för att undvika tidspress inför införandet.
Vi rekommenderar att IT, säkerhet, juridik, inköp, HR och ledning engageras omgående för att definiera omfattning, mål och budget.
Vad du får här: en prioriterbar plan för att uppnå efterlevnad och minska risk. Läs mer i nästa avsnitt för praktiska steg och exempel.
Omfattas vår organisation? Aktörer, verksamheter och krav enligt NIS2
Först kartlägger vi vilka aktörer och verksamheter som berörs.
Direktivet omfattar fler aktörer än tidigare. Högkritiska sektorer är bland annat energi, transport, bank/finans, sjukvård, vatten/avlopp och offentlig förvaltning.
Andra kritiska sektorer inkluderar post och budtjänster, avfallshantering, kemikalier, livsmedel och digitala leverantörer.
Tröskelvärden och undantag
Verksamheter omfattas normalt om de har minst 50 anställda eller över 10 MEUR i omsättning.
Undantag kan göras om en störning inte bedöms ha betydande påverkan på allmän säkerhet.
Konsekvenser och tillsyn
Samma grundläggande krav gäller alla kategorier, men sanktionsnivå och tillsynsmetod kan variera.
Det påverkar vår riskexponering och hur proaktiv tillsynen blir.
- Matcha er bransch mot listade sektorer för att avgöra om ni är berörda.
- Samla information: organisationsschema, finansiella nyckeltal och systemkatalog.
- Bedöm dotterbolag och delade tjänster för koncerngemensam styrning.
| Kriterium | Tröskel | Påverkan |
|---|---|---|
| Sektorstillhörighet | Högkritisk / Kritisk | Bestämmer tillsynsmodell |
| Antal anställda | ≥ 50 | Ger omfattning |
| Omsättning | > 10 MEUR | Ger omfattning |
| Speciell påverkan | Störning mot allmän säkerhet | Kan inkludera mindre aktörer |
För detaljerad vägledning och tolkning, läs mer i myndigheternas resurser.
NIS2 checklista
Här listar vi praktiska och omedelbart genomförbara åtgärder för att stärka vår incidentberedskap och tekniska skydd. Målet är tydlighet i ansvar, spårbarhet och snabba beslut vid allvarliga händelser.
Incidenthantering och rapportering
Vi etablerar en tredelad rapporteringsprocess. Betydande incidenter får först en varning inom 24 timmar. Därefter följer en incidentanmälan inom 72 timmar och en slutlig rapport inom en månad.
Betydande incidenter: varning 24h — anmälan 72h — slutrapport inom en månad.
Säker inköp, utveckling och kryptografi
Vi inför säkerhetskrav i hela leveranskedjan: RFP, S‑SDLC, kodgranskning och sårbarhetshantering.
All känslig data ska krypteras i vila och under överföring. Nyckelhantering och algoritmpolicy är obligatoriskt.
Personal, åtkomst och autentisering
Vi genomför bakgrundskontroller där det är relevant. Rollbaserad träning och återkommande utbildning ingår.
Åtkomst ges enligt minsta rättighet och granskas regelbundet. Multifaktorautentisering införs på kritiska system.
- Incidentprocess: triage, mallar, ägarskap och spårbarhet.
- Tekniskt: kryptering, segmentering, bastioner och säkra tunnlar.
- Organisatoriskt: leverantörsgranskning, utbildning och åtkomstrecensioner.
För detaljerad vägledning och praktiska mallar, läs mer i vår rekommenderade resurs.
Göra en inventering och gap-analys för efterlevnad
För att nå verklig efterlevnad börjar vi med en noggrann inventering av era digitala tillgångar.
Detta ger en tydlig nulägesbild som ligger till grund för alla kommande beslut.
Så kartlägger vi nuvarande säkerhetsåtgärder och identifierar brister
Vi inventorierar system, servrar, applikationer, dataflöden och styrande kontroller snabbt och strukturerat.
Som bevis samlar vi in policyer, processer, loggar, konfigurationer, avtal och utbildningsregister för att få komplett information.
- Steg 1: Kartläggning av tillgångar och dataflöden.
- Steg 2: Insamling av dokumentation och tekniska bevis.
- Steg 3: Gap-analys mot gällande krav och interna målarkitekturer.
Prioriteringsmodell: riskbaserat arbete som är proportionerligt
Brister graderas efter sannolikhet, påverkan och regulatorisk kritikalitet. Vi använder en prioriteringsmatris som väger riskreduktion mot kostnad och tid.
Prioritera snabba vinster för att minska största riskerna, och planera strategiska satsningar för långsiktig motståndskraft.
Vi sätter acceptanskriterier för varje kontroll och omvandlar gap-analysen till en åtgärdsbacklog med tydliga mål. Läs mer i nästa avsnitt om hur vi genomför och verifierar åtgärder.
Åtgärda identifierade brister och införa säkerhetsåtgärder över tid
Vi tar nu steget från analys till handling och prioriterar både snabba vinster och strategiska initiativ. Arbetet innebär löpande uppföljning, dokumentation och tydliga ägare för varje insats.
