Vi hjälper företag och organisationer att tolka nis2-direktivet och göra kraven praktiska för er verksamhet. Vi förklarar vilka verksamheter som omfattas nis2 och hur verksamhetsutövare ska agera.
Detta direktivet påverkar både IT och OT och kräver ett systematiskt informationssäkerhetsarbete. Vi visar hur implementering kan ske stegvis, riskbaserat och anpassat till er verksamhet.
Våra tjänster förenklar arbete med rapportering, ansvarsfördelning och prioritering. Vi kombinerar tekniska kontroller med styrning så att ledningen får underlag för beslut och spårbarhet i information och incidenthantering.
Nyckelpunkter
- Vi tolkar nis-direktivet och gör kraven begripliga för ert företag.
- Omfattas nis2? Vi hjälper er att identifiera om ni omfattas och vad som krävs.
- Implementering sker riskbaserat och anpassas till er verksamhet.
- Vi levererar tjänster för rapportering, styrning och teknisk säkerhet.
- Vårt stöd minskar tid till efterlevnad och stärker ert informationsskydd.
Vad NIS2 innebär i praktiken och vilka verksamheter i Sverige som berörs just nu
Direktivet breddar tillämpningen till fler sektorer och påverkar både privata företag och offentlig förvaltning. Vi ser nu 18 sektorer som omfattas, från energi och transporter till forskning och livsmedel.
Vilka sektorer räknas in? Energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, dricksvatten och avloppsvatten finns med. Digital infrastruktur, post- och budtjänster, avfallshantering, tillverkning och produktion av livsmedel ingår också.
Tillämpning och kategorisering
Väsentliga och viktiga entiteter får liknande krav, men skillnader visas i tillsyn och sanktioner. Vissa funktioner, exempelvis DNS och betrodda tjänster, omfattas oavsett storlek.
Tidslinje och svensk reglering
Direktivet antogs 2022 och trädde i kraft 2023. I Sverige föreslås införande via Cybersäkerhetslagen (SOU 2024:18) med planerat ikraftträdande 1 januari 2026. Detta påverkar planering, budget och ledning.
"Verksamhetsutövare ska identifiera om de omfattas och förbereda anmälan till tillsynsmyndighet när föreskrifter publiceras."
| Sektor | Exempel på verksamhet | Praktisk påverkan |
|---|---|---|
| Digital infrastruktur | DNS, datacenter | Krav oavsett storlek för kritiska tjänster |
| Bankverksamhet | Betalningssystem, finansinfrastruktur | Gränsdragning mot DORA för vissa aktörer |
| Offentlig förvaltning | Myndighetstjänster, IKT-förvaltning | Ökad tillsyn och rapporteringskrav |
- Vi hjälper er avgöra om ni omfattas nis2 och vilka uppgifter som bör förberedas.
- Ledning och förvaltning behöver visa ansvar, dokumentera riskbaserade beslut och uppdatera leverantörsavtal.
- Läs mer om hur mindre aktörer kan bli viktiga verksamhetsutövare beroende på tjänsters kritikalitet.
Krav, riskhantering och säkerhetsåtgärder enligt NIS2-direktivet
För att skydda verksamheten behöver vi kombinera styrning, teknik och leverantörskontroller. Det innebär att ledningen formellt tar ansvar för mål, resurser och utbildning. Vi sätter upp KPI:er och riskägaransvar som följs upp regelbundet.
Ledningens ansvar
Ledningens ansvar och styrning: utbildning, resurser och säkerhetskultur
Styrelsen och ledningen ska förstå riskbilden och avsätta resurser för cybersäkerhet. Vi levererar utbildningar, styrdokument och rapporteringsrutiner som gör ansvaret mätbart.
Riskhantering i praktiken: kontinuerliga analyser, proportionerlighet och skyddet i hela verksamheten
Riskhantering måste vara kontinuerlig och proportionerlig. Vi genomför återkommande analyser som väger affärsnytta mot riskkostnad och skyddar både IT och OT.
Tekniska och organisatoriska säkerhetsåtgärder
Teknik som brandväggar, IDS/IPS och kryptering kompletteras av policyer, behörighetsstyrning och fysisk säkerhet. Vi testar återställning och verifierar kontroller löpande.
Leverantörskedjor och tredjepartsberoenden
Leverantörer och digitala tjänster måste omfattas av krav i avtal och SLA. Vi inför tredjepartsriskbedömningar, revisionsrätt och rapporteringskrav för att minska externt beroende.
"Styrelse och ledning måste göra cybersäkerheten till en del av företagets vardagliga styrning."
| Område | Exempelåtgärd | Nytta för verksamheten |
|---|---|---|
| Styrning | KPI:er, utbildning, riskägare | Tydligt ansvar och snabb uppföljning |
| Teknik | Brandväggar, IDS, kryptering | Tidigare upptäckt och minskad exponering |
| Leverantörer | SLA, revision, tredjepartsbedömning | Mindre leverantörsrelaterad risk |
- Vi omsätter kraven i nis2-direktivet till praktisk styrning och kontinuerlig riskhantering.
