För kommun och stat: Läs mer här

Prova gratis
Kommande webinar
Webinar

Vilka omfattas av NIS2 direktivet

Vilka omfattas egentligen av det nya NIS2 direktivet?

Skrolla för kunskap

NIS2 direktivet är ett cybersäkerhetsdirektiv och ramverk som kommer omfatta tusentals privata företag i Sverige. (SOU 2014:18) Alla offentliga entiteter kommer att omfattas liksom små och medelstora företag som levererar viktiga tjänster till kunder som direkt omfattas.

6000

organisationer omfattas direkt

10000

organisationer omfattas indirekt

Då omfattas ni av NIS2 direktivet

Dessa är de som omfattas av NIS2

Alla kommunala enheter omfattas, för att omfattas som privat företag behöver man antingen träffas av två delar nedan, eller vara en viktig leverantör till en organisation som direkt omfattas av NIS2 direktivet. Den indirekta omfattningen kommer regleras genom avtal och inte lagkrav. (Läs här)

Har +49 anställda eller omsätter +100m/år.

Ingår i väsentliga eller viktiga entiteter

brancher och de som omfattas av nis2 direktivet

Vilka omfattas av nis2 direktivet genom Indirekt omfattning?
Viktiga leverantörer till de organisationer som omfattas av NIS2 direktivet omfattas också av NIS2. Detta beror på kravet inom NIS2 direktivet ("Säker leverantörskedja"). Dessa leverantörer ska rapportera enligt NIS2 direktivet till sina beställare. Rent tekniskt kommer leverantörerna inte omfattas i lag, men genom direktivet kommer dessa omfattas av NIS2 direktivet genom avtal. Det är beställaren och ledningens ansvar att följa leverantörernas arbete efter NIS2 direktivet.

Viktiga entiteter som omfattas av nis2 direktivet

Väsentliga entiteter

Särskilt för väsentliga entiteter är:

Rapporteringskrav: Rapport inom 24h, 72h, samt 1 månad. Mindre detaljer behövs än för väsentliga entiteter.

Mindre omfattande tillsyn: Reaktiv tillsyn efter händelse eller bristande efterlevnad, (Tips, anmälan, incident)

Mildare påföljder: Sanktionsavgifter upp till 7M€ eller 1,4 % av omsättning, beroende på vilket som är högre.

Ta del av vår checklista här >

Viktiga entiteter

Särskilt för viktiga entiteter är:

Rapporteringskrav: Rapport inom 24h, 72h, samt 1 månad. Mindre detaljer behövs än för väsentliga entiteter.

Mindre omfattande tillsyn: Reaktiv tillsyn efter händelse eller bristande efterlevnad, (Tips, anmälan, incident)

Mildare påföljder: Sanktionsavgifter upp till 7M€ eller 1,4 % av omsättning, beroende på vilket som är högre.

Ta del av vår checklista här >

Viktiga entiteter som omfattas av nis2 direktivet
När blir NIS2 direktivet lag i sverige & när träder det i kraft?

När blir NIS2 lag i Sverige?

 

MSB presenterade information om tidslinjen för NIS2 direktivet. Dom tror att NIS2 direktivet blir gällande lag i Sverige någon gång under sommaren 2025. 

SOU 2024:18 har just nu varit ute på betänkande där flertalet remissinstanser har lämnat sina svar baserat på dom delarna som är applicerbara för de olika instansrna.

Ta del av vår checklista här >

Kraven inom NIS2-direktivet

Hur följer vi kraven konkret?

Incidentrapportering enligt NIS2-kraven

Organisationer som omfattas av NIS2-direktivet måste rapportera säkerhetsincidenter inom specifika tidsramar:

  • Inom 24 timmar: Inledande rapport för att informera om att en incident inträffat.
  • Inom 72 timmar: En mer detaljerad rapport med analyser och åtgärder.
  • Inom 1 månad: Slutlig rapport som sammanfattar incidenten och vidtagna åtgärder.
    Dessa tidsramar säkerställer snabb kommunikation och tydlighet gentemot myndigheter eller beställare.

Ledningens ansvar och personalutbildning

Det är avgörande att personal som har tillgång till kritiska delar av organisationen utbildas årligen för att minimera risken för incidenter.

