NIS2 säkerhetsincident: Skydda din organisation med vår expertis

Vi hjälper verksamhetsutövare i Sverige att förstå hur den nya regleringen påverkar cybersäkerhet och dagligt arbete.

MSB samordnar nationellt och på EU-nivå, medan sektorsmyndigheter tar fram föreskrifter och utövar tillsyn. Vi förklarar vad detta betyder för er verksamhet och vilka krav som gäller.

Vårt fokus är praktiskt: vi visar hur verksamhetsutövare identifierar om de omfattas, bygger upp systematiskt informationssäkerhetsarbete och utbildar ledning och personal.

Vi pekar också på hur ni prioriterar åtgärder för att uppnå hög beredskap och hur rapportering till MSB ska hanteras. Regeringens lagrådsremiss (juni 2025) och EU:s förordning från november 2024 påverkar tidplan och krav.

Nyckelinsikter

• Vi guidar er stegvis så att säkerhet blir en del av ordinarie verksamhet.
• Ledningen får tydliga ansvar för risk, kontroll och uppföljning.
• Samla rätt information för att uppnå hög beredskap och beslutsförmåga.
• Återanvänd befintliga kontroller där det går för effektivt arbete.
• Vi visar praktiska prioriteringar som minskar konsekvenser vid incidenter.

Vad innebär NIS2 för säkerhetsincidenter i Sverige just nu

För svenska verksamheter betyder den nya ramen ökade krav på styrning, riskhantering och rapportering. Vi förklarar kort hur övergången ser ut och vad ni behöver förbereda.

Från NIS till NIS2 och kommande cybersäkerhetslagen (CSL)

EU beslutade om nis2-direktivet i december 2022. I Sverige har en statlig utredning (SOU 2024:18) lämnat förslag och regeringen presenterade en lagrådsremiss i juni 2025.

En proposition väntas hösten 2025 och en ny cybersäkerhetslag planeras att ersätta befintlig lag när den träder kraft. Läs mer i det här är nis2-direktivet.

Högre krav på ledning, åtgärder och sanktioner

Kort sagt så nis2 innebär att fler sektorer omfattas och att tillsynsmyndigheten får större roll. PTS föreslås ansvara för fem sektorer, bland annat digital infrastruktur och digitala leverantörer.

Regelverket nis2 ställer tydliga krav på ledningens deltagande och formell kontroll. Kraven påverkar styrdokument, riskbedömningar och återrapportering.

• Prioritera styrdokument och ansvarsfördelning i ledningen.
• Uppdatera riskhantering och kontrollaktiviteter för fler sektorer.
• Planera för övergången enligt SOU 2024:18 och lagrådsremissen.

NIS2 säkerhetsincident: definition, trösklar och påverkan

Vi förklarar vilka trösklar som avgör när en incident blir betydande för er verksamhet.

Vad är en «betydande» incident enligt direktivet

En betydande incident är en händelse som orsakat eller kan orsaka allvarlig driftsstörning för de erbjudna tjänsterna eller ekonomisk skada för verksamhetsutövaren. Den kan även påverka andra personer genom materiell eller immateriell skada.

Exempel på påverkan

Typiska effekter är driftsstopp och större störningar i leverans. Förseningar i tillhandahållandet av tjänster påverkar kundrelationer och avtal.

Ekonomisk förlust, varumärkesskada och konsekvenser för tredje part bör värderas i er riskbild.

Nätverks- och informationssystem: vad som omfattas

nätverks- informationssystem och närliggande informationssystem som stödjer drift och kommunikation omfattas. Vi hjälper er kartlägga beroenden och identifiera kritiska tillgångar.

• Definiera objektiva tröskelvärden för era tjänster.
• Dokumentera händelseförlopp, påverkade tillgångar och kontroller för att uppnå hög träffsäkerhet vid klassning.
• Använd indikatorer som svarstid, felränta och ekonomisk påverkan för bedömning.

Omfattas vi av lagen: sektorer, aktörer och verksamhetsutövare

Fler sektorer pekas ut och många organisationer måste nu bedöma om de ska omfattas av lagstiftningen. Vi hjälper er avgöra roll och ansvar när regelverket når fler branscher.

