augusti 12, 2025|4:51 e m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi guidar företag och organisationer genom den nya lagen som ställer tydliga krav på ledningen och tekniska åtgärder. Vi kartlägger nuläget, prioriterar investeringar och skapar en tydlig ägarstruktur för att nå full efterlevnad.
Vår metod bygger på omfattningsanalys, riskbedömning och gapanalys mot de formella kraven. Därefter implementerar vi åtgärdsprogram, incidenthantering och backup‑rutiner som minskar driftstörningar.
Vi förankrar arbetet i ledningen och knyter cybersäkerhet till era affärsmål. Resultatet blir ökad motståndskraft, snabbare återställning och högre kundförtroende för de tjänster ni levererar.
Sverige inför från 15 januari 2026 nya regler som skärper dokumentation och incidenthantering. Cybersäkerhetslagen förvandlar direktivet till nationell rätt och höjer standarden för både teknik och styrning.
Lagändringen utvidgar till 18 sektorer och påverkar hur vi identifierar väsentliga och viktiga enheter. Vi hjälper er att förstå vilka sektorer och enheter som omfattas och hur tillsynsnivån förändras.
Ledningen får tydligare ansvar med krav på utbildning och risk för ledningsförbud vid allvarliga brister. Sanktionsnivåerna kan bli betydande; böter upp till 2 % av global omsättning eller 10 000 000 euro är möjliga.
Vi inleder alltid med en avgränsning av verksamheten för att identifiera relevanta sektorer och enheter. Det ger en tydlig bild av om och hur reglerna träffar er.
Vi kartlägger verksamhet mot bilagornas sektorer och bedömer om ni är väsentlig eller viktig aktör. Detta avgör vilka krav på dokumentation och tillsyn som gäller för er organisation.
Små företag omfattas sällan direkt. Men många påverkas via leveranskedjan. Vi visar hur ni som kund ställer proportionerliga krav på leverantörer och hanterar påverkan i leveranskedjan.
Vi formulerar en målbild som balanserar regelefterlevnad, kostnad och kontinuitet i era tjänster. Vi kopplar mål till mätbara indikatorer för tillgänglighet, integritet och robusthet.
Att skapa en tydlig styrmodell börjar med att ledningen tar ägarskap för risker och resurser. Vi hjälper er formulera mandat och beslutsvägar så att ansvar blir tydligt i praktiken.
Ledningen måste genomgå relevant utbildning i säkerhet och beslutsfattande. Det minskar risken för felbedömningar och gör att styret kan svara i en tillsynsdialog.
”Ledningen ska godkänna åtgärder, säkra resurser och kunna stå till svars vid allvarliga brister.”
Vi tar fram en policystruktur som täcker policyer för risk, incident, leverantörer och åtkomst. Dokumentationen kopplas direkt till kraven så att den blir verifierbar vid revision.
Vi börjar med att kartlägga vilka tillgångar som är avgörande för verksamhetens drift. Detta innefattar data, processer, system, människor och platser.
Vi inventerar kritiska processer och informationssystem för att skapa en heltäckande bas för riskbedömningar. Därefter klassificerar vi data efter affärspåverkan.
Vi genomför både kvantitativa och kvalitativa riskbedömningar. Vi väger sannolikhet mot konsekvens och prioriterar risken utifrån affärseffekt.
Vi kartlägger befintliga kontroller och identifierar sårbarheter i system och informationssystem. Varje brist kopplas till en ägare och tidslinje.
Handlingsplanen innehåller spårbara milstolpar, budget och acceptanskriterier. Vi upprättar en uppdateringscykel för att revidera riskbedömningar vid nya hot.
| Steg | Vad vi gör | Utdata | Ansvar |
|---|---|---|---|
| Inventering | Kartlägga data, processer, system | Lista över kritiska tillgångar | IT & verksamhetsägare |
| Riskbedömning | Kvantitativ & kvalitativ analys | Prioriterad risklista | Riskteam |
| Gapanalys | Jämföra mot krav och kontroller | Bristsrapport med ägare | Compliance |
| Handlingsplan | Milstolpar, budget, backlog | Genomförandeplan | Projektägare |
Många organisationer har redan delar på plats; vi binder ihop dem för en enhetlig styrning.
