Vi guidar företag och organisationer genom den nya lagen som ställer tydliga krav på ledningen och tekniska åtgärder. Vi kartlägger nuläget, prioriterar investeringar och skapar en tydlig ägarstruktur för att nå full efterlevnad.
Vår metod bygger på omfattningsanalys, riskbedömning och gapanalys mot de formella kraven. Därefter implementerar vi åtgärdsprogram, incidenthantering och backup‑rutiner som minskar driftstörningar.
Vi förankrar arbetet i ledningen och knyter cybersäkerhet till era affärsmål. Resultatet blir ökad motståndskraft, snabbare återställning och högre kundförtroende för de tjänster ni levererar.
Nyckelpunkter
- Vi strukturerar vägen från nuläge till full efterlevnad med mätbara delmål.
- Direktivet innebär strikta krav på ledningen och incidentrapportering.
- Vår plan kopplar affärsmål till riskreducering och operativ styrning.
- Dokumentation och uppföljning visar att ni uppfyller tillsynens krav.
- Stärkt cybersäkerhet ger minskade kostnader vid incidenter och bättre kundförtroende.
Översikt: från NIS2 till svensk cybersäkerhetslag – vad som gäller framåt
Sverige inför från 15 januari 2026 nya regler som skärper dokumentation och incidenthantering. Cybersäkerhetslagen förvandlar direktivet till nationell rätt och höjer standarden för både teknik och styrning.
Lagändringen utvidgar till 18 sektorer och påverkar hur vi identifierar väsentliga och viktiga enheter. Vi hjälper er att förstå vilka sektorer och enheter som omfattas och hur tillsynsnivån förändras.
Ledningen får tydligare ansvar med krav på utbildning och risk för ledningsförbud vid allvarliga brister. Sanktionsnivåerna kan bli betydande; böter upp till 2 % av global omsättning eller 10 000 000 euro är möjliga.
- Rapportering: varning inom 24 timmar, anmälan inom 72 timmar, slutrapport inom en månad.
- Vi förklarar praktiska effekter av kraven och ger tidiga milstolpar inför 2026.
- Synergier med andra regelverk minskar dubbelarbete och förbättrar spårbarhet.
NIS2 efterlevnadsplan: börja med omfattning, krav och målbild
Vi inleder alltid med en avgränsning av verksamheten för att identifiera relevanta sektorer och enheter. Det ger en tydlig bild av om och hur reglerna träffar er.
Vi kartlägger verksamhet mot bilagornas sektorer och bedömer om ni är väsentlig eller viktig aktör. Detta avgör vilka krav på dokumentation och tillsyn som gäller för er organisation.
Små företag omfattas sällan direkt. Men många påverkas via leveranskedjan. Vi visar hur ni som kund ställer proportionerliga krav på leverantörer och hanterar påverkan i leveranskedjan.
Praktisk målbild
Vi formulerar en målbild som balanserar regelefterlevnad, kostnad och kontinuitet i era tjänster. Vi kopplar mål till mätbara indikatorer för tillgänglighet, integritet och robusthet.
- Vi fastställer om ni omfattas av kraven och dokumenterar antaganden.
- Vi analyserar risker för era tjänster och föreslår relevanta kontroller.
- Vi ger riktlinjer för hur små leverantörer påverkas och vilka krav som är proportionerliga.
Ledningens ansvar och styrning: sätt ramen för cybersäkerheten
Att skapa en tydlig styrmodell börjar med att ledningen tar ägarskap för risker och resurser. Vi hjälper er formulera mandat och beslutsvägar så att ansvar blir tydligt i praktiken.
Ansvar, utbildning och sanktioner: vad ledningen måste göra
Ledningen måste genomgå relevant utbildning i säkerhet och beslutsfattande. Det minskar risken för felbedömningar och gör att styret kan svara i en tillsynsdialog.
”Ledningen ska godkänna åtgärder, säkra resurser och kunna stå till svars vid allvarliga brister.”
Styrning i praktiken: resurser, policyer och uppföljning som håller vid revisioner
Vi tar fram en policystruktur som täcker policyer för risk, incident, leverantörer och åtkomst. Dokumentationen kopplas direkt till kraven så att den blir verifierbar vid revision.