  • Årlig utbildning: Personalen ska utbildas i säkerhetspraxis och NIS2-krav.
  • Motivering och dokumentation: Organisationen behöver motivera och dokumentera sitt val av utbildningsstrategi, samt säkerställa att den är tillräcklig för att minska risker kopplade till deras verksamhet.

Säker leverantörskedja

Leverantörernas säkerhetsnivå påverkar direkt er efterlevnad av NIS2. Därför måste ni:

  1. Kartlägga leverantörer: Identifiera vilka leverantörer ni är beroende av och vilka system de använder.
  2. Bedöma leverantörens säkerhet: Säkerställ att leverantörer uppfyller NIS2-krav genom att kartlägga deras cybersäkerhetsramverk och incidenthantering.
  3. Kontinuerligt övervaka: Inför mekanismer för att proaktivt och reaktivt hantera säkerhetsrisker i leveranskedjan.

En säker leverantörskedja är grunden för att möta direktivets krav och för att minimera externa säkerhetsrisker.

Kontinuitet och krishantering

Förberedelser för att hantera incidenter är avgörande för verksamhetens fortlevnad. Organisationer bör:

  • Säkerställa backup-lösningar: Analysera och testa regelbundet.
  • Planera för domänattacker: Identifiera och implementera skyddsmekanismer.
  • Utveckla återställningsplaner: Beskriva tydligt hur IT-miljöer och operativa processer återställs efter incidenter.

Kontinuitet och krishantering stärker organisationens motståndskraft mot cyberhot och bidrar till snabb återhämtning.

Extern insyn och rapportering

Organisationer som omfattas av NIS2 måste upprätthålla transparens och tydligt visa hur de följer direktivet.

  • Löpande dokumentation: Ni måste ha uppdaterade rapporter om er efterlevnad av NIS2.
  • Aktivt arbete: Till skillnad från GDPR krävs inte bara policies utan faktiska åtgärder inom organisationen, inklusive processer och säkerhetslösningar.

En kontinuerlig insyn i säkerhetsarbetet stärker organisationens förtroende och säkerställer att externa krav uppfylls.

Årlig revision

Organisationer måste genomföra en årlig revision för att dokumentera och säkerställa att NIS2-kraven efterlevs. Revisionen bör innehålla:

  1. Interna och externa rapporter: Samla underlag från interna analyser och leverantörers säkerhetsrapporter.
  2. Utbildningsdokumentation: Visa att personalen har utbildats i enlighet med direktivet.
  3. Säkerhetsmekanismer: Dokumentera hur ni arbetar för att upptäcka, förhindra och förebygga incidenter.

Samla allt material i ett tydligt ramverk som förenklar kommande års arbete och revision.

Säkerhetsmekanismer

Organisationer måste ha säkerhetsmekanismer på plats för att möta NIS2-krav och skydda mot cyberhot. Exempel på sådana mekanismer inkluderar:

  • Cyberhygien: Rutiner för lösenordshantering och regelbundna tester mot nätfiske.
  • Systemövervakning: Brandväggar och intrångsdetektering för att identifiera och hantera hot.
  • Notifieringar vid läckor: Implementera system som varnar om läckor från externa plattformar där er data kan finnas.

Genom att kombinera proaktiva och reaktiva åtgärder skapar ni ett starkt skydd mot cyberattacker och säkerställer efterlevnad av direktivet.

+200 företag använder våra tjänster i +15 länder.

FAQ

Kan vi testa systemet gratis?

Ja, ni kan testa vårt system gratis i 30 dagar – utan avtal, betaluppgifter eller dolda avgifter.

📌 Med eller utan konsultstöd – ni väljer själv.
📌 Behöver ni mer tid? Hör av er, så löser vi det.

➡️ Aktivera er gratis testperiod här

Är era konsulter gratis?

Ja, vår rådgivning och support är helt kostnadsfri för betalande kunder. Våra experter vägleder er genom processen, men ni utför själva arbetet. Detta gör vi genom möte per länk, telefon, chatt och mejl.

