Vad är NIS2-direktivet?

NIS2 är EU:s direktiv för nätverks- och informationssäkerhet som ställer striktare krav på organisationer inom 18 utpekade sektorer. I Sverige är det implementerat genom Cybersäkerhetslagen (SFS 2025:153).

Hur hjälper CyberKlar organisationen med NIS2?

CyberKlar ger ledning och säkerhetsfunktion ett samlat underlag för omfattning, risk, dokumentation, leverantörsbedömning och incidentberedskap — anpassat för svensk tillsyn.

Svensk NIS2-plattform · ledning, risk, tillsyn

Få kontroll innan
tillsynen får det.

CyberKlar ger ledning, CISO och tillsynsansvariga ett samlat underlag för att förstå om ni omfattas, kartlägga gap, fördela ansvar och säkra incidentberedskap enligt Cybersäkerhetslagen.

Se om ni omfattas Boka genomgång

Data inom EUSvensk lagtextISO 27001-mappning

cyberklar / översikt

UPPDATERAD 14:32

Organisation

Nordhamn Energi AB

Sektor

Energi

Klassning

Väsentlig entitet

Tillsyn

Energimyndigheten

NIS2 Compliance Score

47/ 100

Delvis efterlevnadΔ +4 senaste 7 d

47%

Art. 21(2) · efterlevnad

a – j

Prioriterade åtgärder

3 av 17

Kritisk
Upprätta incidentrapportering 24 h
Ägare: CISO
2d
Pågår
Leverantörsbedömning – nivå 1
Ägare: Inköp
9d
Påbörjad
MFA för samtliga admin-konton
Ägare: IT
14d

Riskmatris

12345

LågMedelHög

Aktiv incident

Kritisk

Obehörig åtkomst – SCADA-segment

Upptäckt 14:02 · INC-2026-084

Tidig varning · 24 h22:14

Incidentnotifikation · 72 h69:14

Slutrapport · 30 d29 d

Policyer godkända

7 / 10

Leverantörer bedömda

14 / 22

Utbildning ledning

Klar

Illustration — faktisk vy i produktenv1.4

NIS2 i Sverige

SFS 2025:153

I kraft

Omfattade sektorer

18 sektorer

Annex I & II

Tillsyn

MCF + sektorsmyndighet

Aktiv

Max sanktion

€ 10 M / 2 %

av omsättning

Positionering

Ett beslutsunderlag —
inte ännu en checklista.

CyberKlar är inte en generisk GRC-produkt. Plattformen är byggd specifikt för svensk NIS2-tillsyn och hjälper ledning att gå från osäkerhet till ett tydligt, dokumenterat ansvar.

Ledningens ansvar

Strukturerat stöd för styrelsen och VD — tydliga roller, personliga sanktioner och dokumenterad uppföljning.

Tillsynsklara underlag

Granskningsbar spårbarhet för policyer, beslut, leverantörer och incidenter — exporterbart vid tillsynsbesök.

Risk som data

Kvantitativ riskprofil kopplad till Art. 21(2) a–j. Ingen halvvärmd Excel-matris — ett underlag som ledningen kan fatta beslut på.

24 h / 72 h / 30 d

Inbyggd incidenttidslinje enligt NIS2. Tidigt varning, incidentnotifikation och slutrapport — spårat och påminnt.

Omfattning

Omfattas er organisation?

Cybersäkerhetslagen omfattar organisationer inom 18 sektorer, men gränsdragningen är inte trivial. Klassificeringen styr tillsyn, rapporteringsplikt och sanktionsnivå.