- Styrmodell där ledningen fastställer riskaptit och äger efterlevnad.
- Rapporteringskedja med KPI:er och regelbundna riskrapporter.
- Definition av second- och third-line kontroller för robust intern styrning.
Riskbedömning, gapanalys och handlingsplan som driver åtgärder
Vi börjar med att kartlägga vilka tillgångar som är avgörande för verksamhetens drift. Detta innefattar data, processer, system, människor och platser.
Identifiera kritiska tillgångar
Vi inventerar kritiska processer och informationssystem för att skapa en heltäckande bas för riskbedömningar. Därefter klassificerar vi data efter affärspåverkan.
Riskbedömning och prioritering
Vi genomför både kvantitativa och kvalitativa riskbedömningar. Vi väger sannolikhet mot konsekvens och prioriterar risken utifrån affärseffekt.
Gapanalys mot kraven
Vi kartlägger befintliga kontroller och identifierar sårbarheter i system och informationssystem. Varje brist kopplas till en ägare och tidslinje.
Handlingsplan och ambitionsnivå
Handlingsplanen innehåller spårbara milstolpar, budget och acceptanskriterier. Vi upprättar en uppdateringscykel för att revidera riskbedömningar vid nya hot.
| Steg | Vad vi gör | Utdata | Ansvar |
|---|---|---|---|
| Inventering | Kartlägga data, processer, system | Lista över kritiska tillgångar | IT & verksamhetsägare |
| Riskbedömning | Kvantitativ & kvalitativ analys | Prioriterad risklista | Riskteam |
| Gapanalys | Jämföra mot krav och kontroller | Bristsrapport med ägare | Compliance |
| Handlingsplan | Milstolpar, budget, backlog | Genomförandeplan | Projektägare |
- Vi prioriterar åtgärder baserat på riskhantering och affärspåverkan.
- Se gärna mer om kraven för bakgrund och vägledning.
Integrera NIS2 med befintlig efterlevnad: ISO 27001, CIS, GDPR och DORA
Många organisationer har redan delar på plats; vi binder ihop dem för en enhetlig styrning.
Vi kartlägger befintliga processer för att hitta överlapp mellan incidenthantering och datahantering. Det minskar dubbelarbete och gör rapportering enklare.
Identifiera överlapp: gemensam incidenthantering och datahanteringspraxis
Vi harmoniserar flöden så att incidentrapportering uppfyller både GDPR och nis-direktivet.
Utnyttja etablerade system: ISO 27001 som ryggrad
ISO 27001 fungerar som ramverk för styrning och kontroller. Vi använder standarder som ryggrad och lägger in praktiska kopplingar till andra regelverk.
Lägg till saknade kontroller: leverantörsstyrning, revisioner och utbildning
Vi täpper igen luckor genom leverantörspraxis, regelbundna revisioner och målstyrd utbildning.
- Gemensam kontrollkatalog med spårbarhet mellan lagkrav och interna kontroller.
- Synk av dokumentation och bevis för effektiv efterlevnad.
- En styr- och rapporteringsmodell som visar hur kraven uppfylls i praktiken.
Tekniska och organisatoriska säkerhetsåtgärder som uppfyller kraven
Vi bygger säkerhet i både teknik och processer så att ledningen kan visa verifierbar efterlevnad. Våra lösningar balanserar riskreducering och operativ hanterbarhet.
Kryptering och PKI
Kryptering skyddar data i vila och i rörelse. Vi inför PKI och certifikathantering för att säkra kommunikationer och validera identiteter.
Det inkluderar automatiserad nyckelrotation och dokumentation som visar att kryptering är implementerad i kritiska system.
Stark autentisering och åtkomst
Vi använder MFA och RBAC för att begränsa åtkomst till tjänster och system. Lösenordspolicyer kombineras med övervakning och regelbunden revision.
Säkerhet i leveranskedjan
Vi ställer krav på leverantörer och gör due diligence vid onboarding. Löpande övervakning fångar förändringar som kan skapa sårbarheter.
Kontinuitet och kris
Backupstrategier och testade återställningsrutiner säkrar tillgänglighet. Vi genomför övningar så att återställning av tjänster fungerar i praktiken.
- Vi inför sårbarhetshantering och säker utveckling.
