För en förbättrad cybersäkerhet

Guide: Cybersäkerhetslagen, NIS2-direktivet

Innehåll

Guide: Cybersäkerhetslagen, NIS2

1. Om den nya svenska cybersäkerhetslagen

För en hög gemensam cybersäkerhet för samhällsviktig verksamheter inom unionen

Den nya cybersäkerhetslagen är Sveriges tillämpning av EU-direktivet NIS2. NIS2 står för Network and Information Systems Directive 2 och när det utkom så ersatte det ett tidigare direktiv, därav siffran nr 2 i den nu aktuella versionen. Europaparlamentets direktiv 2022/2555 om ”åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen” antogs 22 december 2022, dvs den gäller nu. Den finns på svenska (se Länkar nedan). Valda delar av direktivet kan idag användas direkt för både utbildning och för planering av införande.

Cybersäkerhetslagen, NIS2-direktivet i svensk lagstiftning, antogs av riskdagen den 10 december 2025. Lagen börjar att gälla den 15 jan 2026.

Arbetet med att bli compliant (överensstämmande) med NIS2 kan göras med hjälp av ”EUs Genomförandeförordning” kopplat till NIS2 (utkom okt 2024). Det dokumentet innehåller föreskrifter (för stora grupper leverantörstyper) vad som ska vara implementerat för att vara compliant med NIS2. Förordningen innehåller de 10 (13) st viktigaste teman/områden med riskhanteringshanteringsåtgärder som EU nu bestämt ska implementeras inom unionen.

NIS2-direktivets prioriterade riskhanteringsåtgärder

NIS2-direktivets tio prioriterade riskhanteringsåtgärder, på rubriknivå, för kritiska verksamheter (samhällsviktiga verksamheter) inom utpekade sektorer:

  • Strategi för riskanalys, inkl organisation
  • Incidenthantering
  • Driftskontinuitet i verksamheten (säkerhetskopiering, katastrofåterställning, krishantering).  
  • Säkerhet i leveranskedjan, inkl säkerhetsrelaterade frågor som rör förhållandet mellan varje verksamhet och leverantörerna
  • Säkerhet vid förvärv/anskaffning, utveckling och underhåll av nätverk och informationssystem
  • Strategier/riktlinjer och processer för att bedöma effektiviteten i säkerhetsåtgärderna för cybersäkerhet.
  • Grundläggande praxis för cybersäkerhet och utbildning i cybersäkerhet
  • Strategier och förfaranden för användning av kryptografi och kryptering  
  • Personalsäkerhet (åtkomstkontroll, hantering av tillgångar, mm)   
  • MFA alt eller lösningar för kontinuerlig autentisering, säker röst-, video- och textkommunikation

Och en generell punkt: God cybersäkerhetspraxis och medvetenhet om cybersäkerhet.

EUs genomförandeförordning för NIS2, har en mer fördjupad indelning på föreskrifterna varför tre huvudområden tillkommer: Åtkomstkontroll, Tillgångsförvaltning, Miljömässig och Fysisk säkerhet.

Företagets skyldigheter

Cybersäkerhetslagen 2 kap Verksamhetsutövares skyldigheter

1. Skyldighet att utse företrädare Det är bolagens eget ansvar att dels ta reda på om den verksamhet som bedrivs inom EU är direkt, eller via leverantörskedjor, indirekt berörd. Om så är fallet ska bolaget (1) utse en företrädare som är kontaktperson mot tillsynsmyndighet och andra myndigheter.

2. Anmälningsskyldighet Verksamhetsutövare ska registrera sig hos ansvarig tillsynsmyndighet för den/de sektorer bolagets verksamhet/er berörs av. Det kan bli så att bolag anmäler sig till flera olika tillsynsmyndigheter, om bolaget bedriver verksamhet inom olika sektorer.

