NIS2 kritisk infrastruktur: Säkerhet och expertis hos oss

Vi hjälper företag och organisationer att möta de nya kraven när nis2-direktivet höjer ribban för informationssäkerhet och cybersäkerhet. Direktivet ersätter det tidigare nis-direktivet och ställer tydligare krav på riskanalyser, styrning och ledningens ansvar.

I Sverige pågår införandet av ny lagstiftning och MSB förbereder gemensamma föreskrifter. Vi översätter regelverket till praktiska policies, processer och tekniska lösningar som passar er verksamhet.

Våra tjänster stödjer er i att minska riskexponering, öka regelefterlevnad och stärka förtroendet hos kunder och tillsynsmyndigheter. Vi arbetar nära ledningen för att förankra ansvar och resurser i hela organisationen.

Nyckelinsikter

• Vi förklarar skillnaderna mellan det nya och tidigare direktivet.
• Praktisk omvandling av krav till policies och tekniska åtgärder.
• Stöd vid implementering av MSB:s kommande föreskrifter.
• Minskad risk och stärkt konkurrensfördel genom förbättrad säkerhet.
• Nära samarbete med ledning och operativa team för långsiktig efterlevnad.

NIS2 kritisk infrastruktur – vad det innebär nu

Införandet av ny cybersäkerhetslag innebär konkreta förändringar för företag och organisationer redan nu.

Från NIS till NIS2: utökat omfång, högre krav och tydligare tillsyn

Beslutet i december 2022 utvidgar vilka verksamheter som omfattas. Fler sektorer och leverantörsled inkluderas jämfört med det tidigare nis-direktivet.

Direktivet ställer skarpare krav på riskanalyser, tekniska och organisatoriska kontroller och ledningens ansvar. MSB samordnar nationellt medan sektorsvisa myndigheter utför tillsyn.

”Tidig anpassning minskar risken för sanktioner och spar tid vid incidenthantering.”

Tidsläget i Sverige: pågående arbete med cybersäkerhetslagen (present)

En statlig utredning (SOU 2024:18) ligger till grund. Regeringen lämnade en lagrådsremiss i juni 2025 och proposition väntas hösten 2025.

Vi hjälper er att tolka reglerna, göra gap-analyser och ta fram implementeringsplaner anpassade till de kommande föreskrifterna.

Aspekt	Vad förändras	Vad ni bör göra
Omfång	Fler sektorer och leveranskedjor	Kartlägg leverantörer och kritiska tjänster
Krav	Skärpt riskhantering och ledningsansvar	Genomför riskanalyser och styresrutiner
Tillsyn	Hårdare kontroll och högre sanktioner	Förbered rapportering och efterlevnad

Sektorer som omfattas av NIS2 och berörda verksamheter

Fler branscher och leverantörer omfattas nu, vilket kräver ökad beredskap i många verksamheter. Vi kartlägger vilka sektorer som påverkas och visar vad som förändras för offentliga aktörer och företag.

Offentlig förvaltning, digital infrastruktur och hanterade tjänster

De flesta statliga myndigheter, regioner och kommuner ingår när trösklar uppnås. Digital infrastruktur och tjänster som datacenter och molnleverantörer får förstärkt tillsyn.

Energi, transporter, vatten och avfallshantering

Energi, transporter och dricksvatten omfattas med fokus på driftssäkerhet. Avfallshantering kräver bättre övervakning för att säkerställa kontinuitet i leveranser.

Hälsa och sjukvård, läkemedel och medicintekniska produkter

Hälso- och sjukvård samt tillverkare av medicinteknik får skärpta krav. Incidenter i dessa sektorer kan ge allvarliga konsekvenser och kräver snabba rutiner.

Produktion och distribution: livsmedel, kemikalier och tillverkning

Produktion och distribution inom livsmedel, kemikalier och tillverkning inkluderas, även leverantörer i kedjan. Vi hjälper företag att avgöra om de omfattas och vilka åtgärder som behövs.

Väsentliga vs viktiga sektorer

Regelverket skiljer mellan väsentliga och viktiga sektorer. Det påverkar tillsynens intensitet och rapporteringskrav. Vi förtydligar skillnaden och hjälper er anpassa rutiner.

