augusti 12, 2025|1:46 e m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi guidar er från krav till verklig beredskap. Det uppdaterade nis2-direktivet utökar ansvar och sektorer, och i Sverige väntar en ny cybersäkerhetslag 2025. Vi hjälper er att omsätta krav till praktiska åtgärder som skyddar er verksamhet och era tjänster.
Vårt fokus är att snabbt upptäcka, agera och återhämta er efter incidenter. Vi arbetar tillsammans med ledning och drift för att skapa tydliga roller, rapporteringsflöden och rutiner som minskar påverkan på företag och kunder.
Praktisk hjälp och efterlevnad: vi kartlägger risker, prioriterar åtgärder och övar scenarier så att ni kan möta 72‑timmarsrapportering och andra krav. Har ni frågor om implementation eller vill lägga upp en plan, så kan vi ge konkret stöd — läs mer om hur vi hjälper er.
Vi förklarar hur det uppdaterade regelverket förändrar ansvar och beredskap för svenska organisationer.
Direktivets mål är att skapa en jämn nivå av informations- och cybersäkerhet i hela EU. I Sverige väntas en ny cybersäkerhetslag 2025, efter en utredning som pågick under 2024.
Vilka omfattas? I korthet berörs företag och myndigheter med fler än 49 anställda eller över 10 miljoner euro i omsättning eller balansomslutning. Många sektorer omfattas, från energi och transporter till digital infrastruktur och offentlig förvaltning.
Direktivet delar upp verksamheter i väsentliga och viktiga sektorer. Väsentliga får proaktiv tillsyn, viktiga får reaktiv.
| Sektor | Exempel på verksamheter | Tillsyn | Påföljder |
|---|---|---|---|
| Energi | Elproducenter, nätoperatörer | Proaktiv | Höga belopp kopplade till global omsättning |
| Digital infrastruktur | Datacenter, molntjänster, DNS | Proaktiv | Ekonomiska sanktioner i miljoner vid bristande efterlevnad |
| Offentlig förvaltning | Stat, region, kommun | Omfattande rapportering | Administrativa åtgärder och krav på förbättring |
Vi hjälper er att bedöma om ni omfattas direktivet och vilka krav som måste prioriteras för affärskontinuitet och efterlevnad. För mer bakgrund, läs mer om det här nis2-direktivet.
Praktisk styrning av risker och incidenter börjar med enkla, upprepade processer som fungerar i verkligheten.
Systematisk riskhantering innebär regelbundna riskbedömningar där sårbarheter identifieras, analyseras och dokumenteras. Vi kopplar riskägare till beslut och prioriterar åtgärder med tydliga tidsfrister.
Säkerhetsåtgärder innefattar härdning, patchhantering, behörighetsstyrning, loggning, övervakning och backup. Dessa tekniska och organisatoriska insatser minskar risken för driftstopp i kritiska tjänster.
Vi kräver avtal, segmentering och spårbarhet för tredjepartsarbete. Åtkomster och ändringar ska loggas och revideras regelbundet.
En komplett process täcker upptäckt, triage, eskalering och åtgärd. Vi säkerställer att alla incidenter kan rapporteras till tillsynsmyndighet inom 72 timmar med fakta om påverkan och plan för åtgärder.
”Regelbunden övning och tydliga roller gör efterlevnad till en del av verksamheten.”
Vi specificerar praktiska prioriteringar för olika sektorer så ni vet var insatser ger störst effekt. Nedan anges konkreta exempel för energi, digital infrastruktur och avfallshantering samt förvaltning.
Vi fokuserar på OT-säkerhet nära produktion och styrsystem. Segmentering, redundans och reservrutiner minskar risk för längre driftstopp.
Åtgärder: övningar med driftteam, snabb rotorsaksanalys och kontrollerad patchning hos leverantörer.
Datacenter och molntjänster kräver kapacitetshantering, nätverkssegmentering och tydliga rapporteringsflöden.
Åtgärder: stark identitets- och åtkomsthantering, loggning, versionshantering och SLA för kundpåverkan.
Vi kartlägger kritiska tjänster, beroenden och manuella reservrutiner. Styrdokument och ansvarsfördelning ökar transparensen.
| Sektor | Prioritet | Konkreta åtgärder |
|---|---|---|
| Energi (el, gas) | OT-säkerhet, redundans | Segmentering, reservrutiner, leverantörskontroller |
| Digital infrastruktur | Kapacitet, rapportering | Nätsegment, IAM, loggning och SLA |
| Avfall & förvaltning | Resiliens, styrning | Backuptester, beslutsvägar, dokumentation |
Över alla sektorer formaliserar vi leverantörsstyrning, testar återställningsförmåga och mäter responstid för att visa förbättrad cybersäkerhet. Vill ni läs mer om implementation stödjer vi ert företag och er verksamhet genom hela processen.
