augusti 13, 2025|11:07 f m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Directive (EU) 2022/2555 höjer kraven på riskhantering, säkerhetsåtgärder och incidentrapportering inom EU. Vi förklarar vad detta betyder för er verksamhet och vilka konkreta steg som krävs.
Vi visar hur den nya nis2 directive påverkar olika organizations och industry-sektorer. Målet är att stärka security och förbättra cyber security i hela unionen. Bristande efterlevnad kan ge skärpt tillsyn och avgifter.
Genom praktiska steps och en tydlig strategy hjälper vi er gå från nulägesanalys till verifierad compliance. Vi pekar också ut vilka roller som måste engageras och vilka services som oftast berörs.
Den 18 oktober 2024 markerade startpunkten för ett nytt regelverk som påverkar rapportering och riskhantering inom EU. Vi förklarar kort vad det innebär för svenska verksamheter och vilka aktörer som spelar roll i övergången.
Directive trädde i kraft 18 oktober 2024. Regeln ställer högre krav på reporting av incidenter och på systematisk riskhantering. Omfattningen har utökats från sju till arton sectors.
I Sverige följer vi SOU 2024:18 och en lagrådsremiss från juni 2025. En proposition väntas under hösten 2025. MSB har ett nationellt samordningsansvar och kommer utfärda föreskrifter.
Flera competent authorities per sektor kommer att vägleda entities och utföra tillsyn. En review update av regelverket kan ske fram till slutlig lagstiftning.
Storlekströsklar gäller: över 50 anställda eller 10 miljoner euro i annual turnover kan innebära att organizations omfattas.
Vid brister väntar skärpt tillsyn, administrativa sanktionsavgifter och personligt ledningsansvar. Tidig reporting och transparens stärker security och minskar risk för hårda följder.
Här går vi igenom vilka verksamheter som berörs och vad som krävs av dem.
Direktivet utvidgar räckvidden till arton sektorer. Det inkluderar energi, transport, hälso- och sjukvård, digital infrastruktur och offentlig förvaltning.
Essential important entities och important entities får olika tillsynsnivåer beroende på vilken bilaga de återfinns i.
Medelstora och stora företag med över 50 anställda eller 10 miljoner euro i annual turnover omfattas generellt.
Vissa undantag finns och gränsdragningar påverkar services och närliggande organizations.
Huvudkraven fokuserar på risk management, adekvata measures för security och kontinuitet i tjänster.
Rapportering ska ske snabbt vid allvarliga händelser för att säkerställa transparens och minska skada.
Ledningen hålls ansvarig; styrelse och VD måste följa upp resurser och beslut.
Vi betonar också supply chain security och bedömning av tredjeparts- samt fjärdepartsrisker.
| Sektor | Typ | Storlekströskel | Nyckelkrav |
|---|---|---|---|
| Energi | Väsentlig | >50 anställda / 10 M€ | Riskhantering, kontinuitet, rapportering |
| Digital infrastruktur | Viktig | >50 anställda / 10 M€ | Cyber security, leverantörskedja, åtgärder |
| Hälso- och sjukvård | Väsentlig | >50 anställda / 10 M€ | Säkerhet, incident reporting, kontinuitet |
Vi beskriver en praktisk approach som tar er från nuläge till en fungerande handlingsplan. Fokus ligger på tydliga steg, prioritering och mätbar förbättring.
Vi börjar med en assessment och gap‑analys. Här kartlägger vi risk, befintliga kontroller och incidentprocesser.
Resultatet blir en prioriterad lista på brister och en baslinje för vidare arbete.
Vi tar fram en realistisk strategy och roadmap i flera step. Milstolpar, ansvar och budget fastställs för att säkra genomförandet.
Vi rullar ut tekniska och organisatoriska security measures. Det inkluderar stark autentisering, kryptering, loggning och nätverkssegmentering.
Vi använder modern technology för övervakning och snabb response vid incidenter.
Vi utbildar ledning och personal i ansvar och roller samt genomför återkommande övningar.
Regelbundna tester och penetrationstester ger underlag för review update av risk management.
Vi skapar styrdokument, register och tydliga rapporteringskanaler så att organizations across kan visa spårbarhet.
”Ett systematiskt arbetssätt gör skillnad när en incident inträffar.”
Sammanfattning: Vi levererar en tydlig approach med konkreta steps för att stärka risk management och uppfylla krav. Målet är att göra er redo för praktisk efterlevnad och snabb återhämtning.
Snabb, strukturerad incidenthantering är avgörande för att skydda verksamhetens tjänster och data. Vi bygger en incident response-plan som kopplar roller till beslutspunkter och kontaktvägar till relevanta myndigheter.
Vi definierar ansvar, eskaleringsvägar och playbooks för ransomware, DDoS och dataexfiltration. Planen inkluderar MTTA/MTTR-mål och rutiner för snabb samordning med myndigheter.
Vi säkerställer business continuity genom redundanta miljöer, testade backup-procedurer och tydliga service‑nivåmål.
Vi inför end-to-end-kryptering, stark autentisering och säkra kriskanaler så att intern kommunikation fungerar även vid större incidents.