Väsentlig entitet

€10 M / 2 % av global omsättning

Kritisk infrastruktur · 250+ anställda eller €50 M+ i omsättning

Viktig entitet

€7 M / 1,4 % av global omsättning

Viktiga sektorer · 50+ anställda eller €10 M+ i omsättning

Utanför direkt omfattning

Indirekta krav genom kundavtal

Tredje part / leverantör · ofta krav via kedjan

Bedöm omfattning (5 min)

18 sektorer · Sverige

Annex I · II

EnergiAnnex I

TransportAnnex I

BankAnnex I

FinansmarknadAnnex I

Hälso- och sjukvårdAnnex I

DricksvattenAnnex I

AvloppsvattenAnnex I

Digital infrastrukturAnnex I

ICT-förvaltningAnnex I

Offentlig förvaltningAnnex I

RymdAnnex I

Post- och kurirtjänsterAnnex II

AvfallshanteringAnnex II

KemikalierAnnex II

LivsmedelAnnex II

TillverkningAnnex II

Digitala tjänsterAnnex II

ForskningAnnex II

Ledningens ansvar

Ansvar som kan följas
hela vägen upp.

Under Cybersäkerhetslagen är det styrelsen och den verkställande ledningen som bär det yttersta ansvaret — inte IT. CyberKlar gör det ansvaret synligt, dokumenterat och möjligt att granska.

Roll- och ansvarsfördelning per Art. 21(2)
Ledningens godkännande och digital signatur
Kvartalsvis rapport till styrelse
Personligt ansvarsstöd enligt 6 kap. Cybersäkerhetslagen
Exporterbara underlag vid tillsynsbesök

RACI · kontrollområden

extrakt

Område	Styrelse	VD	CISO	Ägare
Riskstrategi	A	R	C	I
Incidentberedskap	I	A	R	C
Leverantörskedja	I	A	R	C
Kryptering / åtkomst	·	I	A	R
Utbildning ledning	R	A	C	·

R · utförA · ansvarigC · rådfrågasI · informeras

Kontrollområden

Operativ kapacitet över
Art. 21(2) a – j.

Kontrollerna är mappade till NIS2-direktivet och anpassade till svensk tillsynsstruktur.

Art. 21(2)(a)

Risk och säkerhetspolicy

Art. 21(2)(a) — kvantitativ riskprofil och dokumenterade säkerhetspolicyer som ledningen godkänner.

Art. 21(2)(b)

Incidenthantering

Art. 21(2)(b) — 24 h / 72 h / 30 d tidslinje, rapportmallar och spårbar uppföljning.

Art. 21(2)(c)

Driftskontinuitet

Art. 21(2)(c) — BCP, backup-tester, RTO/RPO och krisorganisation.

Art. 21(2)(d)

Leverantörskedja

Art. 21(2)(d) — bedömning, avtalskrav och löpande övervakning av kritiska leverantörer.

Art. 21(2)(g)

Kryptering

Art. 21(2)(g) — dokumenterad kryptografi, nyckelhantering och kommunikationssäkerhet.

Art. 21(2)(h)

Åtkomst och personal

Art. 21(2)(h) — åtkomstkontroll, privilegierade konton och personalsäkerhet.

Art. 21(2)(i)

MFA och kommunikation

Art. 21(2)(i) — multifaktor, nödkommunikation och säkrade kanaler.

Art. 21(2)(j)

Utbildning och cyberhygien

Art. 21(2)(j) — ledningsutbildning, phishing-simulering och dokumentation.

Incidentberedskap

Tidskraven är inte
förhandlingsbara.

Under NIS2 har organisationen en tidig varning inom 24 timmar, en fullständig incidentnotifikation inom 72 timmar och en slutrapport inom 30 dagar. CyberKlar inbyggd countdown, mallar och automatiska påminnelser — tillsynsklart.

Se hur det fungerar Läs om rapporteringsplikten

Incident · INC-2026-084

Obehörig åtkomst — SCADA-segment

Kritisk

T + 0 · 14:02
Upptäckt
Klar
Avvikelse identifierad via IDS. Första bedömning av påverkan och påverkansområde initierad.
T + 24 h
Tidig varning
22 h kvar
Skickas till MCF och sektorsmyndighet. Mall genererad från inkommande data.
T + 72 h
Incidentnotifikation
Planerad
Första tekniska bedömning, omfattning och gränsdragning mot GDPR-incident.
T + 30 d
Slutrapport
Fullständig post-mortem, lärdomar och dokumenterade åtgärder — arkiveras för tillsyn.

