Vi hjälper företag och organisationer att tolka det nya direktivet och omsätta krav till praktiskt arbete. Vår rådgivning bygger på aktuell information från SOU 2024:18, lagrådsremissen juni 2025 och MSB:s vägledningar.
Vi arbetar nära er ledning för att skapa styrning, roller och beslutsvägar som fungerar i vardagen. Målet är att ni når efterlevnad utan att tappa affärstakt.
Vi levererar ett tydligt underlag för riskhantering, tekniska kontroller och incidentrapportering. Med en pragmatisk plan prioriterar vi investeringar som ger snabb nytta och maximal riskreduktion.
Kontakta oss för att läs mer om hur vi kan accelerera er resa mot bättre cybersäkerhet och regelefterlevnad.
Viktiga punkter att ta med
- Vi översätter direktivet till praktiska åtgärder för ert företag.
- Rådgivningen bygger på senaste information och svenska förutsättningar.
- Vi hjälper till med styrning, riskanalys och teknisk implementation.
- Incidenthantering och rapportering organiseras och testas tillsammans med er.
- Prioriterad roadmap ger snabb effekt och minskad risk.
- Vi stödjer arbete i leverantörskedjan för helhetssäkerhet.
Överblick: NIS2-direktivet, cybersäkerhetslagen och vad det betyder för er
Vi ger en klar och praktisk översikt över vad det nya direktivet innebär för er organisation. Målet är att ni snabbt förstår syfte, omfång och vilka första steg som ger mest effekt.
NIS2 i korthet: syfte, förändringar och påverkan
nis2-direktivet syftar till en hög gemensam nivå av cybersäkerhet inom EU och ersätter tidigare regelverk från 2018.
Huvudförändringarna omfattar skärpta riskhanteringskrav, tydligare ledningsansvar och bredare sektorsomfattning som påverkar både företag och offentliga organisationer.
- Vi förklarar hur lagstiftning och regler förväntas konkretiseras i föreskrifter.
- Vi kopplar artikel- och bilagsreferenser i EU-rätten till praktiska anmälnings- och rapporteringsrutiner.
Tidslinje i Sverige och ansvarsfördelning
Svensk process startade med SOU 2024:18 och följdes av en lagrådsremiss i juni 2025. En proposition väntas under oktober/hösten 2025.
MSB har samordningsansvar nationellt och mot EU, medan sektorsvisa tillsynsmyndigheter utövar kontroll. Verksamhetsutövare måste identifiera om de omfattas, anmäla sig och bygga systematiskt informationssäkerhetsarbete för att möta kraven.
”Planera för de no-regret-åtgärder som ger snabb nytta och skapa flexibilitet inför kommande föreskrifter.”
Vilka verksamheter omfattas och hur avgör vi det?
Vi hjälper er avgöra om er verksamhet omfattas nis2 genom en enkel, dokumenterad kartläggning av uppdrag, juridisk struktur och beroenden.
Först klassificerar vi om ni tillhör väsentliga eller viktiga verksamhetsutövare. Skillnaden påverkar tillsynsmetod och rapporteringskrav.
Kategorier: väsentliga och viktiga verksamhetsutövare
Väsentliga aktörer får proaktiv tillsyn, viktiga får reaktiv tillsyn. Vi visar konsekvenser för ert fokus och era resurser.
Storlekskriterier och särskilda undantag
Storlek, omsättning och funktion i leveranskedjan avgör kategori. Exakta svenska kriterier fastställs i föreskrifter men vägledning finns i artikel 3 och bilagor.
Högkritiska och andra sektorer
Vi går igenom högkritiska sektorer: energi, transporter, bank, hälso- och sjukvård, dricksvatten, digital infrastruktur, IKT-förvaltning, offentlig förvaltning och rymden.
Andra områden som post- budtjänster, avfallshantering, kemikalier, livsmedel, tillverkning, digitala leverantörer, forskning och avloppsvatten kartläggs också.
Så identifierar och anmäler vi rätt tillsynsmyndighet
- Vi identifierar vilken myndighet som ansvarar för er sektor.
