Vi hjälper svenska verksamheter att möta det uppdaterade directive som skärpt krav på riskhantering, incidentrapportering och leverantörskedjesäkerhet.
Vår helhetsmetod gör compliance spårbar och praktisk. Vi kopplar services och leverabler till konkreta krav så att insatser blir mätbara över time.
Vi arbetar nära ledning och team för att stärka cybersecurity och skapa ett gemensamt framework för security och governance. Det innebär tydliga practices, standards och tekniska kontroller.
Direktivet trädde i kraft 16 januari 2023 och skulle införlivas i nationell lag senast oktober 2024. I Sverige omfattas fler sektorer, från energi till hälso- och sjukvård.
Nyckelinsikter
- Vi skapar mätbara insatser som visar compliance över tid.
- Vår metod kopplar styrning, management och tekniska kontroller.
- Fokus ligger på skydd av information, tjänster och kritiska processer.
- Riskbaserad prioritering minskar kostnader och dubbelarbete.
- Vi förbereder ledning för dokumentation inför nationell granskning.
Varför NIS2 spelar roll i Sverige just nu
Efter publiceringen i december 2022 blev det tydligt att fler aktörer måste stärka sitt skydd mot digitala hot.
Europaparlamentet antog directive den 10 november 2022, publicerades 27 december 2022 och trädde i kraft 16 januari 2023. Medlemsstaterna hade deadline 18 oktober 2024 för införlivande i nationell lag.
Regelverket utökar scope till fler entities och businesses. Det innebär skärpta krav på incidentrapportering, riskhantering och leverantörsled. Detta påverkar allt från energi och transport till vård och digitala leverantörer.
Hotbilden har ökat med geopolitisk osäkerhet. Därför behöver vi en gemensam framework för att öka cyberresiliens över sektorer.
Behöriga myndigheter och competent authorities i Sverige samordnar tillsyn tillsammans med ENISA. Det skapar tydligare processer och större krav på dokumentation för compliance.
| Datum | Vad | Påverkan |
|---|---|---|
| 10 nov 2022 | Antagande i Europaparlamentet | Startpunkt för nya krav |
| 27 dec 2022 | Publicering | Formell information om updates |
| 18 okt 2024 | Införlivande i nationell lag | Fler verksamheter måste uppfylla compliance |
- Prioritera riskhantering och leverantörskedjor först.
- Standardisering minskar fragmentering och kostnader.
- Vår blog kan vara en del i ert kontinuerliga kunskapsbygge.
NIS2 audit: vad det är, vem som granskar och hur processen går till
Vi går igenom vilka aktörer som granskar, hur inspektioner planeras och vad en organisation behöver kunna visa upp för att visa compliance.
Kompetenta myndigheter, kunder och revisionsfirmor
Huvuddelen av granskningarna utförs av nationella competent authorities. Dessa authorities leder processen och tolkar rules i det aktuella directive.
Kunder kan kräva bevis i leverantörskedjan och revisionsfirmor anlitas ofta för att ge oberoende stöd. Vi hjälper ert management att paketera dokumentation och services så att bevisen blir spårbara.
Slumpmässiga inspektioner vs. incidentdrivna granskningar
För ”essential” aktörer väntas slumpmässiga kontroller. För ”important” är granskningar vanligtvis incidentdrivna.
Det betyder olika time och förberedelse för era team. Vi mappar risker mot era processer så att cybersecurity och security-kontroller snabbt kan demonstreras vid behov.
Två veckors förvarning och vad vi måste förbereda
Verksamheter får typiskt två veckors skriftligt besked för att ta fram evidens. Vanlig begäran omfattar policies, riskhantering, övervakning, tekniska kontroller och incidentprocesser.
- Vad vi förbereder: presentationsmaterial, tjänsteöversikt och ansvarslista.
- Teknisk demo: konfigurationer, loggar och sårbarhetshantering.
- Vanliga fallgropar: otydlig dokumentation och bristande spårbarhet.
Vill ni fördjupa er i regelverket hänvisar vi till det här direktivet för mer detaljer.