18 sektorer och bredare träffbild

Det finns nu 18 sektorer där verksamhetsutövare kan omfattas. Detta innebär att aktörer som tidigare låg utanför nu kan få nya krav.

MSB har ett nationellt samordningsansvar, samtidigt får varje sektor en eller flera tillsynsmyndigheter som kan utfärda föreskrifter.

PTS ansvar och e‑tjänsten för bedömning

PTS föreslås ha ansvar för fem sektorer, däribland digital infrastruktur och digitala leverantörer.

PTS har tagit fram e‑tjänsten ”Omfattas vi av CSL?” för att stödja er bedömning av omfattning, jurisdiktion och anmälningsväg.

• Vi visar hur ni avgör om ni är en verksamhetsutövare, med fokus på storlek, typ av tjänster och koppling till digitala tjänster.
• Vi guidar hur ni hittar rätt tillsynsmyndighet för er sektor och vad som gäller vid koncernstruktur.

Krav på verksamhetsutövaren: systematiskt informationssäkerhetsarbete och åtgärder

Verksamhetsutövaren måste skapa ett systematiskt ramverk för informationssäkerhet som täcker roller, processer och uppföljning. Vi hjälper er översätta regulatoriska krav till ett praktiskt ledningssystem med tydliga styrdokument.

Riskhanteringsåtgärder och ledningens ansvar

Ledningen bär formellt ansvar för riktlinjer och beslut. Vi beskriver hur ni inför mätbara mål, KPI:er och regelbundna övningar för att förankra säkerhet i daglig styrning.

Prioritera tekniska och organisatoriska åtgärder utifrån risk: identitets- och åtkomsthantering, sårbarhetshantering, kontinuitet, leverantörskontroller och övervakning.

Genomförandeakter för utpekade digitala leverantörer

EU-kommissionens genomförandeförordning som trädde i kraft 7 november 2024 har tagit fram specifika regler för leverantörer av DNS, moln, CDN, sociala nätverk och andra digitala tjänster.

• Vi knyter kontroller till affärskritiska tillgångar och beroenden.
• Vi mappar åtgärder mot ISO 27001 för att förenkla efterlevnad.
• Vi säkerställer att tidsfrister för incidentrapportering följs från det ögonblick verksamheten får kännedom.

Incidentrapportering i praktiken: rapportera incidenter till MSB

Praktisk incidentrapportering kräver tydliga tidpunkter, ansvar och mallar för att agera korrekt under press. Vi beskriver steg som gör att verksamhetsutövare snabbt kan avgöra när och hur rapportering sker.

När startar klockan och vilka tidsfrister gäller

Klockan börjar ticka när verksamhetsutövaren får kännedom om en incident. Det innebär första interna bekräftelsen, inte när full utredning är klar.

Dokumentera tidpunkt och vem som nåddes först. Det säkrar regelefterlevnad och visar att ni agerat inom angivna frister.

Var och hur vi rapporterar, och vad som ska ingå

Incidentrapportering ska ske till MSB. En rapport bör innehålla en kort beskrivning av incidenten, påverkan på tjänster och personer, vidtagna initiala åtgärder och planerade nästa steg.

Vi rekommenderar ett internt ”rapid reporting”-flöde med mallar och tydliga kontaktvägar till tillsynsmyndigheten för att minimera ledtider.

Flera länder och jurisdiktion: rapportering över gränser

För multinationella aktörer styrs rapporteringsplikt av var er huvudsakliga etableringsställe ligger, eller om ni tillhandahåller tjänster i andra länder. Vi hjälper er tolka dessa regler och undvika dubbla påföljder.

Dokumentera alltid er bedömning av betydande incidenter och rapportera proaktivt om osäkerhet råder. Det underlättar vidare utredning, forensik och kommunikation med berörda parter.

Tillsynsmyndigheten, lagstiftning och sanktioner: vad vi behöver veta

Myndigheternas roller bestämmer hur krav implementeras i olika sektorer och vilka påföljder som kan följa vid brister. Vi beskriver hur ramverk, nationell lagstiftning och sektorsvisa föreskrifter samverkar.