Vårt mål är att hjälpa er bli självständiga inom cybersäkerhet, vilket stärker er organisation långsiktigt. Att enbart köpa konsulttjänster kan skapa ett beroende, då EU:s cybersäkerhetsdirektiv kräver löpande hantering året runt.

För manuellt arbete erbjuder vi en ledande timtaxa på 795 SEK exkl. moms, där vi direkt assisterar er genom vårt system – en digital lösning som gör arbetet smidigt och enkelt att följa upp.

Hur får jag gratis GAP analys?

Vår GAP-analys är alltid kostnadsfri. Den består av 34 enkla frågor som kartlägger er grundläggande struktur.

Direkt efter analysen får ni en procentuell översikt över ert nuläge och tydliga nästa steg för att belysa nuläge och drömläge.

Vi gör cybersäkerhet tillgänglig genom kostnadsfria och färdiga ramverk – utan onödiga kostnader.

Boka en demo så hjälper vi dig >

Vad säger cybersäkerhetslagen?

 

Cybersäkerhetslagen påverkar cirka 6 000 företag och organisationer i Sverige – men den indirekta påverkan är ännu större.

Alla kommunala och statliga verksamheter omfattas, vilket kan skapa brist på expertis och resurser inom området.

📌 Här är alla kraven >
📌 Här är de som omfattas >

 

Vem ska hantera cybersäkerhetslagen?

Ledningen har det övergripande ansvaret men bör fördela uppgifter till ansvariga för processer och system, exempelvis chefer inom HR och ekonomi.

Lagen kräver också att både ledning och behörig personal utbildas årligen, med dokumentation som bevis på regelefterlevnad.

Genom kontinuerlig utbildning minskar beroendet av externa konsulter och stärker den interna kompetensen.

📌 Här tidigare utbildning här >

 

Hur följer vi kraven på egen hand?

Cybersäkerhetslagen fokuserar på leverantörskedjan – både de ni anlitar och de som anlitar er. Kraven (ca 7 huvudpunkter) säger vad ni ska göra, men inte hur, vilket skapar tolkningsutrymme. Det är här vårt system kommer in.

Checklista & guider – Enkla steg med tydlig information och interaktiva videor.
Automatisering – Notiser och formulär gör processen smidig, där 98 % av användarna klarar sig utan support.
Gratis support – Chatt, telefon, digitalt möte eller mejl – helt utan kostnad.
Ramverk & policys – Systemet genererar rekommendationer för vilka dokument som behövs och varför.
Bibliotek med färdiga mallar – Redigera direkt enligt anvisningar.

När ni är klara kan ni enkelt lagra dokument i er profil, koppla dem till enskilda leverantörer eller ladda ner dem i PDF/DOCX för vidare hantering.

📌 Här tidigare utbildning här >

Hur automatiseras leverantörskedjan?

När ni lägger till en leverantör med företagsnamn, hemsida och kontaktperson skickas automatiskt ett mejl med tydlig information. Leverantören besvarar sedan ett guidat formulär med ca 20 enkla frågor.

Gratis leverantörsprofil – Leverantören får en kostnadsfri profil och kan löpande uppdatera sin information via automatiska notiser.
Automatiserad riskanalys – Systemet genererar automatiskt riskbetyg och en DPIA (Risk- och konsekvensanalys).
Kvalitetssäkring – Vår personal verifierar alla svar och företag för att höja kvaliteten och säkerställa att ingen hamnar mellan stolarna.
Färgmärkning för översikt – Se direkt vilka leverantörer som inte påbörjat (🔴), påbörjat (🟡) eller slutfört (🟢) frågeformuläret.

Allt sker automatiskt – ni får full kontroll över leverantörskedjan utan extra administrativt arbete.

Vad är säkerhetsmekanismer?

Enligt lagen ska ni ha funktioner och system för att upptäcka, förebygga och hantera säkerhetsincidenter.

Automatisk dataövervakning – Vårt system skannar internet och darknet dygnet runt genom en global databas med över 5 miljarder datapunkter. Vid en incident får ni en omedelbar notis.
Strukturerade säkerhetsrutiner – Säkerhet handlar både om teknik och processer, såsom tydliga interna och externa riktlinjer, regelbundna backuper och aktivering av MFA.
Incidenthantering – Om en läcka upptäcks är allt redan förberett i vår ”Incidenthantering”, så att ni kan agera direkt – ett lagkrav enligt NIS2.
Automatisk delning – Incidentrapporter delas direkt med berörda parter i er leverantörskedja, vilket säkerställer snabb hantering utan fördröjning.

