Vi guidar er genom nya krav på cybersäkerhet och tydlig incidenthantering när cybersäkerhetslagen införs i Sverige 2025.
Vårt team förklarar varför regelverket påverkar både företag, organisationer och offentlig förvaltning. Vi visar vilka sektorer som omfattas och hur ni kommer att behöva arbeta med riskhantering och efterlevnad.
Vi går igenom skillnaden mellan en vanlig incident och en betydande incident. Korrekt klassning är avgörande för tillsyn och för att undvika sanktioner som kan kopplas till global omsättning.
Våra tjänster inkluderar gap-analys, styrdokument, processer och praktisk rådgivning. Vi stödjer er steg för steg från initial bedömning till implementering och löpande förbättringar.
Vill ni veta mer om direktivets bakgrund och nationell implementering kan ni läs mer hos MSB. Vi hjälper både små och stora aktörer att avgöra om de omfattas nis2 och hur ni bäst förbereder er.
Viktiga punkter att ta med
- Cybersäkerhetslagen väntas träda i kraft 2025 — börja förbereda er nu.
- Korrekt klassning av incidenter påverkar tillsyn och möjliga sanktioner.
- Vi erbjuder tjänster för gap-analys, styrdokument och praktisk implementering.
- Direktivet berör fler sektorer och ökar krav på ledningens ansvar.
- Vi arbetar steg för steg för att kombinera efterlevnad med verksamhetsnytta.
Vad NIS2 innebär för rapportering av incidenter i Sverige
I detta avsnitt klargör vi när en cybersäkerhetshändelse övergår från lokal störning till betydande incident. Vi förklarar kort vad som räknas som en incident enligt nis2-direktivet och hur ni bedömer påverkan på tjänst, ekonomi och tredje man.
Definition och praktisk bedömning
En incident drabbar tillgänglighet, riktighet, autenticitet eller konfidentialitet i nätverks- och informationssystem. Endast händelser som kan orsaka allvarlig driftstörning eller betydande ekonomisk skada ska anmälas som betydande incident.
Tidslinjer och flerstegsförfarande
Rapportering sker i tre steg: varning inom 24 timmar, incidentanmälan inom 72 timmar och en slutrapport inom en månad. Vi beskriver hur våra tjänster stödjer er i att samla rätt data inom varje tidsfönster.
- Sektorsvis lärande: flerstegsmodellen gör att hela sektorer och digital infrastruktur kan dra nytta av detaljerade slutrapporter.
- Praktiska frågor: påverkan, sannolik orsak och tidiga åtgärder bör vara klara tidigt för att underlätta anmälan till myndigheter.
Cybersäkerhetslagen väntas träda kraft 2025. Vi hjälper företag och organisationer att förbereda processer och erbjuder rådgivare inom cyber security. Vill ni läs mer om detaljerna hjälper vi gärna vidare.
NIS2 rapportering i praktiken: omfattning, sektorer, tillsyn och sanktioner
Vi ser att fler företag och offentlig förvaltning kommer att omfattas, särskilt organisationer med fler än 49 anställda eller över 10 miljoner euro i omsättning balansomslutning. Detta inkluderar de flesta statliga myndigheter, regioner och kommuner.
Vilka aktörer och tröskelvärden gäller
Företag och organisationer som når tröskelvärdena måste införliva nya system för incidentklassning. Vi hjälper till med bedömning och gap-analys.
Väsentliga och viktiga sektorer
Exempel på sektorer är energi (el, kraft, gas, vätgas), transport, hälsa, dricksvatten, digital infrastruktur, tillverkning, avfallshantering och digitala leverantörer.
Rapporteringsflöde, övergångsregler och mottagare
I Sverige ska verksamhetsutövare använda IRON för att notifiera MSB och CERT-SE. Nuvarande tidslinjer kräver snabb initial rapportering, följt av mer detaljer inom veckor. Genomförandeförordningen från 7 november 2024 preciserar vad som är en betydande incident under övergången.
Tillsyn, sanktioner och vårt stöd
Tillsyn kan vara proaktiv för väsentliga sektorer och reaktiv för viktiga sektorer. Sanktioner kan kopplas till global omsättning och uppgå till miljoner euro.
Vi erbjuder tjänster för att etablera system för snabb datainsamling, klassning och dokumentation. Våra rådgivare skräddarsyr kontroller efter sektorsspecifika riskbilder och ser till att era rapporter uppfyller myndigheternas krav på efterlevnad och säkerhet.
Förberedelser inför kraven: våra steg, rådgivning och tjänster
Vi hjälper er att förbereda organisationen praktiskt inför skärpta krav på cybersäkerhet och incidenthantering. Först bedömer vi om ni omfattas nis2 utifrån antal anställda, omsättning balansomslutning och om ni verkar inom berörda sektorer eller offentlig förvaltning.
Bedöm om ni omfattas och gör en gap-analys
Vi genomför en strukturerad gap-analys mot nis2-direktivet för företag och verksamhetsutövare. Resultatet blir en prioriterad plan med tydliga åtgärder för efterlevnad.
Etablera processer och system
Vi sätter upp roller för riskhantering, övervakning och incidenthantering. Sedan bygger och testar vi system som säkerställer att nödvändig information kan samlas in och delas inom 24–72 timmar.
Juridisk rådgivning och efterlevnad
Våra experter erbjuder juridisk rådgivning och stöd med policyer, rapporteringsrutiner och bevisbar efterlevnad mot tillsyn. Vi kopplar kontroller till ekonomiska risker i euro och miljoner euro och förbereder er för revisioner och övningar.
