Vi guidar organisationer genom den nya lagstiftningen som EU beslutade i december 2022. I Sverige pågår nu införandet via en ny cybersäkerhetslag efter lagrådsremissen i juni 2025, och MSB får en central samordningsroll.
Vårt arbete fokuserar på att ge praktisk hjälp. Vi visar hur ni snabbt får överblick över gap mot kraven, tar fram en genomförbar plan och prioriterar åtgärder efter risk och påverkan.
Vi stödjer ledning, säkerhetsfunktioner och IT med dokumentation, policyer och rapporteringsflöden. Det gör att ni kan fatta snabba beslut och förbättra er cybersäkerhet på rätt nivå.
Resultatet blir bättre styrning, ökad mognad och lägre risk. Vi hjälper er att möta skärpta krav på analys, incidentrapportering och ledningens engagemang inför kommande tillsyn och eventuella sanktioner.
Nyckelinsikter
- Vi kartlägger gap och prioriterar åtgärder för er organisation.
- Praktisk hjälp med dokumentation och rapportflöden till ledningen.
- Riskbaserade beslut säkerställer rätt nivå på investeringar.
- Vi anpassar befintliga styrmodeller för att undvika dubbelarbete.
- Målsättningen är ökad mognad, lägre risk och förbättrad efterlevnad.
Den ultimata guiden till NIS2 i Sverige: läget nu och vad som kommer
Vi går igenom processen från EU-beslut till svensk lag och vad det innebär för er verksamhet. EU antog nis2-direktivet i december 2022 och i Sverige har en statlig utredning (SOU 2024:18) lämnat förslag.
Regeringskansliet skickade en lagrådsremiss i juni 2025 och en proposition väntas hösten 2025. MSB får en central samordningsroll och fler myndigheter blir tillsynsmyndigheter.
Tidslinje och rollfördelning
Vi hjälper er planera redan nu inför kommande föreskrifter. Fördelning av ansvar mellan sektorsvisa myndigheter, MSB och er verksamhet påverkar hur tillsyn sker i praktiken.
Varför direktivet skärper kraven
Direktivet höjer fokus på styrning, riskanalys och incidentrapportering. Det breddar även vilka sektorer och aktörer som omfattas, med planerade 18 sektorer.
| Aspekt | Konsekvens för er | Praktisk åtgärd |
|---|---|---|
| Styrning | Högre ansvar för ledning | Rapportering till styrelse |
| Riskanalys | Mer frekventa bedömningar | Prioritera efter påverkan |
| Incidentrapportering | Tidiga underrättelser | Skapa interna flöden |
| Sektorer & antal | Fler berörda tjänster | Kartlägg påverkan i värdeflödet |
- Vi visar hur lagstiftningen samspelar med CER för bredare motståndskraft.
- Vi konkretiserar proportionerliga åtgärder utifrån risk och verksamhet.
NIS2 tekniska krav: kärnkomponenter och vad de betyder i praktiken
Vi förklarar hur ni praktiskt bygger riskbaserad styrning och incidentberedskap i era system.
Löpande riskhantering för nätverks- och informationssystem
Vi inför en modell där åtgärder prioriteras utifrån risker mot nätverk, system och informationssystem.
Praktiskt betyder det kontinuerlig inventering, affärspåverkansbedömning och regelbunden uppdatering av fokusområden.
Incidenthantering och kontinuitet: planer, roller och återställning
Incidenthantering kräver tydliga roller, larmvägar och övningar. Betydande incidenter underrättas snarast och senast inom 24 timmar med uppföljning inom 72 timmar.
Backup, krishantering och sårbarhetshantering under drift
Designa och testa backup för kritiska tjänster. Sårbarheter hanteras genom inventering, prioritering och snabb patchning.
Säkerhet i leveranskedjan & personlig åtkomst
Vi ställer krav på leverantörer, utför due diligence och beskriver identitets- och åtkomstkontroller med principen least privilege.
| Område | Praktisk åtgärd | Ansvar |
|---|---|---|
| Riskhantering | Prioritera efter påverkan på tjänster | Säkerhetschef |
| Incidenthantering | Roller, larm, 24/72-timmars rapport | Drift & ledning |
| Backup & återställning | Testade rutiner, RTO/RPO | IT-drift |
| Leveranskedja | Kontrakt, tester, uppföljning | Inköp & säkerhet |
Vilka verksamheter omfattas: sektorer, aktörer och tillsyn
Fler sektorer och beroenden gör att verksamheter behöver kartläggas noggrant redan nu. Vi hjälper er att avgöra om er verksamhet ingår bland berörda sektorer och vilka följder det får.
Utökade sektorer och verksamheter
Regleringen täcker bland annat digital infrastruktur, energi, transport och hälso- och sjukvård. Dricksvatten, avloppsvatten, finans och rymd inkluderas också.