- Vi förbereder underlag för anmälan enligt kommande föreskrifter.
”Kartläggningen ska ge en snabb och beslutsduglig bild av er status och nästa steg.”
Kraven i NIS2: informationssäkerhet och säkerhetsåtgärder i praktiken
Vi konkretiserar krav från nis2-direktivet till praktiska åtgärder som passar ert företag. Arbetet bygger på tydlig styrning, kontinuerlig riskbedömning och mätbara kontroller.
Systematiskt arbete med informationssäkerhet och riskhantering
Vi designar ett ramverk som förenar styrning, riskhantering och kontroll. Det inkluderar inventering, riskanalyser och prioriterad roadmap för snabba förbättringar.
Ledningens ansvar och utbildning av personal
Ledningen får konkreta mål, rapporteringsrutiner och utbildningspaket. Vi levererar rollbaserade kurser och styrelsematerial för uppföljning.
Organisatoriska och tekniska säkerhetsåtgärder
Policys och processer kopplas till tekniska kontroller: patchhantering, loggning, IAM/MFA, backup och penetrationstestning. Organisatoriskt kapslar vi in leverantörsstyrning, SSDLC och övningar.
Nivå och proportionalitet
Vi sätter rätt nivå för kontroller baserat på sektor, riskprofil och beroenden. Proportionalitet säkerställs genom riskbaserade val och bevisbar dokumentation inför föreskrifter.
”Ett tydligt, riskbaserat program gör både cybersäkerhet och tillsyn enklare.”
Incidenter och rapportering: tidsfrister, process och stöd från CERT-SE
När en säkerhetshändelse inträffar krävs snabba beslut och tydliga rapporter för att minimera skada. Vi hjälper er bygga en enkel process som leder från upptäckt till lärande.
Vad räknas som betydande?
Vi definierar kriterier så ni snabbt kan avgöra om en händelse är betydande. Bedömningen handlar om påverkan på verksamhet, kunddata och sannolika störningar.
Rapporteringsflöde och tidsfrister
Varning ska skickas inom 24 timmar. En fullständig incidentanmälan lämnas inom 72 timmar med en inledande bedömning.
Slutrapport eller lägesrapport ska presenteras inom en månad enligt föreslagen praxis. Vi förbereder mallar som uppfyller kraven och minskar arbetsbördan.
Praktisk samordning med MSB och sektorsmyndigheter
Vi etablerar en rapporteringskedja till MSB och säkerställer att vidarebefordran till rätt tillsynsmyndighet sker enligt SOU-förslag. All information dokumenteras för spårbarhet.
Samarbete med CERT-SE och praktiskt stöd
Vid pågående incidenter koordinerar vi era åtgärder med CERT-SE. Prioriterade insatser är isolering, forensik, hotjakt och patchning för att begränsa skada.
”Snabb rapportering och tydlig dokumentation är avgörande för effektiv incidenthantering.”
Tillsyn och sanktioner: efterlevnad, kontroller och sanktionsnivåer
Vi förklarar tillsynens arbetsflöde och hur ni bygger bevis för era säkerhetskontroller. Detta hjälper er att bli revisionsberedda och minska risken för krav eller förelägganden.
Proaktiv granskning riktas mot väsentliga aktörer och innebär regelbundna inspektioner och krav på rapportering. Reaktiv granskning gäller viktiga aktörer och utlöses ofta av incidenter eller anmälan.
Myndigheter och förväntningar
Tillsyn utövas sektorsvis: Energimyndigheten (energi), Transportstyrelsen (transporter), Finansinspektionen (bank), IVO och Läkemedelsverket (vård), Livsmedelsverket (vatten och livsmedel), PTS (digital infrastruktur) samt länsstyrelser för vissa områden.
De förväntar sig dokumenterade processer, testbarhet och spårbara leverantörsavtal. Vi hjälper er mappa verksamheten mot rätt myndighet och skapa ett audit‑ready paket.