Snabba vinster och strategiska initiativ
Vi delar åtgärder i snabba vinster—konfiguration, patchning och MFA‑utrullning—och större projekt som IAM, nätsegmentering och incidenthanteringsprogram.
- Integrera krav i organisationen: utse ägare, beslutsforum och budgetramar för varje åtgärd.
- Resursplanering: kartlägg beroenden och synka med releaseplaner för att minimera driftpåverkan.
- Mätning och kvalitet: sätt milstolpar, KPI:er och verifieringssteg för att följa effekt.
- Dokumentation: spara designbeslut, riskacceptanser och verifieringsprotokoll för spårbarhet vid granskning.
Prioritera snabbt verkande åtgärder för att minska omedelbar risk, och planera strategiska investeringar för hållbar motståndskraft.
Flera insatser kräver samordning med externa leverantörer. Läs mer i nästa avsnitt om leverantörskedja och tredjepartsrisker.
Leverantörskedja och tredjepartsrisker: ansvar enligt NIS2
Att hantera tredjepartsrisker börjar med fullständig kartläggning av tjänster och leverantörer. Vi identifierar vilka leverantörer som stödjer kritiska system och vilka underleverantörer som är inblandade.
Kartläggning och riskutvärdering av leverantörer och tjänster
Vi kopplar varje leverantör till dataflöden, system och tillgänglighetskrav. Därefter bedömer vi risk baserat på datakänslighet, plats och historik.
Resultatet blir en riskprofil som styr vilka åtgärder vi kräver och hur ofta vi granskar leverantören.
Avtal och styrning: kravställning, instruktioner och bevis på efterlevnad
Vårt juridiska ansvar gäller hela kedjan. Organisationen bär ansvar för säkerheten även om leverantören är certifierad.
- Uppdaterade avtal med krav på incidentrapportering, revision och underleverantörsstyrning.
- Scorecards och SLA:er som mäter säkerhetsförmåga och beredskap.
- Krav på bevis för efterlevnad, där ISO-certifiering kan stödja, men inte ersätta vår due diligence.
Vi styr leverantörer genom avtal, tekniska krav och löpande verifiering.
Denna ansats speglar hur nis2-direktivet placerar ansvar och uppföljning. I nästa avsnitt visar vi hur vi följer upp och dokumenterar leverantörsprestanda — läs mer.
Utbildning och ansvar i organisationen
Att bygga ett tydligt utbildningsprogram börjar med tydliga roller och beslutsvägar i hela organisationen.
Ledningens ansvar och juridiska skyldigheter
Ledningen måste fastställa riskaptit, godkänna policyer och säkra resurser för vår cybersäkerhet. Vi rapporterar nyckelrisker och följer upp beslut i styrforum.
Det är också ledningens ansvar att se till att roller och ansvar dokumenteras och att åtgärder får klar ägare.
Löpande träning för alla medarbetare och mätning av effekt
Vi inför rollbaserade utbildningsspår för ledning, utveckling, drift, inköp, HR och slutanvändare.
- Onboarding och årlig omcertifiering säkerställer grundläggande kunskap.
- Ad hoc‑kurser inför större förändringar eller efter incidenter.
- Vi mäter effekt med tester, phishing‑simuleringar, utbildningsgrad och incidenttrender.
Vi rapporterar resultat till styrelse och ledning för att prioritera investeringar och förbättringar.
Läs mer om modeller för uppföljning och hur utbildning kopplas till förbättringscykeln i nästa avsnitt.
Uppföljning, dokumentation och budgetering för kontinuerlig efterlevnad
Vi etablerar rutiner som säkerställer att efterlevnad inte blir ett engångsprojekt utan en ständig process. Det kräver tydliga mätpunkter, regelbundna granskningar och att beslut dokumenteras för spårbarhet.
Plan-Do-Check-Act blir vår grundmodell. Vi kopplar indikatorer till risk och nis2-direktivet och kör korta cykler för snabb återkoppling.
För drift sätter vi upp loggövervakning, regelbundna sårbarhetsskanningar och en formaliserad patchprocess.
Internrevision, verifiering och dokumentation
Vi planerar internrevisioner och kompletterar med tredjepartsgranskningar vid behov för att verifiera att kontroller fungerar.
Allt sparas i en lättillgänglig dokumentationsstruktur där processer, rapporter och beslut spåras inför tillsyn.
- Övervakning: KPI:er för incidenter, svarstid och patchtäckning.
- Verifiering: rutiner för internrevision och leverantörsgranskning av kritiska tjänster.
- Budget: avsatta medel för drift, förbättringar och utbildning under året.
Förändrade hotbilder och incidentrapporter ska styra prioriteringarna i nästa cykel.
Vi sammanfattar läget till ledning i korta rapporter och använder dessa för att prioritera nästa iterations åtgärder. läs mer om hur vi rapporterar uppåt och fördelar resurser.
