Vi beskriver varför en NIS2 risk assessment är mer än en checklista. Vi arbetar för att stärka er mot dagens hot och morgondagens emerging threats med en helhetssyn på compliance och security.
Direktivet ställer krav på en proaktiv cybersäkerhetskultur och tydlig sikt i leveranskedjan. Vi förklarar hur article 21–22 påverkar er organisation, från policies och measures till praktisk governance och management.
Vi visar hur vår metod kombinerar tekniska och icke-tekniska faktorer, hanterar beroenden i supply chain och minskar single points of failure. Vårt fokus är proportionell säkerhetsnivå, mätbara åtgärder och löpande compliance-kontroller.
Viktiga punkter
- Praktisk väg från initiala assessments till konkreta åtgärdsplaner.
- Proportionalitet enligt directive som anpassas till er storlek och exposures.
- Stärkt cyberresiliens för nätverk, molntjänster och leverantörer.
- Mätbar compliance som minskar driftsstörningar och kostnader.
- Fokus på både tekniska sårbarheter och systemiska leveransstörningar.
Vad är NIS2 och varför riskbedömning nu?
En förändrad hotbild och nya regler tvingar fram snabbare prioriteringar i cybersäkerheten.
Direktivet antogs i november 2022, publicerades i december och gällde från januari 2023. Svenska verksamheter i scope har till 18 oktober 2024 för att uppfylla kraven. Vi uppmanar till snabb mobilisering av ledning, finansiering och governance.
Nuvarande hotbild och regulatoriskt läge i Sverige
Hotnivån har ökat globalt med fler attacker mot kritisk infrastruktur. Fjärrarbete och phishing har ökat sårbarheter i både nätverk och OT/IT-miljöer.
Direktivet ska harmonisera resiliens och ge bättre gemensam lägesbild i EU. Member states anpassar tillsyn och sanktioner, vilket höjer kraven på vår compliance och security.
Påverkan på essentiella och viktiga verksamheter
Organisationer som omfattas får fler process- och kontrollkrav, skarpare incidentrapportering och högre bevisbörda för efterlevnad.
Supply chain framstår som en avgörande vektor. Kedjeberoenden kräver samlad hantering för att minska vulnerabilities och operativa störningar.
| Area | Beskrivning | Påverkan | Tidsfrist |
|---|---|---|---|
| Regelverk | Uppdaterad EU-directive för cybersäkerhet | Harmoniserad tillsyn | Gäller från 2023 |
| Operativ säkerhet | Ökade attacker via nätverk och fjärranslutningar | Fler kontroller och incidentrutiner | 18 okt 2024 |
| Leveranskedja | Kedjeberoenden och tredjepartsleverantörer | Krav på synlighet och leverantörsstyrning | Löpande |
NIS2 risk assessment – definition, scope och nytta
Här visar vi hur en strukturerad genomgång av tillgångar och leverantörskedjor skapar tydlighet i säkerhetsarbetet.
Riskposture och risklandskap i praktiken
Vi definierar vad en fullständig genomgång omfattar: identifiering av tillgångar, hot, sårbarheter och konsekvenser i hela verksamheten och i er supply chain. Detta inkluderar både tekniska och organisatoriska dimensioner.
Scope bestäms utifrån vilka tjänster, processer och leverantörsrelationer som omfattas av kraven. Vi säkerställer compliance över affärsenheter och geografier genom tydliga kriterier och styrdokument.
- Mätning av risk posture: initiala assessments, kontinuerlig uppföljning och rapportering.
- Åtgärder kopplade till affärsnytta: färre incidenter, snabbare återställning och bättre compliance.
- Leverantörsinformation: kvalitetssäkring av data från partners och integrering av supply-data för att spegla kedjens kritikalitet.
| Område | Vad vi gör | Nytta |
|---|---|---|
| Scope & krav | Kartläggning av tjänster och leverantörer | Klart ansvar och bättre styrning |
| Åtgärder | Tekniska och organisatoriska measures | Snabbare återhämtning |
| Uppföljning | KPI:er och kontinuerliga assessments | Minskat avbrott och ökad compliance |
Krav enligt NIS2: Artikel 21 och 22 i korthet
Här går vi igenom vilka säkerhetsåtgärder som krävs enligt artikel 21(2) och hur artikel 22 samordnar bedömningar för kritiska leveranskedjor på EU‑nivå.