- Övervakning, logghantering och incidentövningar ger snabb upptäckt och återställning.
- Läs mer om det här direktivet för detaljer om omfattning och tillsyn.
Incidentrapportering, tillsyn och sanktioner
Snabb och korrekt rapportering är avgörande när allvarliga incidenter påverkar kritiska tjänster. Vi hjälper er att etablera tydliga flöden så att information når rätt mottagare inom angivna tider.
Rapporteringsflöde och tider
Vi säkerställer att varning skickas inom 24 timmar, följt av en detaljerad incidentanmälan inom 72 timmar. En slutrapport ska lämnas inom en månad efter att incidenten avslutats.
Vid långdragna händelser lämnas lägesrapporter löpande, minst inom samma en månadsperiod, och slutrapporten följer en månad efter avslut.
Stöd från CERT-SE
CERT-SE erbjuder rådgivning och koordinerad hantering vid incidenter. Vi kopplar era larmvägar till CERT-SE för snabb teknisk och operativ hjälp.
Vi organiserar insamling av information, bevarar bevis och förbereder rapporter så att verksamhetsutövare kan kommunicera tydligt med MSB och sektorsmyndigheter.
Tillsyn och sanktionsnivåer
Olika myndigheter övervakar respektive sektor: exempelvis Energimyndigheten, Transportstyrelsen, Finansinspektionen, IVO, Livsmedelsverket, PTS och länsstyrelserna.
| Aspekt | Väsentliga entiteter | Viktiga verksamhetsutövare |
|---|---|---|
| Tillsynsmyndighet (exempel) | Energimyndigheten, Finansinspektionen | PTS, länsstyrelser beroende på sektor |
| Sanktionsnivå | 2% av global omsättning eller 10 000 000 euro (offentliga: 10 000 000 kr) | 1,4% eller 7 000 000 euro (offentliga: 10 000 000 kr) |
| Tillvägagångssätt | Aktiv tillsyn och sanktioner vid brister | Tillsyn åtgärdas vid befogad anledning |
"Verksamhetsutövare ska rapportera betydande incidenter till MSB enligt angivna tidsfrister."
- Vi övar rapportering med playbooks och mallar så att era team snabbt kan leverera korrekt information.
- För mer detaljer om vilka entiteter som berörs och tillsyn, se MSB:s information om berörda verksamheter.
NIS2 lösningar och vår implementeringsplan för organisationer
Vi presenterar en konkret implementeringsplan för att snabbt höja skyddet i era kritiska system.
Vi inleder med en säkerhetsrevision och en djup riskbedömning. Därefter designar vi prioriterade åtgärder som matchar era affärsmål.
Vår implementeringsplan steg för steg
Planen följer fem tydliga faser: revision, riskbedömning, åtgärdsdesign, införande och kontinuerlig övervakning.
- Vi utför säkerhetsrevisioner och policyuppdateringar för att skapa en stabil grund.
- Teknisk förstärkning med brandväggar, IDS/IPS och kryptering implementeras där det behövs.
- Team, roller och ansvar definieras och leverantörer samt digitala tjänster inkluderas i avtal.
- 24/7-övervakning och återhämtningsplaner säkerställer snabb incidenthantering.
Prioriteringar per sektor
Vi anpassar skyddet efter sektorer som offentlig förvaltning, tillverkning och digital infrastruktur.
För avfallshantering och post- budtjänster fokuserar vi på driftkontinuitet och spårbarhet. Livsmedel och forskning får särskild uppmärksamhet kring leverantörskedjor och åtkomstkontroll.
"Vi kopplar riskhantering till affärsmål för att göra åtgärder kostnadseffektiva och spårbara."
Vill ni läs mer om hur planen anpassas för bankverksamhet eller andra företag, kontakta oss för praktiska paket och checklistor som visar mognadsökning och efterlevnad enligt nis2-direktivet.
Slutsats
Slutsatsen är tydlig — fler sektorer och funktioner behöver stärka sitt skydd och sin resiliens. nis2-direktivet skärper krav på cybersäkerhet och kräver att ledningen tar aktivt ansvar för riskhantering.
Företag inom tillverkning, offentlig förvaltning och digital infrastruktur måste införa tydliga säkerhetsåtgärder. Leverantörskedjor och viktiga entiteter behöver högre lägstanivå för att säkra funktioner och infrastruktur.
Sanktioner kan bli betydande i euro, vilket gör snabb handling nödvändig. Vi rekommenderar att ni verifierar om ni omfattas nis2, startar en gap-analys och förankrar mål i ledningen.
Vi erbjuder ett stegvis, kontrollerat införande som stärker skyddet i er verksamhet och minskar störningar. Agera nu för att ligga före kommande krav.
FAQ
Vad innebär detta direktiv i praktiken för vår verksamhet?