Vi kartlägger befintliga processer för att hitta överlapp mellan incidenthantering och datahantering. Det minskar dubbelarbete och gör rapportering enklare.
Vi harmoniserar flöden så att incidentrapportering uppfyller både GDPR och nis-direktivet.
ISO 27001 fungerar som ramverk för styrning och kontroller. Vi använder standarder som ryggrad och lägger in praktiska kopplingar till andra regelverk.
Vi täpper igen luckor genom leverantörspraxis, regelbundna revisioner och målstyrd utbildning.
Vi bygger säkerhet i både teknik och processer så att ledningen kan visa verifierbar efterlevnad. Våra lösningar balanserar riskreducering och operativ hanterbarhet.
Kryptering skyddar data i vila och i rörelse. Vi inför PKI och certifikathantering för att säkra kommunikationer och validera identiteter.
Det inkluderar automatiserad nyckelrotation och dokumentation som visar att kryptering är implementerad i kritiska system.
Vi använder MFA och RBAC för att begränsa åtkomst till tjänster och system. Lösenordspolicyer kombineras med övervakning och regelbunden revision.
Vi ställer krav på leverantörer och gör due diligence vid onboarding. Löpande övervakning fångar förändringar som kan skapa sårbarheter.
Backupstrategier och testade återställningsrutiner säkrar tillgänglighet. Vi genomför övningar så att återställning av tjänster fungerar i praktiken.
När en incident inträffar krävs ett strukturerat flöde för att begränsa skada och informera berörda. Vi etablerar klara trösklar för varning inom 24 timmar, formell anmälan inom 72 timmar och en slutrapport inom en månad.
Vid betydande incidenter skickas en initial varning inom 24 timmar med en bedömning av omfattning och preliminära indikatorer.
Inom 72 timmar lämnar vi en fullständig incidentanmälan med allvarlighetsgrad, konsekvenser och tekniska indikatorer på angrepp.
Slutrapporten innehåller orsaksanalys, åtgärder och förbättringsförslag.
Vi definierar ansvar och kontaktvägar mot CSIRT/CERT‑SE samt mot interna och externa intressenter.
Vi tar fram playbooks och policyer som styr triage, eskalering och kundinformation.
Tabletop‑övningar tränar beslutsfattande under tidspress och avslutas med *lessons learned* som leder till uppdaterade processer.
Vi mäter återställningstid och konsekvensminskning och rapporterar regelbundet till ledningen.
Revisioner och dokumentation är de verktyg som visar att era processer håller måttet inför tillsyn. Vi hjälper er förbereda material och rutiner så att inspektioner blir ordnade och hanterbara.
Tillsynsmyndigheten arbetar proaktivt mot väsentliga enheter och mer reaktivt mot viktiga enheter. Vi kartlägger vilken kategori era enheter tillhör och anpassar kontrollplaner därefter.
Myndigheten kan begära tillträde, kräva uppgifter eller genomföra riktade säkerhetsrevisioner. Vi förbereder tekniska svar och minskar driftstörningar vid skanningar av kritiska tjänster.
En tydlig evidenskatalog gör efterlevnadspåståenden verifierbara. Vi organiserar policyer, riskbedömningar, kontroller, loggar och incidentrapporter så att svarstid blir kort.
Brister kan leda till förelägganden, vite och sanktionsavgifter eller till och med ledningsrättsliga åtgärder. Vi hjälper organisationer att minimera risken genom regelbundna revisioner och årlig internkontroll.
Prioriterade åtgärder, tydliga ansvar och kontinuerliga revisioner skapar en robust grund för säkerheten i era tjänster. Vi hjälper företag att omsätta standarder till konkreta säkerhetsåtgärder som skyddar system och nätverks‑informationssystem.