Säkerhetsåtgärder enligt artikel 21(2)
Artikel 21 kräver tekniska, operativa och organisatoriska åtgärder som är proportionerliga och state‑of‑the‑art. Åtgärderna omfattar bland annat policyer för informationssäkerhet, incidenthantering och kontinuitetsplaner.
Ytterligare punkter är supply chain security, säker anskaffning och vulnerability handling. Vi betonar också betydelsen av utbildning, behörighetsstyrning, multifaktorautentisering och kryptering.
Koordinerade bedömningar av kritiska leveranskedjor
Artikel 22 organiserar koordinerade bedömningar på EU‑nivå via Cooperation Group. Dessa identifierar kritiska tjänster, system och produkter per sektor.
Bedömningarna ser både tekniska och icke‑tekniska faktorer, som leverantörsberoenden. Resultaten styr vilka motåtgärder och bästa praxis som rekommenderas.
Proportionalitet, standarder och medlemsstaternas roll
Proportionalitet innebär att åtgärder vägs mot verksamhetens storlek och konsekvens. Standarder och tekniska specifikationer fungerar som stöd för implementation.
Member states ska införa genomförandeakter, bland annat för moln, datacenter och tjänsteleverantörer, senast 17 oktober 2024. För mer detaljerad vägledning, se vår länk till MSB:s sammanställning.
| Område | Konkreta åtgärder | Operational nytta |
|---|---|---|
| Policyer & processer | Informationssäkerhet, incidentrutiner, utvärdering | Klart ansvar, snabbare incidenthantering |
| Supply chain | Leverantörsbedömningar, secure development, disclosure | Minskad exposure i kedjan |
| Tekniska measures | MFA, kryptering, kontinuerlig övervakning | Starkare skydd av system och networks |
Synlighet i leveranskedjan: bästa praxis för compliance
För att uppnå verklig efterlevnad måste vi ha fullständig synlighet i hela leveranskedjan. Detta ger oss förutsättningar att hitta beroenden och single points of failure snabbt.
Datadriven sikt i supply chain och tredjepartsrisk
Vi använder telemetri, SBOM och leverantörsdata för att kartlägga relationer och uppdateringsflöden. På så sätt identifierar vi vulnerabilities och security risk innan de blir incidenter.
Lärdomar av Kaspersky-fallet och icke-tekniska faktorer
Beslut kan drivas av icke‑tekniska faktorer. BIS bedömde kopplingar till statliga intressen och åtkomst till känslig data. Bitsight TRACE visade miljoner kontakter mot uppdateringsservrar globalt.
Detta visar att management måste ha realtidsalerting när förbjudna eller högriskprodukter används.
Kontinuerlig övervakning och åtgärdsplaner genom hela kedjan
- Datadriven prioritering: vi prioriterar efter kritikalitet i supply chains och föreslår segmentering eller alternativa leverantörer.
- Continuous monitoring: endpoints, nätverk och moln ger tidig varning throughout supply.
- Kontrakt & SLA: vi definierar krav för patch‑hantering och åtkomst till leverantörsdata för bättre management.
Sammanfattning: god sikt i chain och systematisk dokumentation stärker både compliance och operationell motståndskraft.
Steg-för-steg: från gap-analys till åtgärdade brister
Vi guidar er genom en praktisk arbetsgång för att stänga identifierade brister snabbt och metodiskt.
Starta med scope och gap‑kartläggning. Fastställ om ni är en essential eller important entity och gör en strukturerad gap assessment mot aktuella krav. Detta ger en prioriteringslista för compliance, finansiering och förändringsstyrning.
Fastställ scope och genomför gap assessment
Vi kartlägger tjänster, processer och leverantörer. Detta skapar tydlighet i ansvar och ger mätbara delmål.
Riskanalyser av nätverk och informationssystem
Vårt program använder en all‑hazards‑ansats med hotmodellering, sårbarhetsskanning och konsekvensanalys.
Det ger underlag för prioriterade measures och förankring i ledningen.
Åtgärdsprogram: BCDR, incidenthantering och rapportering
Vi prioriterar åtgärder i ett program som omfattar BCDR, tydliga incidentrutiner och reporting obligations.
