augusti 11, 2025|2:19 e m
Oavsett om ni söker vägledning kring molnmigrering, effektivare IT-drift eller att börja nyttja AI på riktigt – vi finns här för att hjälpa er nå nästa nivå. Fyll i formuläret så kontaktar vi dig för ett första samtal om era behov och mål.
Vi hjälper er att snabbt förstå vad nis2-direktivet innebär för er verksamhet. Direktivet från EU ersatte tidigare regler och trädde i kraft med viktiga förändringar från oktober 2024.
Vår approach är praktisk. Vi kartlägger vilka tjänster ni faktiskt bedriver, bedömer risker och föreslår konkreta steg för efterlevnad. Målet är att ge er tydliga, affärsrelevanta åtgärder utan onödig överimplementering.
Vi förklarar hur roller och ansvar förändras, från ledningens engagemang till operativt genomförande. Fokus ligger på robust informationssäkerhet och effektiv cybersäkerhet som minskar störningar och sanktionsrisk.
Vårt stöd sträcker sig från initial rådgivning till full implementation. Vi hjälper er att anmäla er som verksamhet, etablera styrdokument och skapa en hållbar förvaltningsmodell för nya regler.
Vi hjälper er kartlägga nuläget och ta stegvis kontroll över regelkrav och cybersäkerhet. Våra insatser länkar era risker till nis2-direktivet och prioriterar de åtgärder som ger störst effekt utifrån er mognadsnivå.
Vi gör krav konkreta. Genom att kombinera regulatorisk tolkning med praktisk implementation skapar vi processer, roller och KPI:er som underlättar löpande förvaltning.
Vi guidar er genom tillsynsprocesser och förbereder dokumentation som visar hur ni möter applicerbara kravpunkter. För praktisk hjälp och avstämning, se gärna vår sida för vidare kontakt: mQuad rådgivning.
I denna del visar vi vilka verksamheter som nu faller under regelverket och vad det betyder i praktiken. Regelverket utvidgar antalet sektorer jämfört med tidigare. Det inkluderar bland annat offentlig elektronisk kommunikation, sociala plattformar, avfall och avloppsvatten, tillverkning av kritiska produkter, post- och budverksamhet, offentlig förvaltning samt rymdsektorn.
Verksamhetsutövare måste identifiera om de omfattas och anmäla sig. Därefter krävs systematiskt informationssäkerhetsarbete, lämpliga säkerhetsåtgärder och utbildning av ledning och personal.
Rapportering av incidenter som kan orsaka betydande störningar är obligatorisk. MSB har en samordnande roll och sektorsvisa tillsynsmyndigheter utfärdar föreskrifter och bedriver tillsyn.
| Sektor | Exempel | Huvudkrav |
|---|---|---|
| Kommunikation | Offentlig elektronisk kommunikation | Riskhantering, incidentrapportering |
| Digitala plattformar | Sociala nätverk | Säkerhetsåtgärder, leverantörskontroll |
| Offentlig sektor | Central och regional förvaltning | Styrning, dokumentation, tillsyn |
Vi erbjuder ett strukturerat paket som tar er från nulägesanalys till operativ beredskap. Arbetet fokuserar på praktiska steg som gör regelkrav möjliga att följa och hållbara över tid.
Vi genomför en strukturerad GAP- och riskanalys som visar ert nuläge mot nis2-direktivet. Analysen prioriterar gap och pekar ut riskreducerande åtgärder.
Vi designar styrning med policys, processer och kontroller för att förbättra informationssäkerhet. Lösningarna anpassas efter risk och verksamhetens resurser.
Vi hjälper till att kravställa avtal, genomföra due diligence och följa upp leverantörer. Detta minskar beroenden och ökar intern kontroll.
Offentlig sektor kan avropa via Adda Inköpscentrals ramavtal för IT-konsulttjänster. Detta förenklar upphandling och ger snabb tillgång till kompetens.
Regelverket höjer ribban för hur organisationer ska hantera risker och säkerhet. Vi hjälper er översätta de nya kraven till konkreta aktiviteter som passar er verksamhet och nivå.
Direktivet ställer större krav på riskbedömningar, tekniska och organisatoriska skyddsåtgärder samt utbildning. Vi tar fram en prioriterad roadmap för riskhantering och skräddarsyr utbildningsprogram för olika målgrupper.
Ledningen får tydligare ansvar och kan bli ansvarsskyldig vid brister. Vi definierar styrprocesser och rapportvägar som visar vem som beslutar och hur ansvar hanteras i praktiken.