MSB:s samordningsroll och sektorsvisa föreskrifter

MSB har ett nationellt och EU-relaterat samordningsansvar och kan meddela gemensamma föreskrifter som stödjer en likformig tillämpning. Varje sektor får därefter en eller flera tillsynsmyndigheter som utfärdar sektorsspecifika krav och genomför tillsyn.

Vi rekommenderar att verksamhetsutövaren använder MSB:s vägledning och sektorsmyndigheters tolkningar för att anpassa interna styrdokument och bevisning inför granskningar.

Sanktioner vid bristande efterlevnad och dubbelbestraffning

Lagen skärper sanktionsnivåerna jämfört med tidigare regelverk. Det innebär högre avgifter för allvarliga överträdelser, särskilt för offentliga och kritiska aktörer.

Principen mot dubbelbestraffning gäller: samma överträdelse bör inte leda till två straff för samma rättsgrund. Vid flernationell verksamhet behöver ni dokumentera beslut om ansvar och koordinera dialog med relevanta myndigheter.

• Så förbereder ni er: samla bevis för riskbaserade beslut, planera åtgärdsprogram och håll regelbunden uppföljning.
• Verifiering: använd självutvärderingar, interna revisioner och oberoende granskningar för att minska sanktionsrisk.
• Vanliga brister: svag dokumentation, otydlig ansvarsfördelning och bristande leverantörsstyrning.

För en detaljerad vägledning om vilka verksamheter som omfattas och praktiska råd, se vår sida om omfattning och krav. Vi hjälper er att förbereda dokumentation och dialog med tillsynsmyndighet så att ni kan visa på kontinuerlig förbättring och regelefterlevnad.

CER-direktivet och NIS2: helhetssyn på motståndskraft och incidenter

CER‑direktivet kompletterar andra regelverk för att stärka samhällsresiliens i sektorer med hög kritikalitet. Vi ger en överblick över hur direktivet påverkar riskarbete, personalkrav och rapportering i praktiken.

Riskbedömning, åtgärder och incidentrapportering inom 24 timmar

Kritiska verksamhetsutövare måste göra regelbundna riskbedömningar och införa tekniska och organisatoriska åtgärder.

Incidenter som hotar tillhandahållandet ska utan dröjsmål rapporteras till MSB. En första rapport ska lämnas inom 24 timmar med grundläggande fakta om påverkan, berörda system och vidtagna åtgärder.

Kritiska verksamhetsutövare och krav på bakgrundskontroller

Tillsynsmyndigheter identifierar aktörer utifrån tre kriterier och kan föreskriva ytterligare krav. Kommuner och regioner som pekas ut omfattas också av lagen.

Bakgrundskontroller ska kopplas till befattningsanalys och omfatta nyckelpersoner för att skydda fortsatt drift. Vi hjälper er att strukturera kontrollen så att er verksamhet uppnår hög gemensam nivå utan dubbelarbete.

• Samla bevis för riskmetod och åtgärder inför tillsyn.
• Integrera incidentrapportering, kontinuitet och leverantörsstyrning i en styrmodell.
• Prioritera utbildning av nyckelpersoner för att skydda kritiska processer.

Slutsats

I korthet behöver verksamhetsutövare omsätta de nya kraven i praktisk styrning. Vi rekommenderar prioriterade åtgärder: riskanalys, tekniska och organisatoriska kontroller, leverantörsstyrning samt regelbundna övningar för att stärka cybersäkerhet. Incidenter ska bedömas mot klara trösklar och incidentrapportering ske till MSB enligt gällande tidsfrister.

nis2-direktivet och CER skapar ett modernt ramverk som påverkar informationssystem och nätverks- informationssystem. Planera för vad som träder kraft i CSL, använd PTS e‑tjänst och läs mer via MSB och EU‑förordningen för digitala leverantörer. Vi hjälper er att omsätta krav i dokumenterade rutiner så att verksamheten uppnår hög gemensam nivå.