Parallellt etablerar vi TPRM för supply chain, kontraktskrav och styrning av tredje‑ och fjärdepart.
| Steg | Aktivitet | Resultat |
|---|---|---|
| 1. Scope | Fastställ entitetstyp och kritiska tjänster | Klart ansvar, prioriteringsunderlag |
| 2. Gap & finans | Matcha mot requirements och säkra budget | Mätbara åtgärder och resurser |
| 3. Tekniska analyser | Hotmodellering, skanning, konsekvensanalys | Prioriterade technical measures |
| 4. Åtgärdsprogram | BCDR, incidenthantering, rapportering | Färdiga playbooks och SLA |
| 5. TPRM & governance | Kontrakt, leverantörsstyrning, roller | Robust supply‑styrning och beslutsvägar |
| 6. Iteration | Uppföljning, utbildning, kontinuerliga assessments | Verifierad efterlevnad och förbättrad security |
Styrning, ansvar och rapporteringsskyldigheter i Sverige
Ledningen bär huvudansvaret för att säkerställa att compliance och security är integrerade i verksamhetens beslut. Vi hjälper styrelse och högsta ledning att etablera tydliga mandat, godkännandeprocesser och uppföljning.
För essentiella enheter kan sanktioner uppgå till 10 miljoner euro eller 2 % av global omsättning. För viktiga enheter ligger gränsen vid 7 miljoner euro eller 1,4 % av omsättningen.
Ledningens ansvar, sanktioner och rapporteringsskyldighet
Vi beskriver hur ledningens övervakning ska fungera i praktiken. Detta innefattar policybeslut, accepterade nivåer för controls och regelbunden rapportering till styrelsen.
- Governance: roller, kommittéer och rapportvägar som kopplar säkerhet till affärsmål och myndighetskrav i member states.
- Sanktionstrappa: administrativa påföljder, tillfälliga förbud mot ledande personer och möjlighet till temporär avstängning av tjänster.
- Reporting obligations: vad, när och hur incidenter och betydande förändringar ska rapporteras samt hur dokumentation bör utformas.
Vi använder kontinuerliga assessments och kontroller för att bevisa efterlevnad och förbättra styrningen över tid. Det inkluderar krav mot supply chain och processer för spårbar evidens vid myndighetsdialog.
| Område | Vad vi levererar | Effekt för organisationen |
|---|---|---|
| Ledningsstyrning | Mandat, policyer, uppföljning | Snabbare beslut och tydligt ansvar |
| Sanktioner & åtgärder | Konsekvensanalys och handlingsplaner | Minskad juridisk och operativ exponering |
| Rapportering | Processer för incidentrapportering och dokumentation | Effektivare myndighetsdialog och spårbarhet |
| Kontinuerlig förbättring | Periodiska assessments och KPI:er | Verifierad efterlevnad över tid |
Mätetal, verktyg och kontinuerlig förbättring för NIS2-efterlevnad
Mätbara indikatorer och verktyg gör det möjligt att styra compliance och förbättra security löpande.
Vi definierar KPI:er och KRI:er som mäter mål såsom MTTD/MTTR, patch‑latens, utbildningsgrad och leverantörers uppföljningsgrad. Dessa nyckeltal kopplas till ledningens styrkort för tydligt ägarskap.
Vi rekommenderar automatiserad datainsamling från systems, loggkällor och leverantörsportaler. Det ökar transparensen och ger underlag för prioriteringar i management.
Kontrolltestning, internrevision och ledningsgenomgång visar att våra measures fungerar och möter kraven i directive. Rapporter visualiserar security risk och styr investeringsbeslut.
- Verktyg: attack surface management, sårbarhetsskanning, SBOM och tredjepartsanalys för bättre insikt i supply och supply chain.
- Metodik: Planera‑Göra‑Kontrollera‑Agera med tydliga beslutsgrindar och ansvar i varje steg.
- Operationalisering: koppla mätetal till upphandlingar och incitament för att driva beteendeförändring.
| Mått | Vad vi mäter | Nytta |
|---|---|---|
| MTTD / MTTR | Tid till upptäckt och åtgärd | Kortare driftstörningar |
| Patch‑latens | Tid från patchrelease till installation | Minskad sårbarhetsexponering |
| Training coverage | Andel personal med aktuella utbildningar | Färre misstag och snabbare incidenthantering |
| Leverantörsuppföljning | Compliance‑grad i leverantörsportaler | Starkare supply chain security |
Slutsats
Sammanfattningsvis, vi ser att ett framgångsrikt genomförande av nis2 directive kräver tydliga krav, praktisk styrning och kontinuerlig uppföljning.
Vi menar att nis2 compliance är en resa mot robust security där key nis2‑krav omsätts i vardagsbeslut. Synlighet i supply chains gör det möjligt att undvika högriskleverantörer och stärka chain security.
Kontinuerliga assessments och löpande riskhantering behövs för att möta emerging threats throughout supply. Dokumentation, mätetal och testade scenarier ger spårbarhet inför regulations och tillsyn.
