Vi hjälper organisationer och företag att omvandla nya krav till tydliga och praktiska åtgärder. EU:s nya ramverk kräver att risker i nätverk och information hanteras med proportionella insatser.
Vi börjar med en enkel nulägesbild. Vi kartlägger vilken information och vilka system som är mest affärskritiska. Därefter prioriterar vi leverantörsrelationer med störst risk för organisationen.
Våra tjänster täcker strategi, styrning och operativt genomförande. Vi arbetar praktiskt med kontrakt, tekniska kontroller och övervakning för att uppfylla nis2-direktivet.
Målet är tydligt: minimera driftstörningar, underlätta rapportering och ge ledningen begriplig uppföljning. Vi levererar bevisbar dokumentation och implementerar åtgärder som fungerar i er vardag.
Nyckelpunkter
- Vi omsätter regler till praktiska åtgärder för bättre cybersäkerhet.
- Start med nulägesbild för information, system och leverantörer.
- Tjänsterna täcker strategi, styrning och operativt genomförande.
- Fokus på riskbaserade prioriteringar och kostnadseffektiva kontroller.
- Vi underlättar rapportering och bevisbar efterlevnad mot nis2-direktivet.
Varför NIS2 förändrar spelplanen för leverantörskedjans security
Ett uppdaterat ramverk förändrar hur organisationer måste hantera sina leverantörsrelationer. Vi ser tydligt att reglerna inte längre bara gäller kärnsystemet utan hela kedjan av tjänsteleverantörer.
Från NIS till NIS2: skärpta krav och bredare tillämpningsområde
nis2-direktivet ersätter det tidigare nis-direktivet från 2018 och utvidgar tillämpningen till fler sektorer. Det betyder att även områden som livsmedelsproduktion och avfallshantering nu omfattas.
Detta ökar kraven på inköp, avtal och tekniska kontroller. Vi hjälper er tolka vad kraven innebär i praktiken för IT, juridik och drift.
Ökade sanktioner och tillsyn i Sverige: vad det betyder för er verksamhet
MSB får en samordnande roll och flera sektorsvisa myndigheter skärper tillsynen. Införandet i svensk rätt sker genom en ny cybersäkerhetslag under 2025.
Högre sanktionsavgifter och skarpare uppföljning skapar kraft i genomförandet och kräver dokumenterad styrning.
- Vi visar vilka sektorer som omfattas och hur ansvar kedjas mellan större och mindre aktörer.
- Vi pekar ut snabba, riskreducerande åtgärder som minskar exponering mot avancerade cyberattacker.
- Vi beskriver vad myndigheter förväntar sig under kontrollperioder och hur ni prioriterar resurser.
| Aspekt | Vad ändras | Vad vi levererar |
|---|---|---|
| Sektorer | Fler sektorer omfattas | Analys vilka sektorer omfattas och prioritering |
| Tillsyn | MSB + sektorsmyndigheter | Kontaktstöd och dokumentationspaket för myndighetsgranskning |
| Sanktionsnivå | Högre böter vid brister | Åtgärdsplaner för att möta kraven och minska risk |
NIS2 leverantörskedja: kärnkraven vi hjälper er att uppfylla
Artikel 21 stakar ut minimikraven för säkerhet i relationer med leverantörer och tjänsteleverantörer. Vi tolkar bestämmelserna så att ni kan vidta lämpliga tekniska och organisatoriska åtgärder utan onödig byråkrati.
Entiteter måste bedöma sårbarheter hos varje leverantör och värdera kvaliteten och resiliensen i deras produkter och tjänster. Vi inför due diligence-kriterier som täcker sårbarheter, integritet och driftsäkerhet.
Hur vi operationaliserar kraven
- Praktiska kontroller: Vi visar hur ni vidtar lämpliga åtgärder i relationer med leverantörer och kritiska tjänsteleverantörer.
- Avtal och revision: Inkluderar säker utveckling, rapporteringsplikt vid incidenter, rätt till insyn och tydliga påföljder.
- Uppföljning och riskhantering: Mätetal, thresholds och eskalering som minskar risken snabbt och mätbart.
- Differentiering: Kontroller anpassas efter åtkomstnivå, affärskritikalitet och teknisk sårbarhetsbild.
Vi introducerar leverantörsprofiler som väger in historik, tredjepartsattestationer och teknisk bevisning såsom SBOM och pentestresultat. För att läsa mer om regelverket, se det här är nis2-direktivet.
Speciell uppmärksamhet på MSSP: Leverantörer av hanterade säkerhetstjänster kräver förhöjd noggrannhet i logghantering, incidentrespons och segmentering.