Direktivets krav innebär att vi måste införa systematisk riskhantering, tydlig styrning från ledningen och tekniska skyddsåtgärder för att skydda kritiska tjänster. Det berör roller, processer och investeringar i säkerhetsfunktioner samt dokumentation som visar hur vi förebygger och hanterar incidenter.
Vilka sektorer och verksamheter i Sverige omfattas just nu?
Energi, transporter, bankverksamhet, digital infrastruktur och offentlig förvaltning är centrala sektorer. Även tillverkning, post- och budtjänster, avfallshantering, livsmedelsproduktion och forskning kan omfattas beroende på verksamhetens samhällsviktiga funktioner.
Hur skiljer sig väsentliga och viktiga entiteter åt i krav och tillsyn?
Väsentliga entiteter omfattas av striktare krav och hårdare tillsyn. Viktiga entiteter har anpassade krav men står fortfarande under övervakning. Skillnaden påverkar omfattningen av rapportering, dokumentation och potentiella sanktioner.
Vad gäller för tidslinjen och svensk reglering kring implementering?
Övergången följer en tidslinje från direktivet till nationell lagstiftning, inklusive Cybersäkerhetslagen (SOU 2024:18). Vi behöver planera för tidiga åtgärder och klara milstolpar för att möta krav inom de angivna tidsfönstren.
Vilket ansvar har ledningen för cybersäkerheten?
Ledningen måste leda arbetet, avsätta resurser, skapa en säkerhetskultur och säkerställa regelbunden utbildning. Ansvar inkluderar beslutsfattande kring riskacceptans och att upprätthålla styrande policyer.
Hur arbetar vi praktiskt med riskhantering?
Vi genomför kontinuerliga riskanalyser, prioriterar åtgärder utifrån konsekvens och sannolikhet samt applicerar proportionerlighet i skyddsgrad. Processen inkluderar återkommande granskningar och uppdateringar vid förändringar i verksamheten eller hotbilden.
Vilka tekniska och organisatoriska åtgärder måste finnas på plats?
Grundläggande åtgärder innefattar brandväggar, IDS/IPS, kryptering, åtkomstkontroller, incidenthanteringsrutiner, säkerhetspolicyer och fysisk marknads- och driftsäkerhet. Vi måste även dokumentera och testa dessa lösningar löpande.
Hur hanterar vi leverantörskedjor och tredjepartsberoenden?
Vi ställer krav i avtal, genomför leverantörsbedömningar och följer upp säkerhetsnivån hos kritiska leverantörer. Kontinuerlig övervakning och beredskapsplaner för beroenden är avgörande för att undvika spridning av påverkan.
Vad krävs av oss vid en incidentrapportering?
Vi ska utfärda en initial varning inom 24 timmar, anmäla incidenten formellt inom 72 timmar och lämna en slutrapport inom en månad. Rapporterna ska innehålla påverkan, åtgärder och lärdomar.
Vilken roll har CERT-SE och hur kan vi få stöd?
CERT-SE erbjuder rådgivning, incidentstöd och koordination vid större händelser. Vi kan kontakta dem för teknisk vägledning och samordning för att minimera driftstörningar och återställa tjänster.
Hur fungerar tillsyn och vilka sanktionsnivåer kan vi förvänta oss?
Tillsynen varierar beroende på om vi räknas som väsentlig eller viktig. Sanktionsnivåer kan innefatta förelägganden, administrativa böter eller andra åtgärder vid bristande efterlevnad. Transparens och snabb åtgärd minskar risken för hårda påföljder.
Hur ser en implementeringsplan ut steg för steg?
Vi rekommenderar en plan med säkerhetsrevision, riskbedömning, åtgärdsdesign, införande och kontinuerlig övervakning. Varje steg dokumenteras och prioriteras utifrån verksamhetens kritiska funktioner och resurser.
Hur prioriterar vi åtgärder per sektor och verksamhetstyp?
Prioritering baseras på påverkan på samhällsviktiga funktioner. Offentlig förvaltning och digital infrastruktur får hög prioritet, men även tillverkning, forskning, livsmedel och post- och budtjänster kräver specifika skyddsåtgärder beroende på beroenden och risker.
Vilka resurser behöver vi avsätta internt för att uppfylla kraven?
Vi behöver ett tvärfunktionellt team med ansvar för cybersäkerhet, juridik, drift och kommunikation. Budget för teknik, utbildning och externa rådgivare är också nödvändig för att möta både tekniska och organisatoriska krav.
Hur kan vi mäta och följa upp att våra åtgärder är effektiva?
Vi använder nyckeltal för incidentfrekvens, upptäckttid, återställningstid och efterlevnad av policyer. Regelbundna revisioner, övningar och rapporter till ledningen säkerställer att vi håller rätt nivå.
Vad händer om vi använder molntjänster eller externa digitala tjänster?
Molnleverantörer omfattas av krav i leverantörsavtalet. Vi måste säkerställa att leverantören lever upp till säkerhetskrav och ha planer för backup, återställning och incidenthantering för att undvika kritiska avbrott.