Sektor	Exempel på verksamheter	Primärt fokus
Offentlig förvaltning	Myndigheter, kommuner, regioner	Styrning och rapportering
Digital infrastruktur	Datacenter, molntjänster, nätoperatörer	Tillgänglighet och redundans
Energi & transporter	Elnät, flyg, järnväg	Driftsäkerhet och leverans
Hälsa & läkemedel	Sjukhus, läkemedelstillverkare	Patientsäkerhet och incidenthantering
Produktion & distribution	Livsmedel, kemikalier, tillverkning	Resiliens i leveranskedjan

Krav, säkerhetsåtgärder och hur ni ska rapportera incidenter

Att systematisera informationssäkerheten är avgörande för att möta nya krav och tillsyn. Verksamhetsutövare måste identifiera om de omfattas, anmäla sig och etablera ett ledningssystem för säkerhet.

Riskhantering och ledningens ansvar

Vi konkretiserar kraven på riskhantering och hur ledningen ska ta ett uttalat ansvar. Ledningen måste godkänna policyer, resurser och beslut för informationssäkerhet.

Vi rekommenderar regelbundna riskanalyser, ansvarsfördelning och utbildning som en del av styrningen.

Tekniska och organisatoriska säkerhetsåtgärder

Tekniska åtgärder inkluderar segmentering, övervakning och incidentdetektion. Organisatoriska åtgärder innebär rutiner, roller och övningar.

Genom att kombinera teknik och processer minskar ni risken för störningar i era tjänster och stärker cybersäkerheten.

Rapportera incidenter: tidslinjer och uppföljning

Vid allvarliga incidenter ska ni rapportera incidenter utan dröjsmål. Där det krävs lämnas en första rapport inom 24 timmar med relevant fakta.

Följ upp med analys, åtgärdslista och dokumentation som underlättar revision och lärande.

Tillsyn, regler och sanktionsnivåer

Tillsyn sker sektorsvis och föreskrifter preciserar vad som krävs. Sanktionsnivån har höjts, vilket ökar behovet av spårbarhet och efterlevnad.

Våra tjänster stödjer er med kravtolkning, rollfördelning, utbildning och rutiner för att leva upp till direktivet och undvika höga avgifter.

Vår metod och tjänster för efterlevnad av NIS2-direktivet

Vi omvandlar regelverk till praktiskt arbete som stärker era rutiner och minskar risk. Vår metod är stegvis och anpassad efter er mognadsnivå.

Bedöm om ni omfattas och genomför gap-analys

Vi börjar med att avgöra om er verksamhet omfattas utifrån sektor, storlek och erbjudna tjänster.

Därefter gör vi en strukturerad gap-analys mot kraven i direktivet. Resultatet visar exakt vilka luckor som behöver åtgärdas.

Utforma ramverk för cybersäkerhet och motståndskraft

Vi designar ett ramverk för informationssäkerhet som integrerar riskhantering, kontroller och mätning på rätt nivå.

Vi ser detta som en möjlighet att höja er motståndskraft oavsett nuvarande mognad, i linje med rekommendationer från branschen.

Implementera åtgärder och etablera övervakning och rapportering

Vi prioriterar åtgärder utifrån risk och regelefterlevnad och implementerar styrning, tekniska kontroller och utbildning.

Vidare etablerar vi övervakning, larm och rapporteringsrutiner så att ni snabbt kan upptäcka och hantera incidenter.

• Stegvis leverans: från initial analys till drift och förbättring.
• Förankring i ledning och verksamhet med klara roller och uppföljning.
• Dokumentation för tillsyn och stöd vid myndighetskontakter.

Leverantörer, distribution och försörjningskedjans säkerhet

Företag måste säkra att externa tjänster och leverantörer uppfyller nya säkerhetsstandarder.

Krav på leverantörer och hanterade säkerhetstjänster

Vi hjälper er skapa avtal som ställer minimikrav på säkerhet, loggning och patchning.

Avtal bör ange revisionstider, SLA och sanktioner vid avvikelser.

Vi visar hur leverantörers mognad bedöms och hur tredjepartsrisker kontrolleras i upphandlingar.

Produktion, distribution och kemikalier: hantera risker och nivå på skydd

För produktion distribution kemikalier krävs spårbarhet, åtkomstkontroll och kontinuitetsplaner.

Vi klassar produkter och tillverkning efter beroenden och skapar tekniska kontroller.

• Identitetshantering och isolering
• Patchning, loggning och återställning
• Kartläggning av beroenden för att undvika single points of failure

Område	Exempelkrav	Åtgärd
Leverantörer	Säkerhetsklausuler, revision	Uppföljning och årlig revision
Distribution	Spårbarhet, kontinuitet	SLA, redundansplaner
Produktion & kemikalier	Åtkomstkontroll, spårbarhet	Klassning, riskbedömning och tester

CER-direktivet: fysisk motståndskraft och kopplingen till NIS2

CER-direktivet stärker den fysiska resiliensen i samhällsviktiga tjänster och ställer nya krav på operativ beredskap. Direktivet antogs 14 december 2022 för att öka motståndskraften i viktiga leveranser.