- Sektorsanpassade lösningar för energi, gas, vätgas, kraft och avfallshantering.
- Träning av team så att kraven blir en del av det dagliga jobbet.
Slutsats
Som avslutning sammanfattar vi hur införandet av nis2-direktivet påverkar era processer och ansvar.
Direktivet höjer ribban och ställer tydliga krav på organisationer i både privat och offentlig sektor. Rätt förberedelser minskar risk för brister vid tillsyn och stärker motståndskraft i energi, infrastruktur och andra kritiska områden.
Vi erbjuder juridisk rådgivning och praktiskt stöd för att omsätta kraven i arbetsflöden som håller vid granskning. Kartlägg gap, prioritera åtgärder, testa incidentprocesser och utbilda nyckelroller.
Kontakta oss för att dela upp jobb, resurser och investeringar. Tillsammans gör vi er redo inför lagens ikraftträdande och dialog med myndigheter.
FAQ
Vad innebär rapportering av cyberincidenter för företag och myndigheter i Sverige?
Vi förklarar att företag och offentliga aktörer måste rapportera allvarliga säkerhetsincidenter till ansvariga myndigheter, följa fastställda tidslinjer och dokumentera påverkan. Processen syftar till att minska spridning, skydda digital infrastruktur och ge lärdomar sektorsvis. Vi hjälper er kartlägga skyldigheter och etablera rutiner för snabb anmälan.
Hur definieras en incident respektive en betydande incident?
En incident är varje händelse som påverkar konfidentialitet, integritet eller tillgänglighet i system. En betydande incident innebär stor påverkan på kritiska tjänster, stora ekonomiska följder eller omfattande personlig skada. Vi stödjer er i att ta fram kriterier och tröskelvärden för bedömning.
Vilka tidsfrister gäller för varning, anmälan och slutrapport?
Reglerna kräver flera steg: tidig varning vid hög risk för spridning, formell incidentanmälan inom angiven tid och en slutrapport med lärdomar. Vi hjälper till att bygga processer som uppfyller tidskraven och säkerställer korrekt informationsinhämtning och kommunikation.
Vilka organisationer omfattas och hur bedöms tröskelvärden?
Både privata företag och offentliga verksamheter kan omfattas beroende på sektor, omsättning, balansräkning och kritikalitet. Vissa verksamheter klassas som väsentliga eller viktiga. Vi genomför analyser för att avgöra om ni omfattas och vilka tröskelvärden som gäller.
Vilka sektorer betraktas som väsentliga eller viktiga?
Exempel på sektorer är energi (inklusive gas, vätgas och kraft), transport, hälso- och sjukvård, vattenförsörjning, avfallshantering och digital infrastruktur. Dessa sektorer har särskilda krav på robusthet och rapportering. Vi erbjuder sektorsspecialiserad rådgivning.
Till vilka myndigheter ska incidenter rapporteras och hur fungerar mottagningsflödet?
Incidenter går vanligtvis till nationella säkerhetsmyndigheter och CERT-enheter, som MSB och CERT-SE, med stöd av verktyg för informationsinsamling och koordinering. Vi hjälper er att integrera rapporteringskanaler och träna kontaktpunkter för snabb leverans.
Vilka övergångsregler gäller under 2024–2025 och vad betyder det för vår planering?
Under övergångsperioder införs genomförandeförordningar och definitioner för betydande incidenter uppdateras. Vi rekommenderar att ni använder perioden för att uppgradera system, implementera processer och genomföra utbildningar så att ni står redo när nya regler träder i kraft.
Hur ser tillsynen och möjliga sanktioner ut vid bristande efterlevnad?
Myndigheter kan genomföra både reaktiv och proaktiv tillsyn, förelägga förbättringar och utdöma betydande böter, ofta upp till flera miljoner euro beroende på överträdelsens omfattning. Vi hjälper er upprätta efterlevnadsprogram och dokumentation som minskar risk för sanktionsåtgärder.
Vilka praktiska steg rekommenderar ni för att förbereda oss?
Vi föreslår att ni först kartlägger om ni omfattas och genomför en gap-analys mot regelkrav. Därefter etablerar ni riskhantering, övervakning, incidenthantering och regelbundna övningar. Vi levererar rådgivning, tekniska lösningar och utbildning som snabbare höjer er beredskap.
Behöver vi juridisk rådgivning och hur kan den se ut?
Ja. Juridisk rådgivning hjälper er definiera ansvar, uppdatera policys, utforma rapporteringsrutiner och tolka nationella lagar i samband med direktivets krav. Vi samarbetar med jurister för att erbjuda praktisk och sektoranpassad vägledning.
Vilken roll spelar digital infrastruktur och molntjänster i efterlevnaden?
Digital infrastruktur och molnleverantörer utgör kritiska delar av ekosystemet. Säkerhetskrav och leverantörsstyrning måste integreras i avtalsvillkor och tekniska kontroller. Vi hjälper er granska avtal, leverantörsrelationer och implementera säkerhetskrav i leveranskedjan.
Hur kan vi mäta och dokumentera incidenters påverkan för rapporteringsändamål?
Vi rekommenderar mallar för påverkanbedömning som fångar driftstörningar, ekonomisk påverkan, antal drabbade användare och effekter på samhällstjänster. Tydlig dokumentation underlättar rapporter och tillsynsgranskningar. Vi levererar färdiga mallar och tränar era team i användning.