- Vi mäter effektiviteten i åtgärder med kontrolltester och spårbar rapportering.
Incidenthantering och rapportering: 24 timmar, 72 timmar och slutrapport
När en incident inträffar krävs ett strukturerat flöde för att begränsa skada och informera berörda. Vi etablerar klara trösklar för varning inom 24 timmar, formell anmälan inom 72 timmar och en slutrapport inom en månad.
Rapporteringsflöde
Vid betydande incidenter skickas en initial varning inom 24 timmar med en bedömning av omfattning och preliminära indikatorer.
Inom 72 timmar lämnar vi en fullständig incidentanmälan med allvarlighetsgrad, konsekvenser och tekniska indikatorer på angrepp.
Slutrapporten innehåller orsaksanalys, åtgärder och förbättringsförslag.
Roller och processer
Vi definierar ansvar och kontaktvägar mot CSIRT/CERT‑SE samt mot interna och externa intressenter.
Vi tar fram playbooks och policyer som styr triage, eskalering och kundinformation.
Praktik och förbättring
Tabletop‑övningar tränar beslutsfattande under tidspress och avslutas med *lessons learned* som leder till uppdaterade processer.
Vi mäter återställningstid och konsekvensminskning och rapporterar regelbundet till ledningen.
- Vi bygger end‑to‑end incidenthantering med tydliga tidsflöden.
- Rapportering innehåller indikatorer, åtgärder och kundkommunikation vid påverkan.
- Incidenthanteringen kopplas till kontinuitets- och krisplaner för koordinerad respons.
Tillsyn, revisioner och dokumentation: visa efterlevnad när det gäller
Revisioner och dokumentation är de verktyg som visar att era processer håller måttet inför tillsyn. Vi hjälper er förbereda material och rutiner så att inspektioner blir ordnade och hanterbara.
Proaktiv vs reaktiv tillsyn
Tillsynsmyndigheten arbetar proaktivt mot väsentliga enheter och mer reaktivt mot viktiga enheter. Vi kartlägger vilken kategori era enheter tillhör och anpassar kontrollplaner därefter.
Säkerhetsrevisioner och skanningar
Myndigheten kan begära tillträde, kräva uppgifter eller genomföra riktade säkerhetsrevisioner. Vi förbereder tekniska svar och minskar driftstörningar vid skanningar av kritiska tjänster.
Dokumentation som bevis
En tydlig evidenskatalog gör efterlevnadspåståenden verifierbara. Vi organiserar policyer, riskbedömningar, kontroller, loggar och incidentrapporter så att svarstid blir kort.
Konsekvenser vid brister
Brister kan leda till förelägganden, vite och sanktionsavgifter eller till och med ledningsrättsliga åtgärder. Vi hjälper organisationer att minimera risken genom regelbundna revisioner och årlig internkontroll.
- Vi förklarar tillsynsprocessen för olika enheter och hur ni förbereder er för revisioner.
- Vi strukturerar dokumentation så att kraven kan bevisas snabbt vid begäran.
- Vi bygger audit readiness in i ordinarie styrning för att säkra långsiktig efterlevnad.
Slutsats
Prioriterade åtgärder, tydliga ansvar och kontinuerliga revisioner skapar en robust grund för säkerheten i era tjänster. Vi hjälper företag att omsätta standarder till konkreta säkerhetsåtgärder som skyddar system och nätverks‑informationssystem.
Ledningen måste få rätt utbildning och mandat så att riskbedömningar leder till effektiva insatser. Vi binder ihop incidenter, leverantörer och revisioner i en helhet som minskar risker och förbättrar återhämtning.
Starta nu: etablera programstyrning, tidplan, ansvar och mätetal. Det gör att ni möter kraven i nis2-direktivet i tid och höjer cybersäkerheten långsiktigt.
FAQ
Vad innebär det att vi omfattas av det nya direktivet och den svenska lagen från 15 januari 2026?
Vi måste bedöma om vår verksamhet klassas som väsentlig eller viktig enligt bilaga I–II. Om så är fallet behöver vi införa styrning, tekniska och organisatoriska åtgärder, kontinuerlig riskhantering samt rapportera incidenter enligt de tidsramar som anges i lagen. Det innebär också ökade krav på ledningens ansvar och dokumentation inför tillsyn.
