top of page
ICON-Final-05_edited.png

5 steg för att komma igång med NIS2 – en praktisk guide för svenska företag

  • Skribentens bild: Cyber Instincts AB
    Cyber Instincts AB
  • 17 okt.
  • 3 min läsning
ree



Digitalisering och uppkoppling av industriella verksamheter öppnar nya möjligheter. Produktionsprocesser blir mer effektiva, datadrivna beslut snabbare och samarbeten smidigare. Men med detta följer också nya cybersäkerhetsrisker.

EU:s NIS2-direktiv är en uppdatering av det tidigare NIS-direktivet och stärker cybersäkerheten i samhällsviktig verksamhet och digitala tjänster. Europeiska kommissionen, 2023

I Sverige pågår implementeringen via en ny cybersäkerhetslag, som ska träda i kraft under 2025. Regeringskansliet, 2024

För svenska företag innebär det krav på riskhantering, incidentrapportering och leverantörssäkerhet, vilket gör att arbetet med informationssäkerhet blir en strategisk fråga även på ledningsnivå MSB, 2024

Om man inte är förberedd riskerar man sanktioner och störningar i kritiska verksamheter, eftersom tillsynsmyndigheter får utökade befogenheter och sanktionsmöjligheter enligt NIS2 Proofpoint.



Men oroa dig inte – det går att ta sig an NIS2 steg för steg. I den här guiden visar vi fem konkreta steg för att komma igång, med checklistor och praktiska tips.


Steg 1: Kartlägg om er verksamhet omfattas av NIS2

Först och främst måste ni veta om direktivet gäller för er. Alla företag omfattas inte, men många fler än tidigare kommer att göra det.

NIS2 riktar sig främst mot väsentliga och viktiga sektorer, där cybersäkerhet har direkt påverkan på samhället. Exempel på sådana sektorer är:

  • Energi och elproduktion

  • Transport och logistik

  • Hälsovård

  • Digital infrastruktur och molntjänster

  • Tillverkning och industriella system

Andra faktorer som avgör omfattningen:

  • Storlek – antal anställda, årsomsättning och balansomslutning.

Leverantörskedja – även underleverantörer kan omfattas indirekt.


Tips: Börja med en snabb intern kartläggning. Lista era kritiska system, leverantörer och verksamhetsområden. Detta ger er en tydlig bild av om ni omfattas av NIS2 och vilka delar som är mest relevanta. Avima


Steg 2: Tillsätt en styrgrupp för cybersäkerhet

När ni vet att ni omfattas är nästa steg att organisera arbetet. NIS2 kräver ledningsförankring, vilket betyder att cybersäkerheten inte kan ligga isolerat hos IT eller driftspersonal.

En effektiv styrgrupp bör inkludera representanter från:

  • Ledning och juridik

  • IT och OT (Operational Technology)

  • Informationssäkerhet

  • Inköp eller leverantörsansvariga

Gruppen ansvarar för att:

  • Utforma riskmodeller

  • Ta fram en handlingsplan för NIS2

Dokumentera processer och ansvar


 Callout: Cross-funktionella möten minskar silos mellan IT och OT och ger en gemensam förståelse för riskerna. Kvadrat 


Steg 3: Utför en gap-analys mot NIS2-kraven

En gap-analys visar hur långt ni har kommit och vilka områden som behöver åtgärdas. Det är det mest effektiva sättet att börja arbeta med NIS2 på ett strukturerat sätt.

Viktiga områden att analysera:

  • Riskhantering och styrning

  • Incidentrapportering, inklusive tidsramar (24 timmar till MSB)

  • Leverantörsäkerhet och avtal

  • Personalutbildning och medvetenhet

  • Kontinuitetsplaner och återställningsförmåga

Område

Exempel på gap

Åtgärd

Incidenthantering

Ingen formell rutin

Skapa plan enligt MSB:s riktlinjer

Leverantörer

Saknar säkerhetskrav i avtal

Uppdatera SLA och ställ minimikrav

Riskstyrning

Ad hoc-process

Etablera riskregister och rapportering


 Tips: Börja med en översiktlig gap-analys. Ofta identifierar man 80 % av de största bristerna redan här. Kvadrat




Steg 4: Etablera styrning och riskhanteringsprocesser

När gapen är identifierade behöver ni formalisera processer och policyer. NIS2 ställer krav på tydlig styrning:

  • Definiera roller och ansvar

  • Skapa riskbedömningar och åtgärdsplaner

  • Implementera incidentrapportering och ledningsrapportering


Callout: Samla befintliga rutiner i ett styrdokument – ofta räcker detta som första steg innan ni går vidare med fullständig implementering.


Detta steg säkerställer att företaget kan dokumentera och bevisa efterlevnad – något som blir allt viktigare vid tillsyn. Avima


Steg 5: Säkerställ leverantörskedjan och dokumentation

En av de största förändringarna med NIS2 är kravet på leverantörssäkerhet. Organisationer måste ha kontroll över sina system och partners, inklusive underleverantörer, för att säkerställa att säkerheten upprätthålls.

Åtgärder:

  • Inkludera säkerhetskrav i avtal och upphandlingar

  • Genomför revisioner och leverantörsbedömningar

  • Upprätta kontinuitetsplaner tillsammans med kritiska leverantörer

Varning: Leverantörskedjan är ofta den svagaste länken, men också en av de mest åtgärdbara. Att ta kontroll här minskar risken för allvarliga incidenter. Kvadrat



 FAQ – Vanliga frågor om NIS2

Vilka företag omfattas av NIS2? Företag inom samhällsviktig verksamhet och digitala tjänster som uppfyller vissa storlekskrav omfattas. Även kritiska leverantörer kan påverkas.

När gäller NIS2 i Sverige? Direktivet ska implementeras i svensk lag under 2025, med vissa delar som träder i kraft redan oktober 2024.

Gäller NIS2 även OT/SCADA-system? Ja, industriella miljöer omfattas ofta, särskilt inom energi, transport och tillverkning.

Vad händer om man inte följer NIS2? Tillsynsmyndigheter kan utfärda sanktionsavgifter, och ledningen kan hållas ansvarig.



För att hjälpa er att snabbt komma igång med NIS2, erbjuder vi på Cyber Instincts skräddarsydda utbildningar och rådgivning. Besök vår webbplats för att hitta en kurs eller tjänst som passar just er verksamhet och säkerställ att ni är redo inför lagens ikraftträdande.


bottom of page