Sammanfattningsvis operationaliserar vi kraven så att ni kan möta direktivet, minska sårbarheter och prioritera åtgärder där risken är högst.
Vem omfattas: väsentliga och viktiga entiteter samt kaskadeffekten i sektorerna
Vi kartlägger vilka aktörer som klassas som väsentliga eller viktiga för att tydliggöra ansvar, tidslinjer och rapporteringsplikt.
Skillnaden påverkar hur omfattningen ser ut för olika organisationer. Stora energibolag eller vårdgivare får ofta strängare krav än mindre leverantörer.
Sektorer som omfattas: från energi och hälsa till digital infrastruktur och avfallshantering
Flera sektorer omfattas: energi, transport, finans, hälsa, dricks- och avloppsvatten, digital infrastruktur samt avfallshantering.
Vi förklarar vad detta betyder i svensk kontext och visar konkreta exempel för både stora företag och små leverantörer.
Kaskadeffekten: större aktörer förväntar sig kontroll från sina leverantörer och ställer krav nedåt i kedjan.
- Vi klargör om ni klassas som väsentliga eller viktiga och vad det innebär praktiskt.
- Vi kartlägger vilka organisationer och företag som driver krav nedströms och skapar svarsmallar.
- Vi definierar sector-to-control mappings för prioritering och effektiv implementering.
- Vi visar rimliga baslinjekrav för SME så att efterlevnad inte blir oproportionerlig.
| Aspekt | Väsentliga | Viktiga |
|---|---|---|
| Rapportering | Snabbare tidslinjer, mer detaljer | Längre tid för åtgärd, förenklad rapport |
| Påverkan på leverantörer | Direkta krav och revisioner | Rekommendationer och nivåanpassning |
| Exempel på sektorer | Energi, hälsa, digital infrastruktur | Livsmedel, avfallshantering, post |
Ledningens ansvar och styrning: från policy till mätbar efterlevnad
För att uppnå mätbar efterlevnad krävs tydligt ledarskap och klara ansvarsroller. Vi hjälper er att omsätta regulatoriska krav till praktiska styrmekanismer i organisationen.
Utbildning av styrelse och ledning enligt direktivet
Vi definierar konkreta roller för styrelse och ledning enligt nis2-direktivet så att styrningen blir verifierbar och spårbar.
Vi översätter krav till beslutsunderlag: riskaptit, policyramverk, mål och KPI:er som styr verksamheten. Våra utbildningar fokuserar på riskhantering, incidentbeslut, kommunikation och uppföljning.
- Design av utbildningsprogram för ledningen med tydliga scenarier.
- Etablering av governance-artefakter: policyer, mandat och kommittéer.
- Beslutsflöden som aktiveras vid förändrad risk eller nya sårbarheter.
- Rapporteringspaket för styrelse och revision med evidens och åtgärdsplaner.
Vi knyter åtgärder till affärsmål och myndigheters förväntningar för att säkerställa att företaget kan agera snabbt och korrekt när risken förändras.
Resultatet blir en styrmodell som leder till mätbar efterlevnad, förbättrad riskhantering och tydligare ansvar i hela verksamheten.
Riskanalys och säkerhetsåtgärder för hela leveranskedjan
Vi bygger en process som ständigt värderar risker i nätverk, infrastruktur och leverantörsrelationer. Målet är att göra riskhantering praktisk och mätbar för er organisation.
Riskhantering som kontinuerlig process i nätverk och informationssystem
Vi etablerar en kontinuerlig riskhanteringsprocess som kopplar nätverk, system och externa beroenden till tydliga risknivåer. Detta gör att vi snabbt kan prioritera åtgärder när nya sårbarheter uppdagas.
Tekniska och organisatoriska åtgärder: åtkomstkontroll, kryptering och revisioner
Vi hjälper er att vidta lämpliga säkerhetsåtgärder som är proportionella mot affärs- och regelkrav. Exempelvis inför vi segmentering, kryptering och åtkomstkontroll för kritisk infrastruktur.
- Integrera leverantörsrisk i sårbarhets- och patchhantering för att undvika blinda fläckar.
- Automatisera kontroller och införa rollbaserade godkännanden för ökad kraft i säkerhetsprogrammet.
- Definiera miniminivåer per kategori och koppla dem till scenariotester och revisionscykler.
- Stöd med hotmodeller som beaktar aktuella sårbarhetstrender och tredjepartsangreppsvägar.
Resultatet: en samordnad balans mellan teknik, process och kompetens som gör att organisationer kan minska risk och förbättra cybersäkerhet över tid.