Vi bedömer leverantörsrisker, ställer krav i avtal och följer upp third- och fourth‑party riskprofiler löpande.
| Område | Åtgärd | Mått | Nytta |
|---|---|---|---|
| Incident response | Playbooks & MTTR‑mål | MTTA & MTTR | Snabb avgränsning |
| Business continuity | Redundans & backup | Återställningstid | Upprätthållen tillgänglighet |
| Supply chain | Leverantörsgranskning | Riskpoäng | Minskad tredjepartsrisk |
För att stå bättre rustade krävs en praktisk, löpande strategi som täcker risk, information och incidentrapportering. Vi rekommenderar att ni börjar med en verifierad assessment och prioriterar åtgärder som stärker säkerhet och motståndskraft.
Regelverket gäller sedan oktober 2024 och påverkar fler sektorer och services. Ledning, tillsynsmyndigheter och leverantörer måste samordna arbetet för att möta nya krav.
Konkreta steg: uppdatera er assessment, verifiera att nis2 requirements är täckta, förstärk riskhantering och integrera en response plan i era rutiner.
Vi uppmanar er att agera nu — med tydliga mål, resurser och en tidsplan — för att minimera incidentrisker och säkra era tjänster inför tillsyn.
Vi måste införa systematiskt riskarbete, tekniska och organisatoriska säkerhetsåtgärder samt tydliga rutiner för incidentrapportering. Det innebär också att ledningen får ett uttalat ansvar för informationssäkerhet och affärskontinuitet. Vi rekommenderar att vi börjar med en gap‑analys för att kartlägga var vi står och vilka åtgärder som krävs.
Verksamheter inom energi, transport, hälso‑ och sjukvård, digital infrastruktur och offentlig förvaltning är typiska exempel. Även leverantörer av molntjänster och kritisk kommunikationsinfrastruktur omfattas ofta. Storlekströsklar på över 50 anställda eller 10 miljoner euro i omsättning påverkar bedömningen.
Direktivets tillämpning började den 18 oktober 2024. I Sverige ansvarar Myndigheten för samhällsskydd och beredskap (MSB) samt andra tillsynsmyndigheter för implementering och kontroll. Vi följer det pågående lagstiftningsarbetet 2025 för att anpassa våra rutiner efter nationella regler.
Bristande efterlevnad kan leda till skärpt tillsyn, sanktionsavgifter och ansvar för ledningen. Vi ser även ökad risk för förtroendeskador hos kunder och leverantörer, vilket gör att förebyggande åtgärder samt snabb incidenthantering är affärskritiskt.
Vi behöver etablera tydliga rapporteringskanaler och tidsfrister, inklusive förstameddelande och uppföljningsrapporter till behörig myndighet. Incidenter ska dokumenteras med relevanta tekniska och organisatoriska detaljer så att vi kan visa våra åtgärder och lärdomar.
Viktiga åtgärder är nätverkssegmentering, uppdaterade patchrutiner, multifaktorautentisering, logghantering och säkerhetsövervakning. Vi bör också ha backuplösningar och redundans för att säkerställa tjänstetillgänglighet och snabb återställning.
En plan behöver definiera roller, eskaleringsvägar, kommunikationskanaler och samordning med tillsynsmyndigheter samt tredjepartsleverantörer. Vi bör öva planen regelbundet, utvärdera resultatet och uppdatera rutiner baserat på verkliga händelser och revisioner.
Ledningen måste visa styrning genom godkända policyer, budget för säkerhet, regelbundna riskbedömningar och rapporter om säkerhetsstatus. Vi bör dokumentera beslut och genomförda åtgärder för att kunna visa ansvar och transparens vid tillsyn.
Vi måste bedöma leverantörers säkerhetsnivå, införa avtalskrav, genomföra leverantörsrevisioner och hantera fjärdepartsrisker. Ett tydligt leverantörsregister och krav på incidentrapportering från underleverantörer minskar vår egen exponering.
Vi rekommenderar minst årliga övningar och regelbundna revisioner vid större förändringar i verksamheten eller IT‑miljön. Efter varje övning och verklig incident ska vi uppdatera planen och dokumentera förbättringar.
Vi bör ha en riskhanteringspolicy, incidentresponse‑plan, register över kritiska tjänster, leverantörsöversikt, övningsrapporter och bevis på tekniska kontroller. Dessa dokument visar uppfyllelse vid tillsynsgranskning.
Vi rekommenderar en riskbaserad prioritering där vi värderar sannolikhet och påverkan av olika hot. Investeringar i grundläggande tekniska kontroller och affärskontinuitet ger ofta hög avkastning genom minskad nedetid och lägre risk för sanktioner.
Starta med en snabb gap‑analys, identifiera kritiska tillgångar, sätt upp en styrgrupp med ledningsrepresentation och ta fram en roadmap för åtgärder. Snabba vinster är patchning, MFA och loggning för övervakning.
Utbildning skapar medvetenhet om roller, incidentprocesser och säkerhetsrutiner. Vi rekommenderar riktade utbildningar för ledningen, IT‑team och operativa avdelningar samt återkommande övningar för att befästa rutiner.
Genom snabb, transparent och säker kommunikation kan vi minimera skada. Vi bör ha förberedda kommunikéer, definierade ansvariga för extern information och säkra kanaler för att nå berörda parter.
Myndigheten för samhällsskydd och beredskap (MSB) samt sektorsspecifika tillsynsmyndigheter erbjuder vägledning. Vi kan också anlita erfarna cybersäkerhetsrådgivare för att påskynda analys och implementering.