Omfattning och klassificering: essential vs. important entities
Vi klargör vilka verksamheter som omfattas och hur prioriteringar avgörs i praktiken.
Scope breddas till fler sektorer, bland annat energi, transport, hälso- och sjukvård, digital infrastruktur och utvalda digitala tjänster. Detta påverkar både offentliga och privata businesses som levererar kritiska tjänster.
Sektorer och kritisk infrastruktur
Vilka entities som räknas beror på påverkan mot samhällsviktiga funktioner och infrastructure. Authorities väger risk, beroende av påverkan på kontinuitet och allmän säkerhet.
Ledningens ansvar, regler och datumlinje i Sverige
Ledningen får tydligt ansvar för beslut, uppföljning och resurser för compliance. Kraven kräver policyer för riskanalys, incidenthantering, leverantörsled och sårbarhetshantering.
| Aspekt | Konsekvens | Datum |
|---|---|---|
| Klassificering | Påverkar tillsyn och penalties | — |
| Svensk införlivning | Lagstiftning och rules implementeras | 18 okt 2024 |
| Sanktionsnivå | Essential: minst 10M€ eller 2%; Important: minst 7M€ eller 1,4% | — |
- Vi visar hur scope och urvalskriterier bestäms för olika entities.
- Vi förklarar hur standards och rules styr tillsyn och vilka fines och penalties som kan tillämpas.
- Vi hjälper er dokumentera infrastructure och tjänster så att compliance kan visas upp i tid.
Så förbereder vi oss steg för steg inför en NIS2 audit
Med en prioriterad åtgärdslista minimerar vi risker och skapar tydliga milstolpar. Vi börjar med en kort, operativ plan som fördelar ansvar och budget.
Gapanalys mot kraven och plan för åtgärder
Vi genomför en gaps-analys och tar fram en prioriterad plan med konkreta measures och tidsstämplar. Resultatet visar vad som saknas och vad som måste prioriteras.
Risk management: identifiera, bedöma och prioritera
Vi gör en assessment av risk och risks kopplade till nätverk och informationssystem. Hotmodellering hjälper oss att rangordna åtgärder.
Stärka kontroller och tekniska practices
Fokus ligger på IAM, MFA, kryptering, patchning och sårbarhetsskanning. Vi inför konfigurationsbaselines och regelbundna updates.
Incidenthantering och response
Vi designar roller, flöden och rapportering. Träning och övningar säkerställer att management och team vet hur de agerar vid incident.
Supply chain security
Vi formaliserar tredjepartsgranskning med due diligence, avtalskrav och uppföljning. Detta minskar leverantörsrelaterade gaps.
”En tydlig plan och dokumentation gör det enkelt att visa compliance och förbättra säkerheten över tid.”
| Fokusområde | Primär åtgärd | Resultat |
|---|---|---|
| Gapanalys | Prioriterad plan och milestones | Synliga gaps och åtgärdslista |
| Risk management | Assessment och hotmodellering | Prioriterade risks och mitigering |
| Kontroller | MFA, kryptering, patchning | Förbättrad cybersecurity och stabilitet |
| Incident & response | Roller, playbooks, rapportering | Snabbare återställning och tydlig eskalering |
Vilket bevismaterial efterfrågas vid NIS2 audit
Vi sammanställer en tydlig katalog med bevis som visar att våra security-measures verkligen fungerar.
På granskningsdagen förväntas dokumentation som visar hur information skyddas i praktiken.
Policyer och riskhantering
Informationssäkerhetspolicyer, riskanalysdokument och riskhanteringsplan ska finnas tillgängliga. Dessa visar ansvar och hur management följer standards och krav från nis2 directive.
Incident- och krisberedskap
En incidenthanteringsplan och en krisplan med roller, triggers och response-flöden är centrala. Vi visar loggar som dokumenterar incidents och rapporteringstid.
Sårbarhet och patchning
Scanningrapporter, patch-fönster, undantag och godkännanden bevisar sårbarhetshantering. Det visar att measures genomförs enligt plan.