Time to baseline

30 d

Från nollposition till dokumenterad baslinje för ledningens uppföljning.

Kostnad vs konsult

1/10

Jämfört med ett typiskt konsultdrivet NIS2-projekt.

Artiklar täckta

21(2) a – j

Hela minimiåtgärdskatalogen i Cybersäkerhetslagen.

Data-residens

Frankfurt · Supabase · TLS 1.3 · AES-256.

Börja här

Två vägar in i
CyberKlar.

Gör en snabb bedömning av hur Cybersäkerhetslagen träffar er — eller boka en genomgång med oss. Ingen pitch. Ingen säljprocess i fem steg.

Vanliga frågor

Det vi brukar få
från styrelserum.

Vad skiljer CyberKlar från internationella GRC-verktyg?

Vi är byggda för svensk tillsyn. Textanvändning, sektorsklassificering, myndighetsnomenklatur och rapporteringsmallar följer Cybersäkerhetslagen — inte SOC 2 eller generisk EU-tolkning.

Omfattas vi ens av NIS2?

Det beror på sektor, storlek och klassificering som väsentlig eller viktig entitet. Använd vår bedömning på 5 minuter — eller hör av dig om ni vill ha en formell genomgång.

Vilka är de rättsliga kraven på ledningen?

Enligt Cybersäkerhetslagen 6 kap. är styrelsen och VD ansvariga för att godkänna och följa upp riskhantering. I allvarliga fall kan ledande befattningshavare åläggas personligt ansvar.

Hur ser data-residensen ut?

All data lagras inom EU (Frankfurt). TLS 1.3 i transit, AES-256 at rest. Logiskt separerade tenants och granulär åtkomst per roll.

Ersätter CyberKlar vår SIEM / EDR / MDM?

Nej. CyberKlar är ett compliance- och styrningslager ovanpå er befintliga säkerhetsstack. Vi integrerar signaler — vi ersätter inte era operativa verktyg.

Hur snabbt kan en organisation komma igång?

Ni kan ha en dokumenterad baslinje för ledningens uppföljning inom 30 dagar. Därefter arbetar ni i kvartalscykler.

Läser in

Omfattas er organisation?

Cybersäkerhetslagen omfattar organisationer inom 18 sektorer, men gränsdragningen är inte trivial. Klassificeringen styr tillsyn, rapporteringsplikt och sanktionsnivå.

Väsentlig entitet

€10 M / 2 % av global omsättning

Kritisk infrastruktur · 250+ anställda eller €50 M+ i omsättning

Viktig entitet

€7 M / 1,4 % av global omsättning

Viktiga sektorer · 50+ anställda eller €10 M+ i omsättning

Utanför direkt omfattning

Indirekta krav genom kundavtal

Tredje part / leverantör · ofta krav via kedjan

Ansvar som kan följas
hela vägen upp.

Under Cybersäkerhetslagen är det styrelsen och den verkställande ledningen som bär det yttersta ansvaret — inte IT. CyberKlar gör det ansvaret synligt, dokumenterat och möjligt att granska.

Roll- och ansvarsfördelning per Art. 21(2)
Ledningens godkännande och digital signatur
Kvartalsvis rapport till styrelse
Personligt ansvarsstöd enligt 6 kap. Cybersäkerhetslagen
Exporterbara underlag vid tillsynsbesök

Område

Styrelse

CISO

Ägare

Riskstrategi

Incidentberedskap

Leverantörskedja

Kryptering / åtkomst

Utbildning ledning

Det vi brukar få
från styrelserum.

Vad skiljer CyberKlar från internationella GRC-verktyg?

Vi är byggda för svensk tillsyn. Textanvändning, sektorsklassificering, myndighetsnomenklatur och rapporteringsmallar följer Cybersäkerhetslagen — inte SOC 2 eller generisk EU-tolkning.