Riskbedömning, åtgärder och bakgrundskontroller

Verksamheter måste göra strukturerade riskbedömningar och införa tekniska, säkerhetsmässiga och organisatoriska åtgärder. Bakgrundskontroller och dokumentation är ett centralt krav.

Vi hjälper er att skapa tydliga rutiner för bedömning, prioritering och uppföljning.

Identifiering, tillsyn och rapportering

Tillsynsmyndigheter identifierar utövare utifrån tre kriterier: samhällsviktig tjänst, svensk relevans och risk för betydande störning.

• Rapportera incidenter: första rapport inom 24 timmar till MSB.
• Sanktioner kan bli förelägganden, anmärkningar eller sanktionsavgifter för offentlig förvaltning.
• MSB kan ange föreskrifter om vad som utgör betydande störning.

Vi samordnar kraven från båda regelverken i en styrmodell som minskar dubbelarbete och klargör ansvar i förvaltning och drift.

Slutsats

Nu krävs ett helhetsgrepp över leverantörskedjor, produktion och digitala tjänster för att säkra verksamheten.

Decisions från december 2022 och pågående svensk process (SOU 2024:18, lagrådsremiss juni 2025, proposition hösten 2025) betyder att många företag och organisationer måste agera. Sektorer som sjukvård, avfallshantering, tillverkning och digital infrastruktur påverkas.

Kraven spänner över policy, teknik och processer. Det handlar om riskhantering, åtgärder, ledningsansvar och hur ni ska rapportera incidenter snabbt — CER kräver tidig rapportering.

Vi erbjuder tjänster som kartlägger om ni omfattas nis2, prioriterar åtgärder och implementerar hållbar säkerhet. Läs mer om hur vi hjälper er — kontakta oss för en snabb bedömning och läs mer om nästa steg.

FAQ

Vad innebär NIS2 för vår verksamhet nu?

Vi behöver förstå det utvidgade omfånget och de skärpta kraven som följer av det nya direktivet. Det innebär högre ansvarsnivåer för ledning, fler typer av tjänster och starkare tillsyn från myndigheter. Vi hjälper er kartlägga vilka delar av er verksamhet som omfattas och vilka åtgärder som krävs för att möta moderna säkerhetskrav.

Hur skiljer sig NIS2 från det tidigare direktivet?

Nya regler täcker fler aktörer, ställer högre krav på incidentrapportering och ställer tydligare krav på leverantörshantering. Vi genomför gap-analyser för att visa var era rutiner behöver förbättras och hur ni bäst prioriterar åtgärder.

Var står Sverige i arbetet med implementering?

Sverige arbetar aktivt med att anpassa lagstiftningen, bland annat via uppdateringar i cybersäkerhetslagen. Vi följer processen löpande och kan ge råd om hur ni anpassar era rutiner i väntan på slutlig nationell lagstiftning.

Vilka sektorer omfattas och vilka verksamheter berörs?

Reglerna berör bland annat offentlig förvaltning, digitala tjänster, energi, transporter, vatten, avfallshantering, vård, läkemedel, tillverkning, livsmedelsproduktion och distribution av kemikalier. Vi kan hjälpa er identifiera exakt om ni omfattas och vilka delar av er leverantörskedja som kräver särskild uppmärksamhet.

Hur påverkas offentlig förvaltning och digital infrastruktur?

Offentliga aktörer får stärkta krav på risktillsyn, driftssäkerhet och incidentrapportering. För digital infrastruktur handlar det om högre motståndskraft och kontinuitetsplaner. Vi erbjuder stöd i att bygga robusta rutiner och tekniska lösningar för att säkra drift.

Vad behöver energi- och transportsektorn göra annorlunda?

Dessa sektorer måste förbättra riskhantering, redundans och beredskap för störningar. Det innebär både tekniska investeringar och organisatoriska förändringar. Vi utformar handlingsplaner som balanserar kostnad och säkerhet.

Hur hanterar vårdsektorn och läkemedelsindustrin nya krav?

Vi ser krav på starkare skydd för patientdata, säkrare leveranskedjor och snabb incidentrapportering. Vi hjälper till med skydd av medicintekniska system, utbildning av personal och rutiner för spårbarhet i leveranser.

Vilka krav ställs på tillverkning och distribution av kemikalier?