Hur börjar vi arbetet för att skapa en efterlevnadsplan som passar vår organisation?
Vi börjar med att definiera omfattning och målbild: kartlägga system, tjänster och leveranskedja, identifiera kritiska tillgångar och mål för kontinuitet. Därefter gör vi en riskbedömning och gapanalys mot kraven för att ta fram en handlingsplan med tydliga milstolpar och ansvarsroller.
Vilket ansvar har ledningen och vad förväntas i styrningen?
Ledningen ska säkerställa resurser, utse ansvar, besluta policyer och följa upp åtgärder. Vi måste också genomföra regelbunden utbildning, rapportera till styrelse eller ledningsgrupp samt förbereda oss för revisioner och eventuella sanktioner vid brister.
Hur ofta ska riskbedömningar och gapanalyser uppdateras?
Vi rekommenderar att genomföra formella riskbedömningar årligen och efter större förändringar i system eller leveranskedja. Gapanalyser bör uppdateras i takt med att nya krav eller tekniska förändringar uppstår för att handlingsplanen ska vara aktuell.
Hur kopplar vi kraven till befintliga ramverk som ISO 27001 och GDPR?
Vi identifierar överlappande kontroller, såsom incidenthantering, åtkomststyrning och dokumentation, och använder ISO 27001 som grund för processer. För dataskydd ska vi säkerställa att personuppgiftsbehandling följer GDPR. Saknade kontroller, som leverantörsstyrning och särskilda revisionskrav, lägger vi till i vår styrmodell.
Vilka tekniska åtgärder är viktigast för att uppfylla kraven?
Vi prioriterar kryptering i vila och vid överföring, stark autentisering (MFA), rollbaserad åtkomstkontroll (RBAC), säker hantering av certifikat och kontinuerlig sårbarhetsskanning. Backup, återställning och testade beredskapsplaner är också centrala.
Hur ser kraven ut för incidentrapportering och tidsfrister?
Vi behöver varna nationell myndighet inom 24 timmar vid allvarliga incidenter, lämna en mer detaljerad anmälan inom 72 timmar och en slutrapport inom en månad. Dessa tidsramar kräver klara interna processer och roller för snabb detektion och rapportering.
Vad bör vi göra för att säkerställa leverantörskedjan uppfyller kraven?
Vi inför krav i avtal, genomför leverantörsbedömningar och kontinuerlig övervakning. Vi ställer krav på incidentrapportering från leverantörer, säkerhetsrevisioner och dokumentation för att minska risker som sprids via tredjepartsleverantörer.
Vilken dokumentation måste vi ha redo inför tillsyn och revisioner?
Vi behöver policyer, riskbedömningar, handlingsplaner, incidentloggar, förändrings- och åtkomstloggar samt bevis på genomförda tester och utbildningar. Tydlig dokumentation underlättar vid både proaktiv och reaktiv tillsyn.
Vilka sanktioner kan vi möta om vi inte uppfyller kraven?
Myndigheter kan besluta om sanktionsavgifter, ledningsförbud och krav på åtgärder. Avgifterna kan bli betydande, och brister i styrning eller upprepade incidenter ökar risken för strängare åtgärder från tillsynsmyndigheten.
Hur integrerar vi övningar och efterlevnad i vår dagliga praxis?
Vi inför regelbundna tabletop-övningar, tekniska incidenttester och lärdomscykler som dokumenteras och återkopplas i vår handlingsplan. Det skapar kontinuerlig förbättring och förbättrar beredskapen inför verkliga incidenter.
Hur påverkar regelverket små företag som inte är direkt träffade?
Små företag kan påverkas indirekt som leverantörer till väsentliga aktörer. Vi bör därför förvänta oss krav i avtal och behöva visa grundläggande säkerhet, incidentrapportering och dokumentation för att behålla affärer.
Vilka roller bör vi ha internt för att klara rapportering och incidenthantering?
Vi rekommenderar tydliga roller: incidentansvarig, tekniska respondenteam, juridisk rådgivare och kommunikationsansvarig. Samarbete med CSIRT/CERT och tydliga eskaleringsvägar förbättrar både snabbhet och kvalitet i rapporteringen.