Vi erbjuder professionell NIS2 dokumentation för organisationer

Vi hjälper er att uppfylla kraven i ny lagstiftning genom praktisk rådgivning och tydligt bevis på efterlevnad.

Direktivet skärper ledningsansvar, leveranskedjans säkerhet och riskhantering. Det ska vara implementerat i svensk lag senast 17 oktober 2024, och cybersäkerhetslagen träder i kraft 15 januari 2026.

Vi översätter juridiska krav till konkret cybersäkerhet och informationssäkerhet i er verksamhet. Vår metod identifierar viktiga risker och kopplar dem till kontroller, processer och mätbara resultat.

Vi etablerar en enkel dokumentationshierarki som fungerar i vardagen och vid granskning. Genom tydliga beslut och spårbarhet gör vi bevisen tillgängliga och oförändrade.

Vårt mål är att minska driftstörningar, stärka förtroendet hos intressenter och förbereda organisationen för kommande lagkrav.

Nyckelpunkter

• Vi levererar komplett NIS2 dokumentation som uppfyller kraven.
• Vi kopplar risker till kontroller och mätbara resultat.
• Vi gör beslut och ansvar spårbara för tillsyn och kunder.
• Vi minskar driftstörningar och ökar förtroendet.
• Vi förbereder organisationen proaktivt för kommande lagkrav.

Varför NIS2 och Cybersäkerhetslagen kräver strukturerad dokumentation just nu

Nya regler kräver tydliga bevis på hur organisationer arbetar med cybersäkerhet i praktiken. Vi hjälper er att förstå tidslinjen och vilka åtgärder som kommer först.

Tidslinjen: från EU-beslut till svensk lag

Implementering ska vara klar senast den 17 oktober 2024 och lagen träder kraft 15 januari 2026. Vi visar hur ni planerar stegvis för att uppfylla kraven i rätt ordning.

Vad som står på spel

Lagen utökar omfattningen till 18 sektorer och skärper krav på riskhantering, incidentrapportering och ledningens ansvar. Sanktioner kan bli hårda, upp till 2 % av global omsättning.

Vi kopplar varje steg till konkreta åtgärder: fastställ ambitionsnivå, välj verktyg, utbilda personal och skapa spårbara beslut. För mer detaljer om innehållet i det här är nis 2-direktivet finns vägledning från myndigheter.

NIS2 dokumentation: vad den måste bevisa för efterlevnad

Vi kopplar dokumentation till verifierbara tekniska krav så att beslut och åtgärder blir spårbara. Varje policy ska kunna härledas till kontroller i drift och till underliggande loggar.

Koppla dokument till tekniska kontroller

Vi länkar policys och riskregister till verifierbara kontroller enligt iso 27001. Det gör att information från system ger bevis i form av loggar, konfigurationsutdrag och ärendehistorik.

Bevistyper som håller vid granskning

• Styrande dokument och policyer med versionshantering.
• Riskregister och analys som visar proportionerliga åtgärder.
• Loggar, revisionsspår och testprotokoll för spårbarhet.
• Incidentrapporter och standardiserad rapportering för effektiv uppföljning.

Vi säkerställer att rapportering och analys visar att organisationens säkerhetsåtgärder fungerar löpande och att kraven nis2 kan bevisas när lagen träder kraft.

Fastställ scope och klassning: omfattas vår organisation och hur?

Vi kartlägger vilka delar av er verksamhet som omfattas av ny cybersäkerhetslagstiftning. Det ger en tydlig baseline för vidare arbete och minskar risken för överraskningar vid tillsyn.

Cybersäkerhetslagen täcker 18 sektorer och delar in aktörer i väsentliga eller viktiga. Båda grupperna måste uppfylla samma säkerhetskrav och incidentrapportering, men tillsynen skiljer sig.

Vad vi gör i analysen

• Identifierar relevanta sektorer och delsektorer för er verksamhet.
• Klargör skillnaden mellan väsentlig och viktig verksamhetsutövare och vilken tillsyn som kan komma.
• Bedömer risker och beroenden i leveranskedjan som kan skapa indirekta krav via kunder och avtal.
• Definierar scope: tjänster, system, dataflöden och partners som måste omfattas av era kontroller.

Vi levererar en klassningsrapport för ledning och tillsynsmyndigheter. Rapporten visar juridisk grund, konsekvenser för säkerhet och praktiska rapporteringsflöden.

Resultat: tydliga ansvarslinjer, kommunikationsvägar och en uppdateringsrutin så att klassning och scope följer verksamhetens förändringar över tid. Detta stödjer målet om en gemensam cybersäkerhetsnivå i hela organisationen.

Sätt ambitionsnivå och målbild för säkerhet och dokumentation

En väl avvägd målbild ger ledningen möjlighet att prioritera säkerhet och resurser utifrån riskhantering och affärsnytta.