Hantera leverantörsrelaterade incidenter och rapportering inom 24 timmar
När en leverantörsincident inträffar krävs ett tydligt flöde för snabba beslut. Vi bygger processteg som ger första rapport till ansvariga myndigheter inom 24 timmar och löpande uppföljning därefter.
Incidentflöde och rapportering till myndigheter enligt nis2-direktivet
Vi designar ett end-to-end incidentflöde som uppfyller kraven på första rapport inom 24 timmar. Rapporten innehåller antal berörda användare, orsak, varaktighet, drabbat geografiskt område och åtgärder.
- Vi definierar vilka leverantörsrelaterade incidenter som är rapporteringspliktiga och hur påverkan på tjänster bedöms.
- Vi skapar en standardiserad rapporteringsmall för snabb och konsekvent information.
- Vi tränar team i beslutsfattande under tidspress och samverkan med myndigheter, kunder och leverantörer.
- Vi säkerställer bevisbevarande och tydlig kommunikation mellan SOC, juridik, PR och ledning.
Vårt fokus: att undvika fördröjningar som kan leda till sanktioner i euro och miljoner euro genom att koppla rapporteringskrav till avtal.
Vi inför runbooks för vanliga leverantörsscenarier och organiserar tabletop-övningar som förkortar upptäckt- och åtgärdstid.
| Steg | Aktivitet | Resultat |
|---|---|---|
| Upptäckt | Automatiserad detektion och initial bedömning | Snabb klassificering av påverkan på tjänster |
| Initial rapport | Första rapport till myndigheter inom 24 timmar | Förebygger sanktioner och ger tidig insyn |
| Uppföljning | Detaljerad rapport med användarpåverkan och åtgärder | Underlag för beslut och kommunikation |
| Lessons learned | Post-incident review och kontraktsjusteringar | Förbättrade processer och avtalssäkerhet |
Vår tjänsteportfölj: från due diligence till kontinuerlig övervakning
Vi erbjuder en helhetslösning som förvandlar due diligence till löpande riskkontroll. Våra tjänster kopplar avtal, teknik och övervakning så att ni kan agera snabbt och proportionerligt.
Supplier due diligence och klassificering
Vi graderar leverantörer efter påverkan, åtkomsträttigheter, sårbarhetsbild och produkter. Resultatet blir en tydlig prioriteringslista för åtgärder och resurser.
SLA och avtalskrav
Vi formulerar klausuler som kräver säker utveckling, incidentrapportering, revision och teknisk insyn. Det minskar osäkerhet och gör ansvar mätbart.
Plattform och kontinuerlig övervakning
Vår TPRM-plattform automatiserar frågeformulär, bevisinsamling och riskpoäng. Den triggar kontroller vid förändrad säkerhetsstatus och följer upp åtgärder.
MSSP-granskning
Vi genomför särskilda granskningar av hanterade säkerhetstjänster. Fokus ligger på loggtelemetri, isolering, åtkomst och kontinuitet.
- Mallstöd för kravställning och revision, anpassat till företag och organisationer.
- Råd om rimliga kostnader och investeringar för att undvika böter i euro.
- Kompatibilitet med nis-direktivet och kompletterande standarder utan onödiga hinder.
| Tjänst | Mål | Leverabler | Nytta |
|---|---|---|---|
| Due diligence | Prioritera risk | Graderingsmodell, rapport | Fokus på kritiska leverantörer |
| Avtal & SLA | Reglerad respons | Klausuler, mallar | Minimerad juridisk exponering |
| TPRM-plattform | Automatisera uppföljning | Dashboard, varningar | Snabbare beslutsstöd |
| MSSP-granskning | Djup teknisk kontroll | Revisionsrapport, åtgärdslista | Ökad driftssäkerhet |
Integrering med ramverk och svensk kontext
Att koppla befintliga ledningssystem till nya regelkrav minskar dubbelarbete och snabbar på efterlevnad.
ISO 27001 som grund för implementering
Vi mappar ISO 27001-krav till nis2-direktivet och visar hur ni återanvänder kontroller för att möta nya krav utan att starta om från början.
Det gör det enklare att koppla processer till rapporteringskrav och att visa bevis vid revision.
MSB:s roll, föreskrifter och kommande cybersäkerhetslag
MSB har tagit fram vägledningar och har samordningsansvar gentemot EU. En statlig utredning (SOU 2024:18) och en lagrådsremiss i juni 2025 förbereder en proposition hösten 2025.
Direktivet medför fler sektorsvisa tillsynsmyndigheter och högre sanktionsavgifter.