3. Skyldighet att vidta säkerhetsåtgärder Alla verksamheter i de sektorer som utpekats i Cybersäkerhetslagen ska vidta lämpliga och proportionella tekniska, driftsrelaterade och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverks- och informationssystem som de använder för sin verksamhet eller för att tillhandahålla sina tjänster”.

Säkerhetsåtgärder: Stora likheter mellan ISO 27001-kraven och NIS2-föreskrifterna

Många av NIS2-föreskrifternas åtgärder är hämtade från den globala standarden för informations- och cybersäkerhet: ISO 27001. Cirka 50% av kraven i ISO 27001 återfinns i NIS2-föreskrifterna. Ett ledningssystem för informationssäkerhet (LIS) underlättar därför betydligt om compliance mot NIS2 och nya cybersäkerhetslagen, ska uppnås.

EU-direktivet NIS2 beskriver VAD som ska finnas i en organisation men inte HUR det ska byggas upp och implementeras. HURet hämtas från EUs sk Genomförandeförordning (se Länkar) men bolag kan även använda standarder som NIST och ISO 27002 som stöd för HURet. Bolagen behöver själva både ta ansvar för hur direktivet ska implementeras och till vilken nivå samt vilka föreskrifter man kommer att använda som målbild.

NIS2-direktivet är väldigt brett och vissa åtgärder kräver mer resurser och mer av ledningens engagemang. Med detta sagt är det ett tips att börja med det organisationen uppfattar som enklare att införa, implementera detta steg för steg på en grundläggande nivå, och bygg sedan vidare på det när organisationen kan överblicka det fulla behovet och planera mer resurskrävande åtgärder i rätt tid.

2. Planering, exempel

Den här guiden är ett exempel på hur en organisation kan gå tillväga för att påbörja ett införande av de krav som NIS2-direktivet innehåller. I guiden ingår att med hjälp av GAP-analyser kontrollera vad som redan finns att tillvarata i organisationen och vad som eventuell behöver förstärkas och kompletteras.

Statusen på säkerhetsarbetet idag kommer självklart påverka vilken tidplan bolaget kan och vill hålla. Befintliga säkerhetsåtgärder kan byggas ut och kopplas samman. Och finns det ett ledningssystem i botten i verksamheten så kan det användas.

3. Länkar

4. Genomförande: Förberedelser

4.1 Kontroll: Omfattas bolaget av EU-direktivet?

Kontrollpunkt 1: Har verksamhet i en sektor som berörs (direkt, eller indirekt via leverantörskedjor)

Har bolaget en verksamhet som faller under kategorin ”Mycket kritiska sektorer” eller ”Andra kritiska sektorer” i NIS2-direktivet. Se länkar: EU NIS 2 Sektorer som omfattas.

Kontrollpunkt 2: Berörs av justeringar i den svenska tillämpningen

Tillhör bolaget en sektor men berörs även av de specificeringar och undantag som gjorts i den svenska tillämpningen ”Cybersäkerhetslagen”. Se länkar till Cybersäkerhetslagen, § 3- § 12

Kontrollpunkt 3: Storleken på bolaget, inklusive ev moderkoncern, påverkar. Cybersäkerhetslagen § 4 anger vilka verksamheter som berörs av lagen:

  • Det är verksamhetsutövare som är etablerade i Sverige
  • Verksamheter som storleksmässigt motsvarar, eller är större än, ett medelstort företag. Medelstora verksamheter är: mellan 50-250 anställda, har en årlig omsättning mellan 10 – 50 miljoner euro eller en balansräkning på mindre än 43 miljoner euro).  

Nedan bolag berörs, även de om de är mindre är de medelstora företagen, om de har en verksamhet som faller under Cybersäkerhetslagen § 5 – § 7.