Kopplingar till post- och budtjänster, avfallshantering, produktion och distribution
Post- och budtjänster samt avfallshantering kan bli berörda genom beroenden i värdekedjan. Produktion och distribution av kemikalier och livsmedel är också relevanta.
Ansvarsfördelning
Verksamhetsutövare ska identifiera om de omfattas och anmäla sig. För varje sektor finns sektorsvisa tillsynsmyndigheter.
”MSB ansvarar för nationell samordning och fungerar som kontaktpunkt mot EU.”
| Roll | Vad som krävs | Exempel |
|---|---|---|
| Verksamhetsutövare | Identifiera och anmäla | IT-företag, kraftbolag |
| Tillsynsmyndighet | Utfärda föreskrifter, tillsyn | Sektorsspecifika myndigheter |
| Nationell samordning | Koordinera och rapportera till EU | MSB |
- Vi kartlägger vilka sektorer och sektorspecificerade tjänster som gäller för er.
- Vi förbereder underlag för anmälan och dokumentation till tillsyn.
Rapportering, regler och efterlevnad: från incident till tillsyn
Att rapportera incidenter snabbt och korrekt är centralt för att skydda tjänster och visa efterlevnad inför myndigheter. Vi hjälper er att skapa klara beslutsvägar så att juridik, teknik och kommunikation agerar samordnat när något inträffar.
Rapportera incidenter: omedelbart, 24‑timmars underrättelse och 72‑timmars uppdatering
Organisationer ska snarast och senast inom 24 timmar underrätta relevanta myndigheter om betydande incidenter. En fördjupad uppdatering måste skickas inom 72 timmar.
Vi definierar vad som är en rapporteringspliktig incident och hur ni bedömer påverkan på tjänster. Vi levererar en operativ checklista för att rapportera incidenter med omedelbar bedömning, 24‑timmars underrättelse, 72‑timmars uppdatering och slutrapport.
Sanktioner och efterlevnad: ökade sanktionsavgifter och föreskrifter i sektorer
Tillsynsmyndigheter kan utfärda sektorsspecifika föreskrifter och ökad tillsyn ställer högre krav på dokumentation och bevis. Bristande efterlevnad kan leda till högre sanktionsavgifter enligt föreslagen lag.
- Process: Vi säkerställer att rapportering är spårbar och i tid.
- Organisation: Vi kopplar juridik, teknik och kommunikation till arbetsflödet.
- Kontroller: Vi tar fram KPI:er för tid till upptäckt, tid till rapportering och åtgärdstakt.
Genom att bygga in efterlevnad i vardagsrutiner minskar ni risk för sanktioner och förbättrar er förmåga att återhämta er efter incidenter.
Så implementerar vi NIS2: roadmap, åtgärder och verktyg
Vi börjar med en datadriven gap‑analys som kartlägger processer, kontroller, system och tjänster.
Analysen ger en prioriterad lista med tydliga ägare och kvartalsvisa milstolpar. Utifrån detta tar vi fram en roadmap med mätetal för att styra förbättringsarbetet.
Gap‑analys: identifiera, prioritera och planera
Vi identifierar brister i förvaltning, nätverk och informationssystem. Sedan prioriterar vi åtgärder efter risk, påverkan och genomförbarhet.
Tekniska och organisatoriska åtgärder
Vi nivåanpassar kontroller så att teknisk drift och ledning får rätt fokus. Exempel är patchhantering, logging och kontinuerlig övervakning.
Styrning av leverantörer och avtal
Vi inför riskklassning av leverantörer, avtalstillägg och revisioner. Särskild uppmärksamhet riktas mot distribution och komplexa kedjor där tredje part hanterar data eller tjänster.
Utbildning för ledning och personal
Ledningsutbildningar kopplar beslut till mätbara effekter i verksamheten. Vi tränar personal i incidentflöden och goda säkerhetsvanor.
CER och allriskperspektiv
Vi integrerar CER‑principer där det behövs. Det stärker motståndskraft genom scenariobaserad planering, kontinuitetsplaner och bakgrundskontroller.
Vi stödjer er praktiskt med mallar, verktyg och hjälp för att snabbt komma igång och förbereda underlag inför tillsyn.
Slutsats
Som avslutning beskriver vi konkreta åtgärder ni kan ta för att stärka motståndskraft i er verksamhet.
Sammanflätningen av nis2-direktivet och CER driver en hållbar höjning av säkerhetsnivån. Direktivet skärper fokus på ledning, riskhantering och rapportering av incidenter.
Starta med en gap‑analys, definiera ansvar, säkra finansiering och etablera rapporteringsflöden för varje incident. Upprepa övningar och testa återställning så att lärdomar blir beständiga.
Rätt prioritering nu minskar kostnad och komplexitet senare. Vi hjälper er att göra rätt saker i rätt ordning och framtidssäkra arbetet inför kommande föreskrifter och ökade krav.
FAQ
Vad innebär den nya lagstiftningen för vår organisation?