Slutsats
Slutsatsen är att alla berörda aktörer måste agera snabbt och strukturerat för att nå verifierbar efterlevnad. Vår checklista hjälper er att gå från nuläge till tydliga, spårbara åtgärder.
Vi rekommenderar att omfattning, gap‑analys, prioritering, genomförande, utbildning och uppföljning drivs parallellt. Detta minskar risken för luckor och ger snabba förbättringar.
Tidigt incidentberedskap och tydlig leverantörsstyrning skyddar både kritiska system och affärsprocesser. Det minskar också risken för försenade rapporter.
Investera i processer, teknik och kompetens. Etablera programstyrning, fördela ansvar och starta åtgärder omgående för att vara redo inför svensk lagstiftning. Vi står redo att stödja aktörer och verksamheter i varje steg.
FAQ
Vilka organisationer omfattas av det nya direktivet och hur vet vi om vi berörs?
Vi omfattas om vår verksamhet tillhör högkritiska eller kritiska sektorer som energi, transport, sjukvård eller offentlig förvaltning, eller om vi når tröskelvärden som cirka 50 anställda eller 10 miljoner euro i omsättning. Vi gör en enkel kartläggning av verksamhetskritiska tjänster, bedömer påverkan och jämför med nationella riktlinjer för att avgöra om krav gäller oss.
Vilka tidiga åtgärder bör vi prioritera för att förbättra vår cybersäkerhet?
Vi börjar med åtgärder som ger snabb effekt: stark autentisering för alla administrativa konton, segmentering av nätverk, regelbundna säkerhetskopior och en incidenthanteringsprocess. Parallellt gör vi en gap-analys för att planera strategiska investeringar och resurser över tid.
Hur fungerar incidentrapportering enligt regelverket?
Vi måste varna för allvarliga incidenter inom 24 timmar, lämna en första anmälan inom 72 timmar och en slutlig rapport inom en månad. Incidenthanteringen ska inkludera spårbar dokumentation, påverkanbedömning och åtgärdsplaner samt kommunikation med tillsynsmyndighet och berörda parter.
Vilka krav ställs på leverantörskedjan och tredjepartsleverantörer?
Vi ansvarar för att kartlägga leverantörer, utvärdera deras risknivå och ställa krav i avtal. Det innebär säkerhetskrav i inköp, bevis på efterlevnad, regelbunden uppföljning och möjligheten att kräva åtgärder eller byta leverantör om riskerna är oacceptabla.
Hur genomför vi en effektiv inventering och gap-analys?
Vi kartlägger befintliga säkerhetsåtgärder, identifierar kritiska tillgångar och jämför nuläget mot föreskrivna krav. Vi använder en riskbaserad metod för att prioritera brister, tar fram handlingsplaner och tidsatta åtgärder samt dokumenterar beslut för revision och tillsyn.
Vilken roll har ledningen och vilka juridiska skyldigheter finns?
Ledningen bär ansvar för styrning, resurser och att säkerhetsåtgärder införs. Vi måste visa dokumenterat ledningsstöd, besluta om policyer, utse ansvariga för cybersäkerhet och säkerställa att utbildning och rapportering fungerar enligt lagkrav.
Vad krävs av utbildning och medvetandehöjande insatser i organisationen?
Vi ska genomföra löpande utbildning för alla medarbetare, anpassa träningen efter roller och mäta effekt. Praktiska övningar, phishing-test och rutiner för incidentrapportering är centrala för att minska mänskliga risker.
Hur hanterar vi åtkomstkontroll och principen om minsta rättighet?
Vi inför rollbaserad åtkomst, multifaktorautentisering och regelbundna åtkomstgranskningar. System och konton ska ha tydliga behörighetsnivåer, automatiska loggar och rutiner för omedelbar återkallelse av rättigheter vid personalförändringar.
Vilka tekniska skydd bör vi införa för att skydda data i vila och under överföring?
Vi använder moderna krypteringsstandarder för data i vila och under överföring, säkrar kommunikationskanaler med TLS/SSH, och hanterar nycklar enligt god praxis. Säkerhetskopior och analys av kryptografiska implementationer är också nödvändigt.
Hur ofta måste vi följa upp och dokumentera efterlevnad?
Vi etablerar kontinuerlig övervakning, internrevisioner och regelbundna rapporter. Dokumentation av processer, incidenter och förbättringar behöver vara uppdaterad för både intern styrning och extern tillsyn. Budget för åtgärder bör ses över årligen eller vid större förändringar.
Hur prioriterar vi brister och planerar resurser över tid?
Vi använder en riskbaserad prioriteringsmodell där hög påverkan och sannolikhet får högsta prioritet. Vi delar in insatser i snabba vinster och strategiska initiativ, allokerar budget och personal samt sätter milstolpar för implementation och mätning.
Vad innebär krav på säker programvaruutveckling och leveranskedjans säkerhet?
Vi inför säkerhetskrav i hela livscykeln: kravställning, säker kodgranskning, testning, leveranskontroller och underhåll. Tredjepartskomponenter ska utvärderas för kända sårbarheter och uppdateras enligt en fastställd patchpolicy.