  • Små företag (färre än 50 anställda, intäkter, eller en balansomslutning, på högst 10 miljoner euro) samt
  • Microföretag (färre än 10 anställda, intäkter, eller en balansomslutning, på högst 2 miljoner euro)

! Notering gällande koncerntillhörighet, vilket kallas ”Partnerföretag” i EUs definitioner

Det finns definitioner på vad som är ett partnerföretag. Se Länkar och ”EU Om Partnerföretag”

! Notering gällande bolag med verksamhet utanför EU

Enligt direktivet måste organisationer utanför EU som erbjuder tjänster inom EU utse en representant i ett av de länder där tjänsterna erbjuds. Representanten ansvarar sedan för att hantera organisationens arbete med att efterleva NIS2-direktivet, till exempel rapportering av säkerhetsincidenter.

4.2 Genomgång med ledning och nyckelpersoner

Genomgång med ledning och andra nyckelpersoner avseende EU-direktivet. Exempelvis: Syfte med direktivet och dess ”systerdirektiv” CER, aktuell sektor, de tio grundläggande säkerhetsåtgärdsområden, företagets skyldigheter, tillsyn och sanktioner. Det är viktigt att ledning och nyckelpersoner är fullt insatta i och avser stödja EU-direktivets syfte, innehåll och prioriterade säkerhetsområden. De behöver bl a ange inriktning, tillsätta och bidra med resurser, hantera beslutspunkter, säkerställa en uppföljning samt vara aktiv i samverkan med externa partner.

4.3 Planering och etablering av team och projekt

Vägledning

Bolaget kan med fördel utse 2-3 personer som tillsammans tar fram ett förslag till genomförande och en presentation på ett tänkt projektupplägg. Den presentationen syftar till att ett skapa diskussionsunderlag för en samsyn kring vad som ska göras, när och hur, av vilka personer, när de kan göras och vad som ska levereras.  Fånga upp minst nedan paramterar:

  • Mål och syfte med uppdraget
  • Organisation:
    • Vem ”äger” att godkänna uppdragets leveranser och är ytterst ansvarig för att ge teamet rätt möjligheter till framdrift
    • Skapa team: Vilka resurser som behöver vara involverade, helt respektive delvis. Hur mycket tid får de till förfogande av sin ordinarie arbetstid?
    • Vilket stöd ger vilka nyckelpersoner och ledningsfunktioner till teamet som driver uppdraget?
    • Hur skapa delaktighet i resten av verksamheten.
  • Omfattning och avgränsning. Deletapper och leverabler per deletapp.
  • Grov tidsplanering: Gör en enkel tidslinje för uppdraget, inklusive eventuella milstolpar och tollgates/ beslutspunkter. Det är bra att sätta en tidsgräns för första fasen. Även om informationssäkerhetsarbete är ett ongoing project så behöver nya avstamp göras mot tydliga delmål.
  • Budget till teamet
  • Hur ska arbetet följas upp, hur ofta och av vem
  • Delaktighet: Hur kommuniceras uppdraget?

! Kommentar till ovan punkt ”Omfattning och avgränsning”

Om bolaget är van att hantera informationssäkerhetsfrågor kan ett större grepp tas men är det första gången man går igenom sin informationssäkerhet är det större chans att uppdraget går i mål om man väljer ut en särskilt kritisk del i verksamheten och använder den som en pilot, vilket blir en deletapp i projektet.

4.4 GAP-analyser, om behov av ett ”nuläge”

Om verksamheten redan har sedan tidigare ett fungerande ledningssystem för informationssäkerhet och/eller om det finns en rad befintliga processer och rutiner kopplat till säkerhetsområden, så är det en fördel att börja med GAP-analyser mot föreskrifter för implementationen av NIS2-åtgärderna. Det som redan finns och fungerar, ska inte bytas ut och bara ”kopplas samman” med de övriga NIS2-åtgärderna.

Hur gör man? Gapanalyser hjälper till att identifiera klyftorna mellan ett nuläge och ett önskat tillstånd (målbild) med alla relevanta NIS2-kraven inlagda. Under länkar finns en pdf som visar hur en mall för GAP-analys mot NIS2-kraven kan byggas upp. Delegera gärna ansvaret att utföra GAP-analyser till olika delteam/grupper. Dels för att fånga upp kompetens och kunskap hos de som faktiskt utför arbetsuppgifterna idag, dels jobba parallellt med flera analyser och på så vis hålla tempo i projektet.