”Sätt ambitionsnivå efter risk och affärsmål.”

Vi underlättar beslut genom att koppla förslag till ert informationssäkerhetsarbete och verksamhetens mål.

Vi mappar iso 27001-kontroller mot era processer så att åtgärder blir proportionerliga och mätbara. Detta stödjer både utveckling och daglig drift.

Vår leverans beskriver konkreta steg: prioriterade initiativ, tidslinjer, ansvar och indikatorer. Vi visar hur organisationens resurser används effektivt för att möta kraven.

• Integrera målbild i styrning och utbildning.
• Packa beslutsunderlag som tydligt visar risk, nytta och kostnad.
• Säkerställ löpande utvärdering för att uppfyller kraven vid tillsyn.

För stöd finns vår beslutsmall och en detaljerad rapport för ledningens genomgång, samt ett praktiskt beslutsunderlag som visar risk, kostnad och nytta.

Bygg ett dokumentationssystem som tål tillsyn och säkerhetsskanning

Ett robust dokumentationssystem gör det enkelt att svara på tillsyn och genomföra säkerhetsskanningar. Vi skapar en klar uppdelning mellan styrande, stödjande och resultatdokument så att rätt information är lätt att visa upp.

Styrande dokument: policyer, riktlinjer och beslut från ledningen

Vi ser till att varje policy har tydligt ägarskap, versionshantering och koppling till iso 27001. Det gör att ledningens beslut syns vid granskning.

Stödjande dokument: processer, rutiner och utbildningsmaterial

Processer och utbildning kompletterar policys. Vi dokumenterar närvaro, kunskapstest och praktiska rutiner för att visa efterlevnad.

Resultatdokument: incidentrapporter, testprotokoll och ledningens genomgång

Testprotokoll, åtgärdsplaner och ledningens genomgång skapar spårbarhet. Dessa dokument visar att säkerhetsåtgärder följs och förbättras.

Systemstöd: ärenden, loggning och spårbarhet enligt ISO 27001

Vi implementerar ärendehantering, loggning och metadata för enkel sökning och rapportering. Dashboard-visning ger överblick över organisationens dokumentationshälsa och kommande förfallodatum.

• Separerad dokumentstruktur som underlättar tillsyn.
• Beviskoppling mellan policy, process och åtgärder.
• Systemstöd enligt iso 27001 för spårbarhet och krav på rapportering.
• Stegvis integration i utveckling så bevis skapas automatiskt.

Riskhantering och säkerhetsåtgärder: dokumentera hur ni hanterar hot i praktiken

Riskhantering måste vara praktisk, tydlig och mätbar för att skydda verksamhetens kritiska funktioner.

Vi etablerar en process som visar hur risker identifieras, bedöms och behandlas. Rollen för riskägare, frekvens för genomgångar och acceptanskriterier dokumenteras tydligt.

Riskanalys, riskbehandling och kontinuitetshantering

Vi beskriver metodiken för riskanalys och hur åtgärder väljs utifrån sannolikhet och konsekvens. Effekten av säkerhetsåtgärder mäts och följs upp över tid.

Kontinuitetsplaner kopplas till affärskritiska tjänster och testas regelbundet. Testresultat och förbättringar sparas för uppföljning.

Säkerhet i leveranskedjan och vid utveckling

Vi inför krav säkerhet i inköp och leverantörsstyrning. Due diligence, avtal och kontroller i leveranskedjan dokumenteras för spårbarhet.

I utveckling och förvärv integrerar vi hotmodellering, kodgranskning, sårbarhetshantering och change management.

Cyberhygien, åtkomstkontroll, kryptografi och sårbarhetshantering

Cyberhygien och åtkomstkontroller beskrivs konkret: policyer för lösenord, autentisering och privilege management.

Vi dokumenterar kryptografistrategier, nyckelhantering och hur avvikelser åtgärdas. Sårbarheter prioriteras och patchprocessen spåras.

• ISO 27001 används som ram för att visa hur rutiner och kontroller samverkar.
• Incidentlektioner återförs till riskbild och förbättringar följs i informationssäkerhetsarbete.
• Mätetal och rapporter ger ledning och tillsyn tydlig status och trendbild.

Incidentrapportering: skapa rutiner och mallar för 24h, 72h och slutrapport

En tydligt definierad kedja för varning och anmälan säkerställer snabba beslut när timmar räknas. Vi upprättar praktiska rutiner så att rätt information lämnas i rätt tid till myndighet och berörda mottagare.

Varning inom 24 timmar

Varning ska skickas inom 24 timmar till CSIRT/CERT‑SE med minimiinnehåll, kontaktvägar och ansvar utsatt. Vi tar fram mallar som visar vad som måste ingå: identifierad påverkan, grundläggande tidpunkt, och kontaktperson.

Incidentanmälan inom 72 timmar

Inom 72 timmar levererar vi en fullständig anmälan med bedömning av allvarlighet, konsekvenser, och angreppsindikatorer (IoC).