Identitet, arkitektur och backup
Åtkomstpolicys (lösenord, MFA, zero trust), nätverkssegmentering, backupprotokoll och återställningstester med RPO/RTO ingår.
Leverantörsstyrning
Bevis för supply chain security omfattar avtal, tredjepartsbedömningar och uppföljningsrapporter. Vi sammanställer allt i en strukturerad katalog som förenklar audits och ökar compliance.
”En tydlig och testad bevismapp minskar friktion och visar att skydden fungerar i verkligheten.”
Auditdagen: genomförande, demo av kontroller och intervjuer
På granskningsdagen visar vi steg för steg hur verksamhetens skydd fungerar i praktiken. Vi börjar med en kort företagsöversikt som ramar in vilka services och affärsprocesser som är mest kritiska.
Agenda: företagsöversikt, tjänster, risker och skyddsåtgärder
Vi sätter en tydlig agenda för audits: översikt av organization, services, risker och de åtgärder som säkerställer compliance i praktiken.
Presentationerna inkluderar policyer, riskmatriser och en kort genomgång av ansvarsfördelning i management.
Systemgenomgång och medarbetarintervjuer
Vi demonstrerar security- och cybersecurity-kontroller live. Det kan vara dashboards, loggar och konfigurationer som visar response-flöden end-to-end.
Vi förbereder team och ledning för intervjuer så att svaren blir konsekventa. Authorities kan ställa tekniska frågor och be att se bevis på processernas effektivitet.
Efter dagen sammanfattar vi en åtgärdslista med ansvariga. Det ger en tydlig plan för uppföljning och minskar tid till åtgärd i det fortsatta business-caset.
”En strukturerad genomgång och tydliga demos minskar friktion och visar att skydden fungerar i praktiken.”
Efterlevnad, sanktioner och kontinuerlig förbättring
Efterlevnad kräver tydliga ramar för ledning, mätning och snabba förbättringar.
Administrativa sanktionsavgifter och ledningsansvar
Fines och penalties kan bli kraftfulla verktyg. För essential entities kan sanktionsavgifter vara minst 10 miljoner euro eller 2 % av global omsättning. För important entities gäller minst 7 miljoner euro eller 1,4 %.
Ledningen kan hållas ansvarig. Det kan innebära tillfälliga förbud mot ledningspersoner och suspension av tjänster.
Kontinuerlig compliance: mätning, spårbarhet och uppföljning
Vi etablerar KPI:er för att mäta effektiviteten i våra measures. Regelbundna audits och uppdateringar visar hur practices förbättras över tid.
”Spårbarhet från krav till evidens stärker både compliance och trust.”
Uppföljning av leverantörer och supply chain-krav
Vi operationaliserar supply chain security med TPRM, due diligence och avtalade säkerhetskrav.
Träning, BCDR-processer och snabba rapporteringsflöden minskar risk och stödjer långsiktig compliance.
| Område | Primär åtgärd | Effekt |
|---|---|---|
| Sanktionsram | Policyer och eskalering | Förståelse för fines och penalties |
| Ledning | Mandat och rapportering | Klart ansvar för compliance |
| Leverantör | Due diligence och revision | Stärkt supply chain security |
Slutsats
För svenska verksamheter innebär förändringen tydligare ansvar och krav på spårbarhet i säkerhetsarbetet. nis2 directive höjer ribban för cybersecurity genom utökat omfång, skärpta rapporteringskrav och krav på supply chain security.
Vi rekommenderar en praktisk plan som täcker risk management, assessment, response och mätbara measures. När framework, roller och team är på plats blir en nis2 audit hanterbar över time.
Proaktivt arbete minskar risken för fines och penalties, och visar för competent authorities att information, services och infrastructure är skyddade. Slutligen: låt oss hjälpa er omsätta krav till vardagliga rutiner — besök vår blog för fler artiklar och kontakta oss för ett case-baserat planeringssamtal.
FAQ
Vad innebär en NIS2 granskning för vår organisation?