Den nya lagstiftningen höjer säkerhetsnivån för nätverk och informationssystem i flera sektorer. Vi måste kartlägga våra kritiska system, införa löpande riskhantering och stärka styrning samt leverantörskedjor. Det krävs även dokumenterade processer för incidenthantering och återställning för att säkra kontinuitet i verksamheten.
Vilka typer av verksamheter omfattas i Sverige?
Regelverket omfattar ett brett spektrum: energi, transport, hälso- och sjukvård, digital infrastruktur samt kritiska tjänster som post- och budtjänster, avfallshantering, produktion och distribution. Tillsyn utförs av relevanta myndigheter där Myndigheten för samhällsskydd och beredskap (MSB) har en samordnande roll.
Hur snabbt måste vi rapportera en säkerhetsincident?
Vi måste agera snabbt: första underrättelsen ska lämnas omedelbart vid allvarliga incidenter. Därefter följer en första formell anmälan inom 24 timmar och fortsatt uppdatering senast 72 timmar med mer detaljer om påverkan och åtgärder.
Vilka tekniska åtgärder bör vi prioritera först?
Vi rekommenderar att börja med en gap-analys för att identifiera största riskerna. Prioritera åtkomstkontroll, segmentering av nätverk, regelbundna backup-rutiner, sårbarhetsskanningar och kryptering av känslig data. Åtgärderna ska anpassas efter risknivå och verksamhetens beroenden.
Hur hanterar vi leverantörsrisker och tredjepartsleverantörer?
Vi bör införa krav i avtal som reglerar säkerhetsnivåer, revisionsrätt och incidentrapportering. Regelbunden uppföljning, leverantörsbedömningar och tester av beroenden minskar risken för kedjeeffekter vid störningar.
Vad krävs för incidenthantering och återställning?
Vi behöver tydliga roller och ansvar, dokumenterade incidentplaner, kommunikationsrutiner och testade återställningsprocesser. Kontinuitetsplaner och regelbundna övningar säkerställer att vi kan återgå till normal drift snabbt efter en störning.
Vilka administrativa krav på styrning och rapportering behöver vi uppfylla?
Organisationen måste visa styrning genom ledningsbeslut, policyer för informationssäkerhet, riskbedömningar och regelbunden rapportering till styrelse eller ledning. Dokumentation av åtgärder, revisioner och uppföljning är viktig vid tillsyn.
Vad händer vid bristande efterlevnad eller vid en allvarlig incident?
Tillsynsmyndigheter kan fatta åtgärder som påpekanden, krav på åtgärder eller i vissa fall sanktionsavgifter. Vi måste därför säkerställa att processer finns på plats för att minska risken för driftstörningar och regulatoriska följder.
Hur anpassar vi säkerhetsnivån efter verksamhetens storlek och riskbild?
Vi tillämpar en nivåanpassad strategi: högre krav för verksamheter med större samhällspåverkan, enklare men effektiva åtgärder för mindre aktörer. En riskbaserad gap-analys hjälper oss att prioritera investeringar och åtgärder.
Vilken roll har utbildning och kultur i arbetet med nya regler?
Utbildning för ledning och medarbetare är grundläggande. Vi behöver skapa en säkerhetskultur där ansvar, beslutsvägar och goda vanor förhindrar incidenter. Regelbundna utbildningar och övningar stärker beredskapen.
Hur integrerar vi detta arbete med andra ramverk som CER eller ISO-standarder?
Vi ser till att säkerhetsarbete bygger på etablerade standarder som ISO 27001 och överensstämmer med allt-riskperspektivet i CER. Det ger en helhet där kontinuitet, resiliens och informationssäkerhet samverkar.
Vilka verktyg hjälper oss att följa lagstiftningen?
Verktyg för sårbarhetshantering, logghantering, incidenthantering, leverantörsbedömning och kontinuitetsplanering gör efterlevnaden konkret. Vi rekommenderar plattformar som stödjer dokumentation, rapportering och revision.
Hur ofta bör vi uppdatera vår riskanalys och våra säkerhetsåtgärder?
Vi bör genomföra löpande riskanalys minst årligen eller vid större förändringar i system, leverantörskedja eller verksamhet. Större uppdateringar kan behövas efter incidenter eller vid regeländringar.
Kan mindre företag omfattas och vad behöver de göra?
Mindre företag kan omfattas beroende på vilken tjänst de tillhandahåller. Vi behöver bedöma kritikalitet och beroenden, implementera grundläggande säkerhetsåtgärder och säkerställa incidentrapportering enligt regelverket.
Hur påverkas post- och budtjänster samt avfallshantering av reglerna?
Dessa sektorer får tydligare krav på kontinuitet och informationssäkerhet eftersom störningar kan påverka samhällsviktiga funktioner. Vi måste kartlägga beroenden, säkra leveranskedjor och ha robusta incidentplaner.