- Roller: Vi tydliggör ansvar mellan MSB och andra myndigheter.
- Tidslinje: Vi ger en svensk plan för att undvika dyra omtag när föreskrifter publiceras.
- Samarbete: Genom samarbete med branschaktörer minskar ni dubbelarbete och harmoniserar krav.
| Aspekt | Svensk tidslinje | Vad vi levererar |
|---|---|---|
| Regelverk | Lagförslag höst 2025 | Gap-analys och åtgärdsplan |
| Ekonomi | Budgetförberedelser nu | Beräkning av miljoner i möjliga sanktionskostnader |
| Motangrepp | Löpande | Processer som hanterar cyberattacker och stärker cybersäkerhet |
Sektorspecifik anpassning: praktikfall och prioriteringar
Vi visar hur sektorspecifika krav översätts till praktiska åtgärder för olika typer av verksamheter.
För väsentliga och viktiga aktörer gör vi tydliga praktikfall som visar hur prioriteringar skiljer sig mellan sektorer. Ett energibolag har andra krav än ett företag inom avfallshantering.
Digital infrastruktur kräver fokus på tillgänglighet, redundans och snabb återställning. Vi specificerar tekniska kontroller och driftprocedurer för att möta dessa krav.
Inom avfallshantering läggs tyngd vid spårbarhet, fysiska flöden och OT/IT-konvergens. Det påverkar val av produkter och hur vi testar kontrollernas effektivitet.
Praktiskt samarbete mellan inköp, CISO, juridik och leverantörer gör kravinförande snabbare och mer konsekvent.
- Vi hjälper företag att välja rätt produkter och kontroller utifrån verksamheten.
- Vi tar hänsyn till leverantörer som påverkas av nis2-direktivet även om de inte formellt omfattas.
- Vi definierar sektorspecifika miniminivåer, mätetal och testscenarier som kan visas vid tillsyn.
| Sektor | Prioritet | Nyckelåtgärd |
|---|---|---|
| Digital infrastruktur | Hög tillgänglighet | Redundans, segmentering, incident-DRP |
| Avfallshantering | Spårbarhet & OT-säkerhet | Fysisk accesskontroll, OT-segmentering, loggning |
| Företagstjänster (SME) | Kostnadseffektivitet | Riskbaserad kontrolllista och leverantörsprofil |
Roadmap till efterlevnad: från nulägesanalys till drift
Vi tar fram en praktisk färdplan som gör efterlevnad överblickbar och möjlig att genomföra i er organisation. Planen kopplar nulägesbedömning till konkreta aktiviteter, ansvar och tidplaner.
Nulägesbedömning, gap-analalys och riskprioritering
Vi genomför en snabb nulägesbedömning och en gap-analys mot gällande krav och kraven i direktivet.
Resultatet prioriteras efter affärspåverkan och regulatorisk risk så att ni vet vilka områden som kräver omedelbar insats.
Implementering, test och övning – inklusive rapporteringsrutiner
Vi hjälper er att implementera säkerhetsåtgärder i teknik och processer och integrerar dem i er infrastruktur.
Parallellt sätter vi upp testprogram och övningar samt tydliga rapporteringsrutiner för incidenter inom 24 timmar.
- Tidsplan: milstolpar, ansvar och beroenden för att vidta lämpliga åtgärder i rätt ordning.
- Budget: beräkning som visar hur ni undviker onödiga kostnader och sanktioner i euro och miljoner euro.
- Förändringsledning: vi säkrar kraft i implementeringen genom utbildning och kommunikation.
- Evidens: dokumentation färdig för tillsyn och kundgranskningar.
Resultat: en återkommande cykel för förbättring med mätetal som gör att verksamheten kan agera snabbt och kontrollerat.
Slutsats
För att skydda verksamheten krävs konkreta insatser som snabbt minskar exponering mot cyberattacker och ger mätbar effekt.
Vi hjälper väsentliga viktiga aktörer att gå från tolkning av direktivet till verifierbar efterlevnad. Våra tjänster täcker analys, implementering, test, övning och drift för både företag och offentlig verksamhet.
Genom att stärka organisationen med processer och kontroller skapar vi bestående kraft som minskar sanktions- och driftsrisk. Det sparar euro genom proaktiv planering och tydlig bevisföring.
Kontakta oss för en snabb förstudie. Vi tar fram en klar plan så ni kan börja skydda verksamheten omedelbart och förbättra er security.
FAQ
Vad innebär det nya direktivet för vår säkerhet i leveranskedjan?