Sanktionsnivåer och åtgärder
Påföljder varierar med kategori: väsentliga aktörer kan få böter upp till 2 % av global omsättning eller 10 000 000 euro. Viktiga aktörer kan få upp till 1,4 % eller 7 000 000 euro. Offentlig förvaltning kan drabbas av upp till 10 000 000 kr i sanktionsavgift.
| Kategori | Tillsyn | Max sanktionsnivå |
|---|---|---|
| Väsentliga aktörer | Proaktiv | 2 % global omsättning eller 10 000 000 € |
| Viktiga aktörer | Reaktiv | 1,4 % eller 7 000 000 € |
| Offentlig förvaltning | Varierande | Upp till 10 000 000 kr |
”Förbered dokumentation, testbarhet och leverantörskontroll för att minimera sanktionsrisken.”
Vi stödjer er med konkreta mallar, svarsträning mot granskare och en plan för uppgiftslämnande. Läs mer om det här direktivet för bakgrund och myndighetsroller.
Våra NIS2 tjänster: från gap-analys till implementering och löpande förvaltning
Vi tar fram en klar kartläggning av er verksamhet. Vi identifierar juridiska enheter, beroenden och vilka sektorer ni hör till. Utifrån det förbereder vi underlag för anmälan till rätt myndighet enligt artikel och kommande föreskrifter.
Gap-analys och ramverk: Vi jämför er nuvarande styrning mot nis2-direktivet och cybersäkerhetslagen. Resultatet blir en prioriterad åtgärdslista och ett konkret ramverk för informationssäkerhet.
Implementering: Vi hjälper till att införa tekniska och organisatoriska säkerhetsåtgärder. Det inkluderar identitetsskydd, segmentering, loggning, backup och penetrationstestning.
Leverantörsstyrning och utbildning: Vi stärker kravställning i avtal, riskbedömning och revision av leverantörer. Vi levererar även utbildningar för ledning och operativ personal.
Slutligen etablerar vi övervakning, mätning och regelbundna övningar. Målet är en robust förvaltning som klarar tillsyn och snabba incidentrapporteringar till CERT‑SE.
Slutsats
Ett tidigt, strukturerat arbete ger er både bättre säkerhet och enklare tillsyn. Genom att förstå nis2-direktivet och omsätta kraven i praktiska åtgärder skyddar ni verksamhetens kärnprocesser.
Vi hjälper företag i berörda sektorer att prioritera insatser som minskar risk i produktion, distribution och leveranskedjor. Vår metod skapar mätbar förbättring och gör att ni kan visa upp kontroller vid tillsyn.
Oavsett sektor — från digital infrastruktur till post- och produkter — ger vi stöd i bedömning, design, implementering, test, övning och förvaltning. Kontakta oss för snabb hjälp och svar på frågor inför det nya direktivet.
FAQ
Vad innebär NIS2-direktivet och cybersäkerhetslagen för vår verksamhet?
Vi förklarar att direktivet skärper krav på informationssäkerhet för både väsentliga och viktiga aktörer. Det innebär systematiskt riskarbete, tekniska och organisatoriska åtgärder, tydligt ledningsansvar samt rapportering vid incidenter. Lagen kompletterar direktivet med nationell tillsyn och sanktionsmöjligheter.
Hur vet vi om vår verksamhet omfattas eller är undantagen?
Vi utgår från kategorier i direktivet, storlekskriterier och sektorspecifika regler. Vi kartlägger verksamhetens funktioner, kritikalitet och leverantörskedja för att avgöra om ni är väsentlig eller viktig aktör och vilken tillsynsmyndighet som gäller.
Vilka sektorer räknas som högkritiska och varför spelar det roll?
Högkritiska sektorer inkluderar energi, transporter, bank, vård, dricksvatten, digital infrastruktur, IKT och offentlig förvaltning. De påverkar samhällsviktiga funktioner och därför ställs högre krav på robusthet, redundans och incidentberedskap.
Vad krävs av ledningen för att uppfylla kraven?
Vi betonar att ledningen måste visa ansvar genom att etablera styrning, resurser och rutiner för cybersäkerhet. Det inkluderar utbildning, beslutsfattande vid riskacceptans och uppföljning av säkerhetsåtgärder.