Vi hjälper er att stänga gap, etablera processer och verktyg, och att gå från nuläge till verifierad compliance för trygg drift och minskad risk.
FAQ
Vad innebär en korrekt genomförd riskanalys för vår organisation?
En korrekt genomförd analys ger oss en tydlig bild av sårbarheter, hot och konsekvenser för våra nätverk och informationssystem. Vi kartlägger kritiska leverantörer, identifierar svaga länkar i leveranskedjan och prioriterar åtgärder utifrån påverkan och sannolikhet. På så sätt kan vi styra resurser mot de viktigaste skyddsåtgärderna och förbättra vår efterlevnad.
Hur avgör vi om vår verksamhet omfattas av direktivet och skyldigheterna i artikel 21 och 22?
Vi börjar med att fastställa om vi tillhandahåller samhällsviktiga eller viktiga tjänster inom områden som energi, transport, hälsa eller digital infrastruktur. Därefter jämför vi verksamhetens omfattning, antal användare och beroenden med tillämpliga nationella riktlinjer. Om vi är inom scope måste vi införa policyer, tekniska kontroller och rapporteringsrutiner enligt regelverket.
Vilka tekniska och organisatoriska åtgärder bör vi prioritera först?
Vi rekommenderar att börja med grundläggande cybersäkerhet: segmentering av nätverk, åtkomstkontroller, patchhantering och övervakning. Parallellt tar vi fram incidenthantering, backup- och återställningsplaner samt leverantörsgranskningar för att säkra tredjepartsberoenden. Åtgärderna ska vara proportionerliga och baserade på vår specifika verksamhetskritikalitet.
Hur hanterar vi leverantörs- och tredjepartsrisker i leveranskedjan?
Vi upprättar tydliga krav i avtal, genomför due diligence vid upphandlingar och löpande bedömer leverantörers säkerhetsnivå via kontroller och revisioner. Vi inför också kontinuerlig övervakning av leverantörers incidenter och säkerställer redundans där det behövs. Data-driven insikt och transparens i kedjan minskar överraskningar.
Hur ofta bör vi uppdatera våra analyser och åtgärdsprogram?
Vi rekommenderar minst årliga genomgångar eller tidigare vid större förändringar i system, tjänster eller hotbild. Kontinuerlig övervakning och regelbundna övningar säkerställer att åtgärdsprogram och återställningsplaner förblir effektiva och aktuella.
Vilka rapporteringskrav gäller vid incidenter och hur förbereder vi oss?
Vi måste ha rutiner för att snabbt upptäcka, eskalera och rapportera incidenter enligt nationella krav. Det innefattar intern rapportering till ledning, notifiering till nationella myndigheter inom angivna tidsramar och dokumentation av åtgärder. Vi övar dessa processer och ser till att kontaktvägar med leverantörer och myndigheter är etablerade.
Hur säkerställer vi proportionella kontroller utan att hämma verksamheten?
Vi skapar riskbaserade policies där skyddsnivån kopplas till affärskritikalitet. Genom att använda etablerade standarder och ramverk kan vi välja kostnadseffektiva tekniska lösningar och flexibla processer som minimerar driftstörning. Prioritering och tydlig styrning från ledningen hjälper oss hitta balans.
Vilka lärdomar kan vi dra från incidenter relaterade till leverantörer och hur påverkar det vår strategi?
Vi lär oss att icke-tekniska faktorer—som styrning, transparens och juridiska avtal—ofta avgör hur snabbt en incident hanteras. Vi inför starkare avtalsvillkor, förbättrar informationsdelning och skapar gemensamma spelregler med leverantörer för att minska konsekvenser vid incidenter.
Vilka mätetal och verktyg bör vi använda för att följa upp efterlevnad och förbättring?
Vi använder indikatorer som tid till upptäckt, tid till återställning, antal avvikande leverantörer och andel patchade system. Verktyg för sårbarhetsskanning, SIEM, kontinuerlig övervakning och leverantörsbedömningar ger oss datadriven insikt och underlag för förbättringar.
Hur involverar vi ledningen och definierar ansvar för cybersäkerhet och rapportering?
Vi förankrar ansvar i styrelse och ledning genom policyer och regelbunden rapportering. Vi definierar roller för informationssäkerhet, incidentchef och kontaktpersoner mot myndigheter. Ledningen får löpande beslutsunderlag så att prioriteringar och resurser kan fastställas effektivt.