Företag inom produktion och distribution måste genomföra riskbedömningar, säkra processkontroller och hantera leverantörsrisker. Vi stödjer implementering av tekniska skydd, beredskapsplaner och dokumentation för efterlevnad.

Vad innebär ledningens ansvar för riskhantering?

Ledningen måste aktivt styra informationssäkerhet, fastställa policyer och säkerställa resurser för efterlevnad. Vi erbjuder styrelser och chefer skräddarsydda rådgivningspaket för att integrera riskhantering i verksamhetsstyrningen.

Vilka tekniska och organisatoriska åtgärder rekommenderas?

Vi rekommenderar flerfaktorsautentisering, segmentering, kontinuerlig övervakning, backup och återställningsrutiner samt utbildning av personal. Organisatoriskt behövs roller, incidentplaner och leverantörsavtal som speglar risknivån.

Hur och när ska incidenter rapporteras?

Rapporteringskraven ställer tidslinjer för att anmäla allvarliga incidenter och detaljer om påverkan. Vi hjälper er utforma interna processer för snabb upptäckt, rapportskrivning och uppföljning mot ansvariga myndigheter.

Hur fungerar tillsyn och vilka sanktioner kan förekomma?

Myndigheter får större befogenheter att granska och vidta åtgärder vid brister, inklusive vite. Vi hjälper er förbereda dokumentation och processer för att visa efterlevnad och minska risken för sanktioner.

Hur går vi tillväga för att ta reda på om vi omfattas?

Vi inleder med en snabb kartläggning och omfattande gap-analys mot regelverket. Det ger ett tydligt beslutsunderlag för vilka åtgärder som krävs och i vilken ordning de bör genomföras.

Vad ingår i ett ramverk för cybersäkerhet och motståndskraft?

Ett ramverk innehåller policyer, roller, tekniska kontroller, incidenthantering och kontinuitetsplaner. Vi skräddarsyr ramverk som passar er verksamhets storlek och riskbild.

Hur implementerar vi åtgärder och säkerställer övervakning?

Vi genomför projekt för teknisk implementation, etablerar övervakningsprocesser och tränar personal i incidenthantering. Vi kan också leverera löpande övervakningstjänster och rapportera status till ledningen.

Vilka krav ställs på leverantörer och hanterade säkerhetstjänster?

Leverantörer måste uppfylla säkerhetskrav i avtal, visar riskbedömningar och kan behöva transparent rapportering. Vi hjälper till att utforma leverantörsavtal och kontrollprogram för att minska kedjerisker.

Hur hanterar vi risker i produktion och distribution?

Vi rekommenderar att ni kartlägger kritiska processer, inför tekniska skydd och beredskapsplaner samt testar återhämtning regelbundet. Det minskar sårbarhet i produktion och leveranskedjor.

Vad innebär CER-direktivet och hur hänger det ihop med NIS2?

CER riktar sig mot fysisk motståndskraft och kompletterar cybersäkerhetsregler genom att kräva riskbedömningar, bakgrundskontroller och fysiska skyddsåtgärder. Vi integrerar båda regelverken i era risk- och beredskapsplaner.

Hur genomförs riskbedömningar och bakgrundskontroller enligt CER?

Vi genomför systematiska riskbedömningar, identifierar kritiska funktioner och rekommenderar bakgrundskontroller för nyckelpersoner. Detta ökar verksamhetens fysiska och organisatoriska motståndskraft.

Hur rapporterar vi incidenter enligt CER och NIS2?

Både CER och cybersäkerhetsregler kräver snabb, tydlig rapportering med relevanta fakta och åtgärder. Vi tar fram mallar och övar rapportflöden för att säkerställa att ni levererar korrekt information i tid.

Vilka tjänster erbjuder vi för att uppnå efterlevnad?

Vi erbjuder kartläggning, gap-analyser, ramverksdesign, teknisk implementation, övervakning och kontinuerlig rådgivning. Vårt mål är att göra efterlevnad hanterbart och kostnadseffektivt för er organisation.

Hur lång tid tar ett efterlevnadsprojekt vanligtvis?

Tiden varierar med verksamhetens storlek och komplexitet; vissa insatser kan ge resultat på veckor medan full implementering kan ta flera månader. Vi levererar realistiska tidsplaner och prioriteringslistor för att skapa snabb nytta.

Vilka externa regelverk bör vi också beakta?

Förutom CER och cybersäkerhetslagen bör ni beakta GDPR, branschspecifika regler och internationella standarder som ISO 27001. Vi hjälper er att samordna kraven för effektiv styrning och kontroll.