Verksamhetsutövare måste rapportera incidenter som kan orsaka stora störningar. Vi etablerar ett ramverk för incidentrapportering med tröskelvärden, tidsfrister och dokumentation som möter lagstiftningens krav.
Från oktober 2024 förändrades spelreglerna; vi förklarar vad som krävs i svensk rätt och vad ni bör förbereda.
Medlemsstaterna skulle införliva EU-regler senast 17 oktober 2024. Den äldre ramen upphävdes den 18 oktober 2024.
Vi visar vilka kontroller som behöver uppdateras och hur övergången påverkar era rutiner.
MSB får en central samordnande funktion. Sektorvisa myndigheter utfärdar föreskrifter och bedriver tillsyn.
Det betyder att ni kan få detaljerade krav beroende på sektor. Vi hjälper er tolka dessa krav.
SOU 2024:18 och lagrådsremissen från juni 2025 pekar mot en ny cybersäkerhetslag. En proposition väntas hösten 2025.
Vi kartlägger vad artiklar i direktivet kräver, svarar på vanliga frågor och prioriterar åtgärder ni kan börja med nu.
| Milestone | Datum | Praktisk åtgärd |
|---|---|---|
| Införlivande i Sverige | oktober 2024 | Uppdatera styrdokument och anmälningsprocess |
| Lagrådsremiss | Juni 2025 | Förbered bevis och rapporteringsrutiner |
| Proposition | Hösten 2025 | Implementera föreskrifter och interna kontroller |
När en incident inträffar krävs snabba, samordnade insatser mellan interna team och externa myndigheter. Vi beskriver hur nätverket av nationella CSIRT-enheter och EU-CyCLONe stödjer identifiering och samordnad respons.
Nationella CSIRT utbyter hotinformation och hjälper till med teknisk analys. De fungerar som kontaktpunkt för rapportering och ger operativt stöd till berörda aktörer.
EU-CyCLONe aktiveras vid storskaliga händelser och koordinerar informationsflöden mellan medlemsstater och EU-institutioner.
Vi etablerar tydliga rutiner från upptäckt till initial rapport och vidare uppföljning. Processen inkluderar trösklar för rapportering av betydande incidenter som kan orsaka störningar.
Vårt mål är att ni har ett fungerande incidentflöde som minimerar påverkan och uppfyller krav efter oktober 2024.
Helhetsresiliens kräver att it-skydd och fysiska rutiner samspelar utan informationsluckor. Vi förenar kraven i nis2-direktivet med CER:s fokus på fysisk och organisatorisk motståndskraft.
Vi kartlägger hur lokaler, åtkomstkontroller och driftprocedurer påverkar er verksamhet. Målet är att processer för kontinuitet täcker både it- och icke-it-beroenden.
Vi stänger gap i gränssnitten mellan informationssystem och fysisk säkerhet. Detta inkluderar leverantörer, kritiska underleverantörer och digitala tjänster som understöder drift.
Vill ni veta mer om hur CER kompletterar cybersäkerhetsarbetet? Läs vår rekommenderade analys om kopplingen till CER och implementering på denna sida.
För många organisationer börjar vägen till efterlevnad med en tydlig GAP-analys. Vi översätter direktivet till praktiska åtgärder i era informationssystem och processer. Detta minskar risken för störningar och ger ledningen styrbarhet.
Starta med teknik, processer, människor och leverantörer i rätt ordning. Sätt mätetal och planera för kontinuerlig förbättring av cybersäkerhet och informationssäkerhet.
Var beredd på skarpa oktober‑milstolpar. Vi erbjuder stöd för planering, införande och förvaltning, inklusive utbildning och tekniska kontroller.
Kontakta oss för en behovsanalys och läs mer om hur nis2-direktivet ska implementeras i er miljö. Läs mer om våra lösningar och nästa steg.
Direktivet täcker flera kritiska sektorer såsom energi, transport, finans, hälsa, dricksvatten och digital infrastruktur. Det gäller även viktiga digitala leverantörer som molntjänster, söktjänster och onlinemarknadsplatser. Vi hjälper er att kartlägga om er verksamhet och era informationssystem faller inom dessa kategorier och vilka krav som då blir tillämpliga.
Som verksamhetsutövare ansvarar ni för drift, säkerhet och kontinuitet i de system som levererar kritiska funktioner. Det innebär att upprätta riskhantering, införa skyddsåtgärder, rapportera incidenter och säkerställa leverantörskedjans efterlevnad. Vi stödjer er med roller, rutiner och dokumentation för att möta dessa skyldigheter.