Hur ser ett systematiskt arbete med informationssäkerhet ut i praktiken?
Vi rekommenderar riskinventering, policies, tekniska skyddsåtgärder, leverantörsstyrning, kontinuerlig övervakning och regelbundna övningar. Arbetet ska vara proportionerligt och dokumenterat för tillsyn och förbättring.
Vad räknas som en betydande incident och hur bedömer vi påverkan?
En betydande incident påverkar konfidentialitet, integritet eller tillgänglighet i sådan grad att samhällsviktiga funktioner störs eller service till användare påverkas. Vi använder kriterier som omfattning, varaktighet och konsekvenser för att bedöma allvarlighetsgrad.
Vilka rapporteringskrav gäller vid incidenter?
Vi följer rapporteringsflödet: tidig varning vid allvarliga hot, initial incidentanmälan inom 72 timmar och efterföljande läges- eller slutrapport. Vi samarbetar med CERT-SE och ansvarig tillsynsmyndighet för korrekt handläggning.
Hur hjälper vi er vid en pågående incident?
Vi kan erbjuda tekniskt stöd, analys, samordning med CERT-SE och åtgärdsplaner för återställning. Vi prioriterar snabb kommunikation, bevisinsamling och efteranalys för att minska skada och förebygga upprepning.
Vad kan vi förvänta oss av tillsyn och eventuella sanktioner?
Tillsyn sker både proaktivt och reaktivt beroende på verksamhetens kategori. Myndigheter kan utfärda förelägganden och sanktioner vid brister. Vi ger stöd för att möta tillsynskrav och minimera risken för avgifter eller andra åtgärder.
Hur genomför vi en gap-analys och vad blir nästa steg?
Vi kartlägger era befintliga kontroller mot direktivets krav, identifierar avvikelser och prioriterar åtgärder. Därefter utformar vi ett ramverk och projektplan för implementation inklusive utbildning och leverantörsgranskning.
Vilka tekniska och organisatoriska åtgärder prioriterar vi först?
Vi prioriterar åtgärder som minskar störningsrisk och exponerade ytor: uppdatering och patchning, åtkomstkontroller, nätsegmentering, incidenthantering, backup och leverantörskontroller. Valet styrs av riskbild och verksamhetskritikalitet.
Hur arbetar vi med leverantörsstyrning och tredjepartsrisker?
Vi kartlägger leverantörskedjan, ställer krav i avtal, genomför granskningar och kontinuerlig övervakning. Vi säkerställer att underleverantörer lever upp till proportionerliga säkerhetsnivåer för att minska beroenden.
Vad ingår i våra tjänster för löpande förvaltning och förbättring?
Vi erbjuder övervakning, mätning, rapportering, revisioner, incidentövningar och kontinuerliga förbättringsprocesser. Målet är tillsynsberedskap och att upprätthålla compliance över tid.
Hur förbereder vi oss för sektorspecifik tillsyn och myndighetskontroller?
Vi hjälper er ta fram dokumentation, testprotokoll och bevis för att visa efterlevnad. Vi genomför interna revisioner och simuleringar för att hitta luckor innan extern granskning.
Vilken tidslinje gäller i Sverige för implementering och lagstiftningssteg?
Vi följer processer som SOU 2024:18, förslag i lagrådsremiss och kommande propositioner. Tidslinjer påverkar när nationella regler träder i kraft, och vi anpassar åtgärder i enlighet med dessa steg.
Hur kan vi få hjälp att identifiera rätt tillsynsmyndighet för vår verksamhet?
Vi analyserar er sektor, tjänsteleverans och kritikalitet för att peka ut aktuell myndighet. Vi stöder också vid anmälan och dialog för att säkerställa korrekt klassificering.
Hur påverkar direktivet offentliga myndigheter och kommuner?
Offentlig förvaltning omfattas i hög grad, särskilt vid leverans av samhällsviktiga tjänster. Kraven på riskhantering, incidentrapportering och kontinuitet gäller och kräver anpassad styrning och resurser.