Informationsdelning är en grundpelare i NIS2 och cybersäkerhetslagen – och vi gör det enkelt att följa.

📌 Boka en demo så visar våra experter dig >

Hur funkar incidenthantering?

Vårt system övervakar läckor och incidenter i realtid – både inom er egen data och via era leverantörer.

Snabba notiser – Om en incident upptäcks eller rapporteras av en leverantör får ni omedelbart en notis i systemet.
Färdiga mallar – I ”Incidentrapportering” finns allt förberett, inklusive färdiga mallar som enkelt kan exporteras till PDF.
Automatisk informationsdelning – När en incidentrapport skapas inom 24 timmar, informeras alla berörda i er leverantörskedja direkt via systemet.

Resultat? Effektiv och automatiserad hantering som säkerställer att rätt information når rätt personer – utan dröjsmål.

Är den årliga utbildning gratis?

Ja, vår årliga utbildning innan midsommar och jul är helt kostnadsfri för alla betalande kunder.

📌 Pris för gratisanvändare och externa deltagare: 4 990 SEK exkl. moms.
📌 Diplom ingår – Ett bevis på genomförd utbildning som uppfyller lagkravet för ledning och personal.

Hur snabbt kan vi ha er lösning på plats?

Ni kan komma igång direkt genom att skapa ett gratiskonto.

📌 Rekommenderat: Boka en personlig demo för en anpassad genomgång utifrån er organisation, kunskapsnivå och tidsram.
📌 Tidsram för full compliance: Ett företag med 200 anställda och 3 dotterbolag blir oftast helt compliant inom 7–14 dagar, beroende på omfattning och leverantörsantal.

Hur går er onboarding till?

Vi startar alltid med ett digitalt möte, där vi gör en gratis GAP-analys för att kartlägga vad ni redan har på plats och vad som behöver åtgärdas. Det blir er karta mot compliance enligt cybersäkerhetslagen.

📌 Checklista & guider – Följ en enkel checklista med tydliga instruktioner och videogenomgångar.
📌 GAP-analysens roll – Säkerställer att ni har rätt material för att genomföra checklistans steg effektivt.

➡️ Boka en demo här – vi hjälper er att komma igång!

Hur utförs den årliga revisionen?

Systemet håller er uppdaterade året runt genom notiser vid förändringar hos leverantörer och system. Eftersom systemet är gratis för era leverantörer, strömlinjeformas deras arbete automatiskt – ett krav som samtidigt sparar tid.

📌 Löpande informationsinsamling – Uppdateringar och förändringar registreras kontinuerligt. Akuta händelser hanteras direkt, men större förändringar (t.ex. byte av datalagring utanför EU) är sällsynta och inkluderas i revisionen.
📌 Automatiserad NIS2-revision – I sektionen ”NIS2 revision” finns en färdig mall med tydliga instruktioner för att säkerställa att alla krav uppfylls.
📌 All data samlad i systemet – Inkludera dataövervakning, incidentrapporter och andra relevanta uppgifter utan att leta i mejl eller manuella dokument.

Behöver ni hjälp?
✔️ Fri support & rådgivning ingår.
✔️ Praktisk assistans från 795 SEK/timme exkl. moms.

➡️ Effektiv, enkel och komplett revision – utan onödigt arbete.

Gå vidare till >

Artiklar om cybersäkerhetslagen

Sammanfattning
Krav & checklista
Gratis GAP mall

Gör compliance enkelt och bli guidad från A till Ö av systemet.

Linkedin
Våra System
Företaget

Tech Brows AB      Sysslomansgatan 22, Stockholm
Integritetspolicy / Cookies / NDA

Agenda för vår kostnadsfria utbildning. Varaktighet 60 min.

  • Vad kräver lagen? (10 min)
  • Vilka omfattas? (10 min)
  • Live Demo & Test (40 min)

Gratis utbildning i Januari: 60 min