Vi genomför en systematisk genomgång av er nuvarande säkerhetsnivå mot de formella kraven. Analysen identifierar avvikelser, prioriterar åtgärder och föreslår en implementeringsplan. Resultatet innehåller konkreta insatser för teknik, processer och utbildning för att nå efterlevnad.
Nödvändiga åtgärder omfattar riskbaserade kontroller, åtkomststyrning, patchhantering, kryptering och kontinuitetsplaner. Lika viktigt är styrning: policys, ansvarsfördelning, ledningsrapportering och regelbunden revision. Vi hjälper er att designa och implementera både tekniska och organisatoriska lösningar.
Vi implementerar leverantörsbedömningar, krav i avtal, löpande övervakning och incidentrutiner. Det innefattar klassificering av leverantörer efter risk, säkerhetskrav i upphandlingar och regelbundna kontroller. Vår metod minskar sårbarheter i hela leverantörskedjan.
Ja, offentliga aktörer kan avropa ramavtal via Adda Inköpscentral för att anskaffa stöd i frågor om cybersäkerhet och efterlevnad. Vi erbjuder paket anpassade för offentlig sektor, inklusive GAP-analyser, utbildning och incidentberedskap, färdiga för avrop.
Ledningen måste etablera en riskbaserad styrmodell, avsätta resurser, följa upp säkerhetsåtgärder och säkerställa att personal får relevant utbildning. Det inkluderar regelbunden rapportering till styrelse eller ledning och dokumenterad riskacceptans. Vi arbetar tillsammans med er ledning för att skapa tydliga ansvar och rapportvägar.
Bristande efterlevnad kan leda till sanktioner, skadade affärsrelationer och ökad driftstörningsrisk. Lederna kan bli ansvarsskyldiga för att inte ha genomfört nödvändiga åtgärder. Vi hjälper er att minimera dessa risker genom styrning, utbildning och dokumenterad efterlevnad.
Incidenter som bedöms kunna orsaka allvarlig påverkan måste rapporteras enligt föreskrivna tidsramar till berörda tillsynsmyndigheter och, vid behov, till CSIRT-enheter. Rapporteringen ska innehålla incidentbeskrivning, påverkan och vidtagna åtgärder. Vi stödjer etablering av rutiner för snabb upptäckt, initial rapport och uppföljning.
Nationell implementering innebär att de europeiska kraven blir lag i Sverige, med specifika föreskrifter och tillsyn. Det kräver att vi anpassar rutiner och tekniska lösningar enligt svensk lagstiftning och myndighetsföreskrifter. Vi kan guida er genom övergångsperioden och säkerställa att ni möter deadlines.
Myndigheten för samhällsskydd och beredskap (MSB) samordnar arbetet och kan lämna föreskrifter. Sektorsvisa tillsynsmyndigheter ansvarar för kontroll och eventuella sanktioner inom sina områden. Vi hjälper er att förstå vilka regler som gäller för just er sektor och hur tillsynen kan komma att genomföras.
Utredningen och remissen preciserar hur nationella regler ska utformas och vilka krav som införs. För er innebär det tydligare skyldigheter kring riskhantering, rapportering och tillsyn. Vi analyserar förslagen och ger konkreta rekommendationer för anpassning i er verksamhet.
CSIRT-enheter ger tekniskt stöd, incidenthantering och koordinering nationellt. EU-CyCLONe kan stödja gränsöverskridande incidenter genom informationsdelning och resurser. Vi etablerar kontaktvägar, övningar och kommunikationsrutiner för att snabbt aktivera detta stöd vid behov.
Flödet börjar med upptäckt och klassificering, följt av initial rapport till ansvariga, teknisk åtgärd och kommunikation till myndigheter. Därefter genomförs analys, återställning och efterhandsgranskning. Vi hjälper er att dokumentera och öva detta flöde så att det fungerar i skarpt läge.
Motståndskraft kräver samordning mellan it-säkerhet, fysiska skydd och organisatoriska rutiner. Det innebär tillgångskontroller, säkra lokaler, redundans och krisplaner. Vi arbetar helhetligt för att säkerställa att tekniska lösningar och fysiska åtgärder stödjer varandra.
Starta med en aktuell GAP-analys, prioritera kritiska åtgärder, dokumentera rutiner och utbilda ledning och personal. Upprätta leverantörskontroller och incidentberedskap. Vi erbjuder paketlösningar för att snabbt höja er efterlevnad och minska riskerna inför tillsyn.