Omfattas vi ens av NIS2?

Det beror på sektor, storlek och klassificering som väsentlig eller viktig entitet. Använd vår bedömning på 5 minuter — eller hör av dig om ni vill ha en formell genomgång.

Vilka är de rättsliga kraven på ledningen?

Enligt Cybersäkerhetslagen 6 kap. är styrelsen och VD ansvariga för att godkänna och följa upp riskhantering. I allvarliga fall kan ledande befattningshavare åläggas personligt ansvar.

Hur ser data-residensen ut?

All data lagras inom EU (Frankfurt). TLS 1.3 i transit, AES-256 at rest. Logiskt separerade tenants och granulär åtkomst per roll.

Ersätter CyberKlar vår SIEM / EDR / MDM?

Nej. CyberKlar är ett compliance- och styrningslager ovanpå er befintliga säkerhetsstack. Vi integrerar signaler — vi ersätter inte era operativa verktyg.

Hur snabbt kan en organisation komma igång?

Ni kan ha en dokumenterad baslinje för ledningens uppföljning inom 30 dagar. Därefter arbetar ni i kvartalscykler.

Få kontroll innantillsynen får det.

Ett beslutsunderlag —inte ännu en checklista.

Ledningens ansvar

Tillsynsklara underlag

Risk som data

24 h / 72 h / 30 d

Omfattas er organisation?

Ansvar som kan följashela vägen upp.

Operativ kapacitet överArt. 21(2) a – j.

Risk och säkerhetspolicy

Incidenthantering

Driftskontinuitet

Leverantörskedja

Kryptering

Åtkomst och personal

MFA och kommunikation

Utbildning och cyberhygien

Tidskraven är inteförhandlingsbara.

Upptäckt

Tidig varning

Incidentnotifikation

Slutrapport

Två vägar in iCyberKlar.

Det vi brukar fåfrån styrelserum.

Vad skiljer CyberKlar från internationella GRC-verktyg?

Omfattas vi ens av NIS2?

Vilka är de rättsliga kraven på ledningen?

Hur ser data-residensen ut?

Ersätter CyberKlar vår SIEM / EDR / MDM?

Hur snabbt kan en organisation komma igång?

Få kontroll innantillsynen får det.

Ett beslutsunderlag —inte ännu en checklista.

Ledningens ansvar

Tillsynsklara underlag

Risk som data

24 h / 72 h / 30 d

Omfattas er organisation?

Ansvar som kan följashela vägen upp.

Operativ kapacitet överArt. 21(2) a – j.

Risk och säkerhetspolicy

Incidenthantering

Driftskontinuitet

Leverantörskedja

Kryptering

Åtkomst och personal

MFA och kommunikation

Utbildning och cyberhygien

Tidskraven är inteförhandlingsbara.

Upptäckt

Tidig varning

Incidentnotifikation

Slutrapport

Två vägar in iCyberKlar.

Det vi brukar fåfrån styrelserum.

Vad skiljer CyberKlar från internationella GRC-verktyg?

Omfattas vi ens av NIS2?

Vilka är de rättsliga kraven på ledningen?

Hur ser data-residensen ut?

Ersätter CyberKlar vår SIEM / EDR / MDM?

Hur snabbt kan en organisation komma igång?

Få kontroll innan
tillsynen får det.

Ett beslutsunderlag —
inte ännu en checklista.

Ansvar som kan följas
hela vägen upp.

Operativ kapacitet över
Art. 21(2) a – j.

Tidskraven är inte
förhandlingsbara.

Två vägar in i
CyberKlar.

Det vi brukar få
från styrelserum.

Få kontroll innan
tillsynen får det.

Ett beslutsunderlag —
inte ännu en checklista.

Ansvar som kan följas
hela vägen upp.

Operativ kapacitet över
Art. 21(2) a – j.

Tidskraven är inte
förhandlingsbara.

Två vägar in i
CyberKlar.

Det vi brukar få
från styrelserum.