NIS2-direktivets kravställda områden för säkerhetsåtgärder: Enligt NIS2 måste organisationer vidta lämpliga och proportionerliga riskhanteringsåtgärder för att förhindra säkerhetsincidenter och minimera deras effekter. 10 stycken grundläggande säkerhetsåtgärder ska det finnas i bolaget, enligt NIS2-direktivet. Direktivetsföreskrifter för riskhanteringsåtgärder är dock 13 till antalet.

Kraven på de 13 grundläggande säkerhetsåtgärderna kan delas in i 7 olika GAP-analysområden för att kontrollera nuläget i bolaget och få upp status/nuläge och förbättringsbehov på bordet.

Klustring
Exempel 		Förslag till klustring av GAP-analyserna för att reducera antalet arbetsgrupperingar
GAP-analys 1:
Kravområde nr 8: Grundläggande praxis för cyberhygien och utbildning i cybersäkerhet
Kravområde nr 10: Personal
Kravområde nr 11: Åtkomstkontroll
GAP-analys 2:Kravområde nr 12: Tillgångsförvaltning
GAP-analys 3:Kravområde nr 3: Incidenthantering
Kravområde nr 4: Driftskontinuitet; säkerhetskopiering, katastrofhantering och krishantering
GAP-analys 4:Kravområde nr 2: Riskhantering
Kravområde nr 7: Strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärder för cybersäkerhet
GAP-analys 5:Kravområde nr 5: Säkerhet i leveranskedjan
GAP-analys 6:Kravområde nr 6: Säkerhet vid anskaffning, utveckling och underhåll av nätverk och informationssystem.
Kravområde nr 9: Kryptografi
Kravområde nr 13: Miljömässig och fysisk säkerhet
GAP-analys 7:Kravområde nr 1: Strategi för säkerhet i nätverks- och informationssystem

Kravområde nr 6 är väldigt omfattande. Denna del av analysen kan göras mer översiktlig. Och med relativt sett få bedömningspunkter, till en början. Gör endast fördjupning vid behov.

Stöd och mallar

  • Av säkerhetsskäl är mallen med underlag till alla GAP-analyser avpublicerade. Maila oss så kan ni få ett gratisexemplar.

4.5 GAP summeras. Riskanalys genomförs. Säkerhetsåtgärder planeras

Summera resp GAP-analys Resultatet av GAP-analyserna lämnas till ansvarig för respektive verksamhetsområde, i samband med en genomgång av hur man tänkt i delteamet. Riskanalys görs gemensamt i teamet eller av verksamhetsansvarig. Den lägger tillsammans med statusen från GAP-analyser grunden för planeringen och prioriteringen av säkerhetsåtgärder.

Risknivån Verksamhetsansvarig är ytterst ansvarig för den risknivån som sätts för respektive GAP i analysen.

Kommentar Verksamhetsansvarig kan vara IT-chef, säkerhetschef, personalchef beroende på om säkerhetsåtgärderna som analyserats avser Personalsäkerhet, Tekniska säkerhetsåtgärder eller Organisatoriska säkerhetsåtgärder.

Åtgärdsförslag skapas Verksamhetsansvarig går tillsammans med delteamet igenom riskerna, befintliga riskreducerande åtgärder och kompletterar med ev nya förslag till åtgärder. Säkerhetsåtgärder identifieras med hjälp av föreskrifter, standarder och ev i samråd med tillsynsmyndighet. Detta blir bolagets åtgärdsplan för ökad cybersäkerhet i verksamheten och för en compliance mot NIS2-direktivet och cybersäkerhetslagen.

5: Genomför: Inför säkerhetsåtgärder

Projektplanering Skapa en åtgärdsplan för de 13 olika kravområden i NIS2-direktivets ”Genomförandeförordning”. Det är dessa säkerhetsåtgärder som den nya Cybersäkerhetslagen pekar på ska vara införda.