Vi säkerställer att anmälan innehåller påverkan på tjänster, föreslagna åtgärder och spårbar information för tillsyn enligt lagen.

Del- och slutrapport: status och lärdomar

På begäran lämnas delrapport med lägesbild. En slutrapport ska levereras inom en månad efter hantering, eller följa upp med lägesrapport om ärendet löper.

”Snabb rapportering är inte slutmålet — lärdomarna och åtgärderna är det.”

Kommunikation till kunder och vid betydande hot

Vi utvecklar kommunikationsplaner för att informera mottagare av tjänster och ge råd om skydds‑ och motåtgärder. Roller, eskalering och jour ansvar dokumenteras tydligt.

• Rutiner och mallar för 24 timmar till CERT‑SE med minimiinnehåll.
• 72‑timmarsanmälan med konsekvensbedömning, IoC och åtgärder.
• Del‑ och slutrapport med tidsstyrning, kvalitetssäkring och lessons learned.
• Koppling till iso 27001-processer för spårbarhet och att uppfyller kraven.

Ledningens ansvar och utbildning: från beslut till mätbar effekt

Ledningen måste visa tydligt hur beslut om risk och resurser fattas och följas upp i praktiken. Vi hjälper er att göra styrning synlig, spårbar och kopplad till konkreta mål.

Styrning och resursbeslut som måste dokumenteras

Vi dokumenterar hur ledningen fattar beslut som rör risk, resurser och prioriteringar. Beslut kopplas till protokoll, beslutspunkter och uppföljningsloggar.

Vi definierar KPI:er som visar mätbar effekt av åtgärder. Dessa KPI:er speglar minskad risk och ökad motståndskraft mot incidenter.

Obligatorisk utbildning för ledning och spårbar närvaro

Vi tar fram ett utbildningsprogram där ledningen genomgår obligatorisk utbildning i cybersäkerhet och informationssäkerhet. Kursdeltagande, testresultat och intyg registreras för spårbarhet.

• Program integreras i onboarding och årlig uppdatering.
• Rapportpaket kopplar risker, incidenter och kontroller till affärsmål och efterlevnad.
• Ansvar och mandat visas i policyer, protokoll och beslutsloggar.

”Aktiv styrning och utbildning skapar en kultur där åtgärder följs upp och förbättras kontinuerligt.”

Vi förbereder underlag för tillsyn så att er lednings styrning kan granskas och godkännas. Detta säkerställer att organisationen har resurser och processer för att uppfylla kraven.

Förberedelser för tillsyn: revisioner, tillträde och ordning i dokumentationen

Tillsynsberedskap börjar med ordning i dokument, tydliga roller och praktiska rutiner. Vi hjälper er strukturera information och system så att granskning blir effektiv och förutsägbar.

Proaktiv kontra behovsstyrd tillsyn och vad som efterfrågas

Myndigheter övervakar väsentliga enheter proaktivt och gör riktade kontroller mot viktiga aktörer vid behov. Vi förklarar vad som typiskt efterfrågas i underlag och intervjuer.

Vid tillsyn kan myndigheten begära uppgifter, få tillträde till lokaler och göra säkerhetsskanningar. Vi förbereder svaren så att efterlevnad kan visas utan stress.

Checklista inför säkerhetsrevision och säkerhetsskanning

Vår checklista täcker dokumentlistor, systemutdrag, kontaktpersoner och sekretessrutiner. Vi kvalitetssäkrar att dokumentation och information är konsekventa och åtkomliga.

• Stäm av säkerhetsåtgärder mot kraven och gör en gap-analys med tidsatta åtgärder.
• Använd iso 27001-artifakter för att återanvända bevis och minska dubbelarbete.
• Testa beredskap med interna revisioner, provuttag och intervjuer.
• Förbered kommunikations- och logistikplan för tillsynsdagar och hantering av förelägganden.

Vi säkerställer att organisationens roller, delegationsordning och beslutsloggar är tydliga och kopplade till kontrollernas spårbarhet.

Slutsats

En strukturerad slutbild visar hur säkerhetsåtgärder och beslut skyddar verksamheten i praktiken. Vi hjälper organisationen att koppla krav och risker till konkreta åtgärder i system och processer.

Ledningen måste prioritera resurser och styra informationssäkerhet med mätbara mål. ISO 27001 ger en stabil ram för ett moget informationssäkerhetsarbete och efterlevnad.

Bygg dokumentation som håller för tillsyn, revision och säkerhetsskanning. Skala lösningar över organisationer och sektorer, anpassa lokalt och förbättra proaktivt.

Vi rekommenderar en snabb nulägesanalys, en gap‑bedömning mot kraven nis2 och en handlingsplan med ansvar och tidslinjer för fortsatt utveckling mot en hög gemensam cybersäkerhetsnivå.