För företag och myndigheter blir efterlevnad en affärskritisk fråga när nis2-direktivet ställer nya krav på styrning, rapportering och leveranskedjesäkerhet. Fler sektorer och offentlig förvaltning omfattas, vilket ökar trycket på tydliga rutiner i verksamheten.
Vi rekommenderar konkreta steg: gör en gap-analys mot direktivet, prioritera riskhantering och säkerhetsåtgärder samt definiera roller i organisationen. Säkerställ att incidenter kan rapporteras till tillsynsmyndighet inom utsatt tid och att beroenden till leverantörer kartläggs.
Vi stödjer er med ramverk som ISO 27001 och NIST CSF, praktiska åtgärder för produktion/OT, backup och återställning samt övningar. Kontakta oss för en snabb inventering och en roadmap som skyddar företagets tjänster och produkter under störningar.
Det nya direktivet kräver att vi inför systematisk riskhantering och stärkt cybersäkerhet för att säkra kritiska tjänster. Vi måste kartlägga sårbarheter, införa tekniska och organisatoriska skyddsåtgärder samt säkerställa kontinuitet i verksamheten. Tillsynen skärps och brister kan leda till betydande påföljder.
Offentliga myndigheter och företag inom sektorer som energi, digital infrastruktur och avfallshantering omfattas beroende på verksamhetens kritikalitet och omsättning. Tröskelvärden baseras på storlek, tjänsternas betydelse och påverkan vid störningar. Vi rekommenderar att ni gör en tidig analys för att avgöra om ni omfattas.
Väsentliga sektorer omfattas av striktare krav och hårdare tillsyn medan viktiga sektorer har något mer flexibla regler. För väsentliga aktörer gäller ofta högre rapporteringskrav och tätare uppföljning från tillsynsmyndigheter. Vi hjälper er att avgöra kategori och anpassa åtgärder utifrån det.
Bristande efterlevnad kan leda till sanktioner som i vissa fall sträcker sig till flera miljoner kronor, beroende på överträdelsens omfattning och konsekvenser. Utöver böter riskerar vi driftstörningar, förlorat förtroende och kostnader för incidentåtgärder.
Vi skapar ett gemensamt ramverk genom riskanalyser, tydliga styrprinciper, incidentplaner och kontinuitetsplaner som korskopplas med tekniska skydd. Rollfördelning och ledningsstöd är avgörande för att säkerställa snabba beslut och återställning vid incidenter.
Riskbedömningar bör vara regelbundna, minst årliga, och vid betydande förändringar i verksamheten eller leverantörskedjan. Vi dokumenterar identifierade sårbarheter, åtgärder och ansvar för att visa efterlevnad och underlätta förbättring.
Vi inför nätsegmentering, åtkomstkontroller, patchhantering, säkerhetsövervakning samt incidentprocesser och utbildning för personalen. Organisationellt handlar det om ledningsstyrning, roller, leverantörskontroll och kontinuitetsplaner.
Vi kartlägger leverantörer, ställer säkerhetskrav i avtal, genomför leverantörsbedömningar och begränsar åtkomst där det behövs. Kontinuerlig övervakning och revisionsmöjligheter i avtal stärker vår ställning.
Vi etablerar en process för upptäckt, initial bedömning, prioritering, eskalering och åtgärd, inklusive återställning och lärande. Roller, kommunikationskanaler och beslutsvägar måste vara tydliga för snabb och effektiv hantering.
Rapporten ska ange incidentens art, påverkan, åtgärder som vidtagits och plan för vidare hantering. Vi dokumenterar tidpunkter, påverkade tjänster och kommunikation för att uppfylla kraven och möjliggöra uppföljning.
Tydligt ledningsansvar, säkerhetschef eller motsvarande och utsedda incidentansvariga behövs. Vi kräver beslutsgångar, resurser och kontinuerlig utbildning för att säkerställa ansvarstagande och snabb respons.
Vi rekommenderar regelbundna övningar minst årligen, samt efter större förändringar. Övningar kombineras med mätetal för att följa utveckling och skapa kontinuerlig förbättring baserat på konkreta resultat.
ISO 27001 och NIST Cybersecurity Framework är praktiska stöd för struktur, riskanalys och åtgärder. Vi anpassar dessa ramverk till er verksamhet för att uppfylla krav och förenkla revision.
Vi prioriterar robusta OT-säkerhetslösningar, segmentering mellan IT och OT, snabba återställningsrutiner och särskilda incidentövningar för driftkritiska processer. Samarbete med leverantörer och tillsyn är centralt.
Vi säkerställer redundans, övervakning och tydliga SLA:er, samt rutiner för snabb rapportering till tillsyn och kunder. Dokumentation av påverkan och åtgärder är avgörande för transparens.
Fokus ligger på resiliens i leverans av tjänster, styrning på ledningsnivå, kontinuitetsplaner och säker hantering av digitala system. Vi måste också säkerställa att leverantörskedjan är robust.