Direktivet ställer krav på att vi bedömer och minskar risker kopplade till leverantörer och tjänsteleverantörer. Vi måste införa kontinuerlig riskhantering, kontraktskrav för cybersäkerhet och tekniska åtgärder som åtkomstkontroll, kryptering och loggning för att skydda vår verksamhet och kritisk infrastruktur.
Vilka organisationer omfattas av reglerna och påverkas av kaskadeffekten?
Reglerna omfattar väsentliga och viktiga entiteter inom sektorer som energi, hälsa, digital infrastruktur, avfallshantering och finansiella tjänster. Även underleverantörer kan bli påverkade genom krav från kunder och myndigheter, vilket skapar en kaskadeffekt i hela leverantörsnätverket.
Hur snabbt måste vi rapportera en cybersäkerhetsincident?
Vi måste etablera rutiner för snabb rapportering till relevanta myndigheter. I praktiken innebär det att initial information om allvarliga incidenter kommuniceras inom 24 timmar, följt av kompletterande rapporter och åtgärdsplaner.
Vilka tekniska och organisatoriska åtgärder förväntas av oss?
Vi behöver implementera åtkomstkontroller, kryptering, regelbundna säkerhetsrevisioner, patchhantering och kontinuerlig övervakning. Organisatoriskt krävs tydlig styrning, roller för incidenthantering, utbildning för ledning och anställda samt dokumenterade policyer.
Hur ska vi hantera leverantörsbedömningar och due diligence?
Vi bör införa en strukturerad leverantörsklassificering, genomföra säkerhetsgranskningar, kräva avtalade säkerhetskrav i SLA och följa upp med revisioner och kontinuerlig övervakning via en third-party risk management-plattform eller MSSP.
Vilka ekonomiska konsekvenser kan bristande efterlevnad få?
Myndighetstillsyn och ökade sanktioner innebär risk för stora böter, verksamhetsstörningar och förlorat förtroende. Kostnaderna kan uppgå till miljoner euro där driftstopp och juridiska krav snabbt ökar de ekonomiska konsekvenserna.
Hur integrerar vi regelverket med befintliga ramverk som ISO 27001?
Vi använder ISO 27001 som grund för styrning och implementering av säkerhetsåtgärder. Genom att mappa krav mot existerande policys, processer och kontroller kan vi snabbt täppa igen gap och dokumentera efterlevnad.
Vad förväntas av styrelsen och ledningen?
Styrelsen och ledningen måste visa tydligt ansvar för cybersäkerhet, få utbildning om regelverkets krav, fastställa strategier och säkra resurser för implementation samt följa upp mätbara mål och riskindikatorer.
Hur arbetar vi med incidentövningar och test av rapporteringsrutiner?
Vi planerar och genomför regelbundna övningar som simulerar leverantörsrelaterade incidenter, testar interna kommunikationsvägar och myndighetsrapportering. Efter varje övning görs en lärandegranskning och uppdatering av rutiner.
Vilken roll har myndigheter som MSB i detta sammanhang?
Myndigheter som MSB fastställer föreskrifter, ger vägledning och ansvarar för tillsyn. De kan också bidra med riktlinjer för incidentrapportering och samordning vid större cyberattacker mot digital infrastruktur.
Hur kan vi prioritera åtgärder i en roadmap till efterlevnad?
Vi startar med en nulägesbedömning och gap-analys följt av riskprioritering baserat på påverkan och sannolikhet. Därefter implementerar vi åtgärder i faser: tekniska kontroller, avtal och processer, utbildning och slutligen kontinuerlig övervakning och förbättring.
Vad ingår i en leverantörsavtalsmall för att säkra utveckling och leverans?
En robust avtalsmall inkluderar krav på säker utveckling, patchpolicy, incidentrapportering, revisionsrätt, dataskyddsklausuler, servicenivåer och sanktioner vid bristande efterlevnad samt krav på kontinuerlig säkerhetsövervakning.
Hur bedömer vi leverantörers produkter och sårbarheter?
Vi genomför tekniska tester, sårbarhetsskanningar och granskar leverantörens säkerhetspraxis, patchhistorik och tredje parts granskningar. Resultaten viktas mot vår riskprofil och avtalskrav för att besluta om åtgärder eller alternativa leverantörer.
Vilka sektorsspecifika prioriteringar bör vi tänka på?
Prioriteringarna varierar beroende på verksamhetens kritikalitet. Exempelvis kräver energi och digital infrastruktur striktare tillgänglighetsåtgärder medan vårdsektorn måste fokusera på dataskydd och kontinuerlig tillgång till system för patientvård.