Ledningen måste få rätt utbildning och mandat så att riskbedömningar leder till effektiva insatser. Vi binder ihop incidenter, leverantörer och revisioner i en helhet som minskar risker och förbättrar återhämtning.
Starta nu: etablera programstyrning, tidplan, ansvar och mätetal. Det gör att ni möter kraven i nis2-direktivet i tid och höjer cybersäkerheten långsiktigt.
Vi måste bedöma om vår verksamhet klassas som väsentlig eller viktig enligt bilaga I–II. Om så är fallet behöver vi införa styrning, tekniska och organisatoriska åtgärder, kontinuerlig riskhantering samt rapportera incidenter enligt de tidsramar som anges i lagen. Det innebär också ökade krav på ledningens ansvar och dokumentation inför tillsyn.
Vi börjar med att definiera omfattning och målbild: kartlägga system, tjänster och leveranskedja, identifiera kritiska tillgångar och mål för kontinuitet. Därefter gör vi en riskbedömning och gapanalys mot kraven för att ta fram en handlingsplan med tydliga milstolpar och ansvarsroller.
Ledningen ska säkerställa resurser, utse ansvar, besluta policyer och följa upp åtgärder. Vi måste också genomföra regelbunden utbildning, rapportera till styrelse eller ledningsgrupp samt förbereda oss för revisioner och eventuella sanktioner vid brister.
Vi rekommenderar att genomföra formella riskbedömningar årligen och efter större förändringar i system eller leveranskedja. Gapanalyser bör uppdateras i takt med att nya krav eller tekniska förändringar uppstår för att handlingsplanen ska vara aktuell.
Vi identifierar överlappande kontroller, såsom incidenthantering, åtkomststyrning och dokumentation, och använder ISO 27001 som grund för processer. För dataskydd ska vi säkerställa att personuppgiftsbehandling följer GDPR. Saknade kontroller, som leverantörsstyrning och särskilda revisionskrav, lägger vi till i vår styrmodell.
Vi prioriterar kryptering i vila och vid överföring, stark autentisering (MFA), rollbaserad åtkomstkontroll (RBAC), säker hantering av certifikat och kontinuerlig sårbarhetsskanning. Backup, återställning och testade beredskapsplaner är också centrala.
Vi behöver varna nationell myndighet inom 24 timmar vid allvarliga incidenter, lämna en mer detaljerad anmälan inom 72 timmar och en slutrapport inom en månad. Dessa tidsramar kräver klara interna processer och roller för snabb detektion och rapportering.
Vi inför krav i avtal, genomför leverantörsbedömningar och kontinuerlig övervakning. Vi ställer krav på incidentrapportering från leverantörer, säkerhetsrevisioner och dokumentation för att minska risker som sprids via tredjepartsleverantörer.
Vi behöver policyer, riskbedömningar, handlingsplaner, incidentloggar, förändrings- och åtkomstloggar samt bevis på genomförda tester och utbildningar. Tydlig dokumentation underlättar vid både proaktiv och reaktiv tillsyn.
Myndigheter kan besluta om sanktionsavgifter, ledningsförbud och krav på åtgärder. Avgifterna kan bli betydande, och brister i styrning eller upprepade incidenter ökar risken för strängare åtgärder från tillsynsmyndigheten.
Vi inför regelbundna tabletop-övningar, tekniska incidenttester och lärdomscykler som dokumenteras och återkopplas i vår handlingsplan. Det skapar kontinuerlig förbättring och förbättrar beredskapen inför verkliga incidenter.
Små företag kan påverkas indirekt som leverantörer till väsentliga aktörer. Vi bör därför förvänta oss krav i avtal och behöva visa grundläggande säkerhet, incidentrapportering och dokumentation för att behålla affärer.
Vi rekommenderar tydliga roller: incidentansvarig, tekniska respondenteam, juridisk rådgivare och kommunikationsansvarig. Samarbete med CSIRT/CERT och tydliga eskaleringsvägar förbättrar både snabbhet och kvalitet i rapporteringen.