En granskning kontrollerar att vi uppfyller nya krav på cybersäkerhet och riskhantering för kritisk infrastruktur. Vi visar upp policys, tekniska kontroller och rutiner för incidentrapportering för att bevisa regelefterlevnad gentemot kompetenta myndigheter och kunder.
Vilka myndigheter kan genomföra kontroller och inspektioner?
Svenska myndigheter som MSB och Datainspektionen samt namngivna tillsynsinstanser i respektive sektor kan agera. De kan också samarbeta med andra EU-myndigheter vid gränsöverskridande incidenter.
Hur meddelas vi inför en granskning och hur mycket tid får vi?
Inspektioner kan vara både slumpmässiga och incidentdrivna. I vissa fall får vi två veckors förvarning, men vid allvarliga incidenter kan kontroll ske utan förvarning. Vi måste därför ha löpande beredskap och dokumentation.
Hur skiljer sig skyldigheterna för essential och important entities?
Essential-aktörer har striktare krav och högre förväntningar på ledningsansvar och tekniska skyddsåtgärder. Important-aktörer omfattas också men med viss differentiering i omfattning och rapporteringsfrekvens.
Vilka sektorer räknas som kritisk infrastruktur under regelverket?
Sektorer som energi, transport, finans, hälsa, digital infrastruktur och offentliga tjänster brukar ingå. Vi behöver kartlägga vår roll i leveranskedjan för att avgöra om vi omfattas.
Vad krävs av ledningen i samband med efterlevnad?
Ledningen ansvarar för strategi, resurstilldelning, riskprioritering och att säkerställa att ansvarsfördelning och rapportering finns dokumenterade och praktiseras i hela organisationen.
Hur förbereder vi oss praktiskt inför en genomgång?
Vi genomför en gap-analys mot kraven, prioriterar åtgärder i en plan, stärker tekniska kontroller och övar incidenthantering. Vi dokumenterar även leverantörsstyrning och sparar bevismaterial för revision.
Vilka riskhanteringssteg bör ingå i vår plan?
Identifiera hot och sårbarheter, bedöm konsekvenser och sannolikhet, prioritera risker och implementera åtgärder. Vi följer en cyklisk process med mätning och kontinuerlig förbättring.
Vilka tekniska kontroller prioriterar vi?
Åtkomstkontroller inklusive MFA, regelbunden patchning, kryptering där det krävs samt segmentering och säkerhetsövervakning. Vi rekommenderar även backup- och återställningsrutiner samt principer för zero trust.
Vad behöver vi visa upp för incidenthantering?
Vi måste kunna presentera incident- och krishanteringsplaner, roller, rapporteringsflöden, övningsloggar och exempel på tidigare incidenthantering inklusive notifiering till relevanta myndigheter.
Hur granskas leverantörskedjan och tredjepartsrisker?
Vi behöver visa leverantörsavtal, due diligence, säkerhetskrav i kontrakt och löpande uppföljning. Bevis på leverantörstester och tredjepartsgranskningar är ofta efterfrågat.
Vilket typ av dokumentation efterfrågas vanligtvis?
Policys för informationssäkerhet, riskbedömningar, sårbarhetshantering, patchrutiner, identitets- och åtkomstpolicyer, säkerhetsarkitekturbeskrivningar och backup- samt återställningsplaner.
Hur ser revisionsdagen ut och vad förväntas vi demonstrera?
Revisorn vill ha en företagsöversikt, visa tjänster och kritiska system, se tekniska kontroller i drift och intervjua nyckelpersoner. Vi bör ha en tydlig agenda och ansvariga personer på plats.
Vad händer om vi inte lever upp till kraven?
Brister kan leda till administrativa sanktionsavgifter, krav på åtgärdsplaner och i värsta fall rättsliga påföljder. Ledningen kan hållas ansvarig för bristande styrning och kontroll.
Hur upprätthåller vi efterlevnad över tid?
Vi etablerar mätetal, spårbarhet, regelbundna kontroller och revisioner samt kontinuerlig uppföljning av leverantörer. En kultur för cybersäkerhet och löpande förbättring är avgörande för långsiktig compliance.