Det är en fördel om bolaget kan arbeta med agila metoder för införandet och att arbeta med flera delområden parallellt (för att sprida delaktigheten och ge snabb leverans/införande).

Nedan följer rubrikerna på 13 kravområden. Expandera varje rubrik för att se alla kraven från EUs Genomförandeförordning.

5.1 Strategi för säkerhet i nätverk och informationssystem

  1. Strategi för säkerhet i nätverk och informationssystem
  2. Roller, ansvarsområden och befogenheter

Kraven är (öppna pdf)

5.2 Strategi för riskhantering

  1. Riskhanteringsram
  2. Övervakning av efterlevnad

Kraven är (öppna pdf)

5.3 Incidenthantering

  1. Incidenthanteringsstrategi
  2. Övervakning och loggning

Kraven är (öppna pdf)

5.4 Driftskontinuitet och krishantering

  1. Driftskontinuitets- och katastrofplan
  2. Hantering av säkerhetskopiering och redundans
  3. Krishantering

Kraven är (öppna pdf)

5.5 Säkerhet i leveranskedjan

  1. Strategi för säkerhet i leveranskedjan
  2. Förteckning över leverantörer och tjänsteleverantörer

Kraven är (öppna pdf)

5.6 Säkerhet vid förvärv, utveckling och underhåll av nätverks- och informationssystem

  1. Säkerhet vid förvärv av IKT-tjänster och IKT-produkter
  2. Säker utvecklingslivscykel
  3. Konfigurationshantering
  4. Förändringshantering, reparationer och underhåll
  5. Säkerhetstestning
  6. Hantering av programfix
  7. Nätverkssäkerhet
  8. Nätverkssegmentering
  9. Skydd mot sabotageprogram och otillåten programvara
  10. Sårbarhetshantering och sårbarhetsinformation

Kraven är (öppna pdf)

5.7 Strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärder för cybersäkerhet

  1. Strategier och förfaranden för att bedöma effektiviteten i riskhanteringsåtgärder för cybersäkerhet

Kraven är (öppna pdf)

5.8 Grundläggande praxis för cyberhygien och utbildning i cybersäkerhet

  1. Medvetandehöjande och grundläggande praxis för cyberhygien
  2. Säkerhetsutbildning

Kraven är (öppna pdf)

5.9 Användning av kryptografi och, när så är lämpligt, kryptering

  1. Strategier och förfaranden

Kraven är (öppna pdf)

5.10 Personalsäkerhet

  1. Personalsäkerhet
  2. Bakgrundskontroll
  3. Förfaranden vid avslutad eller ändrad anställning
  4. Disciplinära förfaranden

Kraven är (öppna pdf)

5.11 Åtkomstkontroll

  1. Strategi för åtkomstkontroll
  2. Hantering av åtkomsträttigheter
  3. Privilegierade konton och systemadministrationskonton
  4. Systemadministration
  5. Identifiering
  6. Autentisering
  7. Flerfaktorsautentisering

Kraven är (öppna pdf)

5.12 Tillgångsförvaltning

  1. Klassificering av tillgångar
  2. Hantering av tillgångar
  3. Strategi för flyttbara medier
  4. Inventering av tillgångar
  5. Deponering, återlämning eller radering av tillgångar när anställning upphör

Kraven är (öppna pdf)

5.13 Miljömässig och fysisk säkerhet

  1. Försörjningstjänster
  2. Skydd mot fysiska och miljömässiga hot

Kraven är (öppna pdf)

6: Ledningens godkännande. Utbildning. Införande

Kontakta oss för projektplanering, handledning och rådgivning.

Ledningens granskar och justerar prioriteringar samt därefter godkänner genomförandeplan. Resursbehov identifieras och hanteras. Utbildning i cybersäkerhet och projektet, anpassat efter bolaget för både ledning och för anställda.

Kontakta oss: 0760-34 60 24 eller Info(at)Infosakra.se